Software-Entwicklung und Lieferantenmanagement sind eng verzahnt. Diesen Zusammenhang spiegelt auch die Norm ISO/IEC 27001 wieder. Das Regelwerk bietet Ihnen in zwei Kapiteln Orientierung zur sicherheitskonformen Gestaltung von Suppliermanagement (Anhang A.15) und SW-Entwicklung (Anhang A.14).

Anschaffung, Entwicklung und Instandhalten von Systemen

Der erste der hier betrachteten Anhänge der ISO-Norm befasst sich mit Anschaffung, Entwicklung und Instandhaltung von IT-Systemen, wobei Software als Teil eines IT-Systems zu verstehen ist. Zielbild ist die Verankerung der Informationssicherheit (englisch: security) als eine zentrale Anforderung über den gesamten Lebenszyklus hinweg. Dieser Part besteht aus drei Unterpunkten mit den Schwerpunkten allgemeine Sicherheitsanforderungen, Entwicklungs- und Betriebs-/Supportprozesse und Testdaten. Durch die Umsetzung der hier definierten Forderungen setzen Sie einen Rahmen für sicherheitsgerechte Prozesse in Ihrer Organisation. Dabei sollten Sie spezifische Risiken Ihres Unternehmens sowie legale Rahmenbedingungen berücksichtigen.

Sicherheitsanforderungen an die Informationssysteme

Bereits im Zuge von Anforderungsanalyse und Spezifikation einer Lösung ist Security als Kriterium für die Qualität einer IT-Lösung nicht zu vernachlässigen. Dabei sind drei Unterpunkte zu beachten:

  1. Analyse und Spezifikation von Informationssicherheitsanforderungen: In der Spezifikation neuer IT-Systeme müssen sicherheitsspezifische Anforderungen angeführt werden. Als Voraussetzung dafür sind sie schon in der Anforderungsanalyse zu berücksichtigen. Gleiches gilt, wenn Systeme nicht neu etabliert, sondern geändert oder erweitert werden.
  2. Sicherung von Anwendungsdiensten in öffentlichen Netzwerken: Werden Informationen über öffentliche Netze wie das Internet übertragen, sind sie besonders abzusichern. Eine Rolle spielen hierbei Gefährdungsszenarien wie betrügerische Aktivitäten, Vertragskonflikte sowie unbefugte Offenlegung oder Änderung.
  3. Schutz der Transaktionen bei Anwendungsdiensten: Der Austausch von Informationen zwischen Programmen ist abzusichern. Zu den bekannten Fehlerquellen zählen neben falschem Routing und unvollständiger Übertragung auch Manipulationen wie unbefugte Offenlegung und unautorisierte Wiederholung beziehungsweise Änderung von Nachrichten. Maßnahmen wie Authentisierung und Kryptografie dienen der Absicherung der Nachrichtenübermittlung.

Sicherheit in Entwicklungs- und Betriebs-/Supportprozessen

Auch in den anschließenden Phasen des Lebenszyklus von IT-Systemen muss Ihr Unternehmen die Informationssicherheit gewährleisten. Die zuvor definierten Anforderungen sind bei der Entwicklung ebenso umzusetzen wie im späteren Betrieb und Support. Dazu sind die folgenden neun Punkte zu berücksichtigen:

  1. Richtlinie für sichere Entwicklung: Für die Systementwicklung sind verbindliche Regeln festzulegen und durchgängig einzusetzen. Dies schließt auch kontinuierliche Dokumentation ein.
  2. Verfahren zur Verwaltung von Systemänderungen: Es sind formale Verfahren zur Verwaltung und Steuerung von Änderungen erforderlich. Diese müssen etabliert und eingesetzt werden.
  3. Technische Überprüfung von Anwendungen nach Änderungen an der Betriebsplattform: Insbesondere geschäftskritische Applikationen müssen bei Änderungen an Betriebsplattformen überprüft und getestet werden. Das dient der Vermeidung negativer Seiteneffekte auf unterstützten Geschäftsprozesse.
  4. Beschränkung von Änderungen an Softwarepaketen: Änderungen an Softwaremodulen sind auf das Erforderliche zu begrenzen. Zusätzlich ist ein Changemanagement Prozess zur Änderungssteuerung erforderlich.
  5. Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme: Es müssen Prinzipien für die Systementwicklung einschließlich Anforderungsanalyse und spätere Wartung definiert und dokumentiert werden. Zur Gewährleistung der Qualität sicherer IT-Systeme sind diese bei jedem Umsetzungsvorhaben anzuwenden und regelmäßig zu aktualisieren.
  6. Sichere Entwicklungsumgebung: Für Entwicklungs- und Systemintegrationsvorhaben sind sichere Softwaretools erforderlich. Diese sind über den gesamten Entwicklungszyklus bereitzustellen und angemessen zu schützen.
  7. Ausgegliederte Entwicklung: Falls Entwicklungsaktivitäten an einen Dienstleister ausgelagert werden soll, gilt es bereits im Vorfeld, Anforderungen zu definieren und einen geeigneten Partner auszuwählen. Während der Vertragslaufzeit müssen die Aktivitäten des Outsourcing-Partners durch den Auftraggeber beaufsichtigt und überwacht werden.
  8. Testen der Systemsicherheit: Bereits währen der Entwicklung sind Sicherheitsfunktionalitäten zu testen.
  9. Systemabnahmetest: Abnahmetests einschließlich der dazugehörigen Kriterien sind nicht nur für neue Informationssysteme erforderlich, sondern auch für Aktualisierungen und neue Versionen.

Sicherer Umgang mit Testdaten

Ebenso wie Produktiv- sind auch Testdaten angemessen zu schützen. Zu Testzwecken kann es sinnvoll sein, mit anonymisierten oder pseudonymisierten Daten zu arbeiten. Darauf geht der dritte Abschnitt dieses Kapitels ein.

