Neue BSI-Richtlinie für mehr Sicherheit in der Softwareentwicklung

Montag, 30.3.2020

BSI-IT-Grundschutz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sein IT-Grundschutz-Kompendium aktualisiert. In der 2020er Edition des IT-Grundschutz-Kompendiums hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine neue Richtlinie für die Entwicklung von Software (CON.8) hinzugefügt. Diese Richtlinie rückt das Thema IT-Sicherheit bei der Software-Entwicklung stärker in den Fokus – was sehr zu begrüßen ist.

Mit CON.5 gab es bereits bisher eine Richtlinie zur "Entwicklung und Einsatz von Individualsoftware", die sich mit Problemen bei Zugangs- und Zugriffsrechten (Authentifizierung/Autorisierung), Softwarekonzeptionsfehlern und fehlenden Sicherheitsmaßnahmen beschäftigt. Zwei weitere Gefährdungen sind nur für eingekaufte Softwareentwicklungen relevant: vertragliche Regelungen mit externen Dienstleistern und undokumentierte Funktionen.

Dieser Richtlinie wurde nun CON.8 "Software-Entwicklung" zur Seite gestellt - vermutlich weiß nur das BSI, warum CON.5 nicht einfach überarbeitet wurde: "Mit diesem Baustein wird der Baustein CON.5 Entwicklung und Einsatz von Individualsoftware um konkrete Aspekte zur Eigenentwicklung von Software erweitert." 

Die Richtlinie zur Software-Entwicklung führt acht weitere Schwachstellen ein:

  1. Auswahl eines ungeeigneten Vorgehensmodells
  2. Auswahl einer ungeeigneten Entwicklungsumgebung
  3. Fehlende oder unzureichende Qualitätssicherung des Entwicklungsprozesses
  4. Fehlende oder unzureichende Dokumentation
  5. Unzureichend gesicherter Einsatz von Entwicklungsumgebungen
  6. Software-Konzeptionsfehler
  7. Fehlendes oder unzureichendes Test- und Freigabeverfahren
  8. Softwaretest mit Produktivdaten


Die Richtlinie stellt zudem Maßnahmen zur Adressierung dieser Risiken vor – wie üblich bei BSI-Richtlinien – aufgeteilt in Basis-Maßnahmen, die umgesetzt werden müssen, Standard-Anforderungen, die umgesetzt werden sollten, und Anforderungen bei erhöhtem Schutzbedarf.

Leider sind diese Maßnahmen aus meiner Sicht häufig sehr oberflächlich gehalten. So heißt es dort: "Der Fachverantwortliche MUSS bereits bei der Anforderungserhebung und -dokumentation die erforderlichen Sicherheitsfunktionen für die Individualsoftware definieren." Darauf, welche Sicherheitsfunktionen zur Verfügung stehen, wann diese angemessen und wie diese anzuwenden sind, wird nicht eingegangen. Somit fehlen leider häufig konkrete Handlungsempfehlungen zu den Bedrohungen.

Für eine konkrete Umsetzung empfehlen wir einen Blick auf die OWASP Top10 und Proactive Controls. Bei Fragen zur Umsetzung von CON.5, CON.8 oder anderen BSI-Richtlinien in Ihrem Unternehmen beraten wir Sie gerne oder schulen Ihre Entwickler zum Thema IT-Sicherheit.



Das Thema Sichere Softwareentwicklung behandeln wir auch in unserem Blogbeitrag IT-Security in der Softwareentwicklung: In vier Schritten zur Sicherheit von Anfang an sowie in unserer Blogreihe zu den 15 Sicherheitsprinzipien der Softwareentwicklung.

 

15 Sicherheitsprinzipien der Softwareentwicklung CTA zum Download


zurück zur Blogübersicht

Diese Beiträge könnten Sie ebenfalls interessieren

Keinen Beitrag verpassen – viadee Blog abonnieren

Jetzt Blog abonnieren!

Kommentare

Tobias Heide

Tobias Heide

Dr. Tobias Heide ist seit 2015 bei der viadee. Er ist in den Bereichen IT-Architektur, IT-Security und Prozessautomatisierung aktiv und leitet den Kompetenzbereich IT-Security. Tobias Heide ist zertifiziert als Certified Information Systems Security Professional (CISSP). Tobias Heide bei Xing Tobias Heide auf LinkedIn