Unsere Lösungen,
ob Start-Up oder etabliertes Unternehmen

Agile Methoden

Business-Intelligence

Business Process Management

Clean Code

Cloud

IT-Sicherheit

Java

Künstliche Intelligenz

Legacy IT

Mobile- und Weblösungen

Robotic Process Automation

Testautomatisierung

viadee Blog

In unserem Blog finden Sie Fachartikel, Success-Stories, News, Messeberichte und vieles mehr... vor allem aber hoffentlich wertvolle Informationen, die Ihnen in Ihrem konkreten Projekt und in Ihrem Business weiterhelfen. Bei Fragen und Anregungen nehmen Sie gerne Kontakt zu uns auf. Bitte benutzen Sie dazu die Kommentarfunktion unter den Blogbeiträgen.

Neue BSI-Richtlinie für mehr Sicherheit in der Software-Entwicklung

Montag, 30.3.2020

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sein IT-Grundschutz-Kompendium aktualisiert.

BSI-IT-Grundschutz

In der 2020er Edition des IT-Grundschutz-Kompendiums hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine neue Richtlinie für die Entwicklung von Software (CON.8) hinzugefügt. Diese Richtlinie rückt das Thema IT-Sicherheit bei der Software-Entwicklung stärker in den Fokus – was sehr zu begrüßen ist.

Mit CON.5 gab es bereits bisher eine Richtlinie zur "Entwicklung und Einsatz von Individualsoftware", die sich mit Problemen bei Zugangs- und Zugriffsrechten (Authentifizierung/Autorisierung), Softwarekonzeptionsfehlern und fehlenden Sicherheitsmaßnahmen beschäftigt. Zwei weitere Gefährdungen sind nur für eingekaufte Softwareentwicklungen relevant: vertragliche Regelungen mit externen Dienstleistern und undokumentierte Funktionen.

Dieser Richtlinie wurde nun CON.8 "Software-Entwicklung" zur Seite gestellt - vermutlich weiß nur das BSI, warum CON.5 nicht einfach überarbeitet wurde: "Mit diesem Baustein wird der Baustein CON.5 Entwicklung und Einsatz von Individualsoftware um konkrete Aspekte zur Eigenentwicklung von Software erweitert." 

Die Richtlinie zur Software-Entwicklung führt acht weitere Schwachstellen ein:

  1. Auswahl eines ungeeigneten Vorgehensmodells
  2. Auswahl einer ungeeigneten Entwicklungsumgebung
  3. Fehlende oder unzureichende Qualitätssicherung des Entwicklungsprozesses
  4. Fehlende oder unzureichende Dokumentation
  5. Unzureichend gesicherter Einsatz von Entwicklungsumgebungen
  6. Software-Konzeptionsfehler
  7. Fehlendes oder unzureichendes Test- und Freigabeverfahren
  8. Softwaretest mit Produktivdaten


Die Richtlinie stellt zudem Maßnahmen zur Adressierung dieser Risiken vor – wie üblich bei BSI-Richtlinien – aufgeteilt in Basis-Maßnahmen, die umgesetzt werden müssen, Standard-Anforderungen, die umgesetzt werden sollten, und Anforderungen bei erhöhtem Schutzbedarf.

Leider sind diese Maßnahmen aus meiner Sicht häufig sehr oberflächlich gehalten. So heißt es dort: "Der Fachverantwortliche MUSS bereits bei der Anforderungserhebung und -dokumentation die erforderlichen Sicherheitsfunktionen für die Individualsoftware definieren." Darauf, welche Sicherheitsfunktionen zur Verfügung stehen, wann diese angemessen und wie diese anzuwenden sind, wird nicht eingegangen. Somit fehlen leider häufig konkrete Handlungsempfehlungen zu den Bedrohungen.

Für eine konkrete Umsetzung empfehlen wir einen Blick auf die OWASP Top10 und Proactive Controls. Bei Fragen zur Umsetzung von CON.5, CON.8 oder anderen BSI-Richtlinien in Ihrem Unternehmen beraten wir Sie gerne oder schulen Ihre Entwickler zum Thema IT-Sicherheit.



Jetzt Blog abonnieren!
zum Blog
Tobias Heide

Tobias Heide

Dr. Tobias Heide ist seit 2015 bei der viadee. Er ist in den Bereichen IT-Architektur, IT-Security und Prozessautomatisierung aktiv und leitet den Kompetenzbereich IT-Security.