Lieferantenbeziehungen

Der zweite hier dargestellte Anhang der ISO 27001 handelt von Sicherheitsaspekten in der Zusammenarbeit mit Zulieferern und von der Steuerung der Dienstleistungserbringung.

Informationssicherheit in Lieferantenbeziehungen

Zunächst gilt es, eine Richtlinie für Zulieferer zu entwickeln und zu etablieren. Denn dass ein Partner Zugriff auf IT-Systeme und Daten hat, bedeutet ein Risiko für Informationen als Werte der Organisation. Zur Verringerung der Risiken über die gesamte Lieferkette für Informations- und Kommunikationstechnologie hinweg, sind Vereinbarungen mit jedem einzelnen Zulieferer erforderlich. Diese dienen der vertraglichen Fixierung und Dokumentation der Informationssicherheitsanforderungen. Zu beachten ist dabei, ob ein Outsourcing-Partner möglicherweise Zugang zu Informationen des Unternehmens hat, und ob er diese verarbeiten, speichern oder weitergeben könnte. Auch ob er IT-Infrastrukturkomponenten dafür bereitstellt, ist zu dokumentieren.

Steuerung der Dienstleistungserbringung von Lieferanten

Ziel dieses zweiten Aspekts ist die Aufrechterhaltung des vereinbarten Sicherheitsniveaus. Die Dienstleistungserbringung muss dazu im Einklang mit den Lieferantenverträgen erfolgen. Zu den angeführten Maßnahmen zählt die Überwachung und Überprüfung von Lieferantendienstleistungen. Dies kann durch regelmäßige (externe) Audits sichergestellt werden. Zusätzlich gilt es, einen Change Management Prozess zu etablieren, so dass Änderungen an Lieferantendienstleistungen geordnet gehandhabt und gesteuert werden können. Dabei sollten auch Änderungen an bestehenden Informationssicherheitsrichtlinien, -verfahren und -maßnahmen abgedeckt sein. Mögliche Änderungen können beispielsweise die Kritikalität betroffener Geschäftsinformationen oder eine Risikobeurteilung betreffen.

Zusammenhänge zwischen SW-Entwicklung und Lieferanten

Inzwischen sind praktisch alle Branchen und Sparten von der software- bzw. computergestützten Automatisierung betroffen. Dazu ein paar Beispiele:

  • Stellen Sie sich vor, Sie wären Geschäftsführer der örtlichen Stadtwerke, die die Einwohner mit Strom, Wasser, Gas etc. versorgen. Um die Stromversorgung zu managen, setzen Sie verschiedene IT-Systeme ein, sogenannte Leitsysteme. Als Ergebnis einer Make-or-Buy Entscheidung hat sich der Einsatz von zugekauften Standard-Produkten als vorteilhaft herausgestellt. Eine Eigenentwicklung wäre in etwa so sinnvoll, wie bei Office-Anwendungen wie Microsoft Word oder Excel. Mittels Customizing werden spezifische Anpassungen für Ihr Unternehmen an den Softwareprodukten vorgenommen. Die Entwicklung, Bereitstellung und Pflege des Systems verbleibt beim Hersteller. Dabei setzt er Ihre Anforderungen und Änderungswünsche selbst um, oder übergibt sie an einen anderen Dienstleister.
  • Ein weiteres Beispiel sind lebensmittelproduzierende Unternehmen. Nehmen wir an, Ihr Betrieb braut Bier. Die Anlagen werden von Software gesteuert. Schließlich ist es unvorstellbar, dass Sie in ihrer Großbrauerei einzelne Flaschen per Hand abfüllen und etikettieren lassen. Die Personalkosten wären enorm. Wie in vielen Bereichen der Lebensmittelindustrie sind Ihre Herstell- und Fertigungsprozesse automatisiert.
  • Gleiches gilt im (hypothetischen) Fall, dass Sie im Gesundheitswesen agieren, also zum Beispiel eine Klinik leiten. Auch hier sind Prozessautomatisierung und IT-Systeme verbreitet. Denken Sie an künstliche Beatmung oder an bildgebende Verfahren wie die Magnetresonanztomographie (MRT).

Wenn Sie, wie in den geschilderten Beispielen, Systeme und Anwendungen betreiben, an deren (Weiter-) Entwicklung Sie nicht selbst mitwirken, hat das Konsequenzen für Ihr Unternehmens. Denn es ist an Ihnen als Auftraggeber, Ihre Lieferanten als Leistungserbringer einschließlich deren Sicherheitsmaßnahmen zu überprüfen. Dazu gilt es, Regelungen zu treffen, sie schriftlich zu vereinbaren und – was viel wichtiger ist – diese regelmäßig zu überwachen.

Fazit

Sicherheit beginnt bereits bei der Herstellung eines IT-Systems – unabhängig davon, ob es sich um Software für eine Automatisierungsanlage, um computergestützte Lösungen zur Fertigung von Produkten oder um Systeme zur Versorgung von Menschen handelt. Anlagen und Applikationen müssen sicher sein. Dazu sind Regeln aufzustellen und zu befolgen. Beides obliegt Ihnen als dem Auftraggeber. Das bedeutet, es liegt in Ihrer Verantwortung, klare und nachvollziehbare Sicherheitsanforderungen an das Software-Produkt bzw. das SW-gesteuerte System zu definieren. Sie haben dafür zu sorgen, dass diese Regelungen eingehalten und befolgt werden. Erste Hilfestellung erhalten Sie aus der ISO/IEC 27001 ff.

Bildnachweis: (C) jejimenezlc, CC0 v1.0, Pixabay