ISO 27002Kapitel 8.30 Ausgegliederte Entwicklung

Worum geht es?

Ausgelagerte Entwicklung verlagert nicht nur Aufgaben, sondern auch Risiken. Fehlende Transparenz, unklare Verantwortlichkeiten oder unzureichend geregelte Sicherheitsanforderungen führen schnell zu Schwachstellen, die sich der direkten Kontrolle der Organisation entziehen.

Die Norm ISO 27002 fordert daher in Kapitel 8.30, dass Informationssicherheits-Anforderungen für ausgelagerte Entwicklung klar definiert, vertraglich festgeschrieben und während der gesamten Laufzeit überwacht werden. Dies gilt unabhängig davon, ob es sich um vollständige Fremdentwicklung, Teilentwicklung, Wartung, Anpassungen oder um den Einsatz externer Entwickler innerhalb interner Projekte handelt.

Was empfiehlt die ISO 27002?

Die Norm verlangt in Kapitel 8.30 einen systematischen und verbindlichen Umgang mit ausgelagerter Entwicklung. Anforderungen sind bindend festzulegen, vertraglich zu regeln und laufend zu steuern.

Bereits vor der Beauftragung müssen die relevanten Informationssicherheits-Anforderungen definiert werden. Dazu gehören insbesondere:

• Anforderungen an sichere Entwicklungsmethoden und Coding-Standards,
• Vorgaben zu Zugriffen auf Informationen, Quellcode und Entwicklungsumgebungen,
• Regelungen zur Nutzung von Test- und Produktivdaten,
• Anforderungen an den Umgang mit Schwachstellen und Sicherheitsvorfällen.

Diese Anforderungen sind verbindlich zu dokumentieren und Bestandteil der vertraglichen Vereinbarungen. Die Norm legt ausdrücklich fest, dass Sicherheitsanforderungen nicht implizit bleiben dürfen. Verträge mit externen Entwicklern oder Dienstleistern sind zwingend und sollen unter anderem regeln:

• Verantwortlichkeiten für Informationssicherheit,
• Eigentum und Schutz von Quellcode und Entwicklungsergebnissen,
• Rechte zu Prüfungen, Reviews und Audits,
• Meldepflichten bei Sicherheitsvorfällen oder Schwachstellen,
• Vorgaben zur Weitervergabe von Leistungen an Subunternehmer.

Auch bei ausgelagerter Entwicklung verbleibt die Verantwortung für Informationssicherheit bei der beauftragenden Organisation. Die Norm fordert daher geeignete Maßnahmen zur Steuerung und Überwachung, etwa:

• regelmäßige Status- und Sicherheitsreviews,
• Überprüfung der Einhaltung vereinbarter Sicherheitsanforderungen,
• Kontrolle von Entwicklungs- und Testumgebungen,
• Nachvollziehbarkeit von Änderungen und Releases.

Ausgelagerte Entwicklungsleistungen dürfen nicht isoliert betrachtet werden. Die Norm verlangt, dass externe Entwicklung in bestehende interne Prozesse eingebunden wird, insbesondere in:

• Änderungs- und Freigabeprozesse,
• Sicherheitsprüfungen und Abnahmen,
• das Schwachstellen- und Incident-Management.

Vor der Übernahme von Entwicklungsergebnissen in den operativen Betrieb müssen diese denselben Sicherheitsanforderungen genügen wie intern entwickelte Systeme. Die Norm erwartet daher strukturierte Abnahmeprüfungen, die sicherstellen, dass:

• vereinbarte Sicherheitsanforderungen erfüllt sind,
• keine unautorisierten Funktionen oder Zugänge enthalten sind,
• Dokumentation vollständig und nachvollziehbar übergeben wird.

Sicherheitsprüfungen sollen nicht nur gelegentlich oder anlassbezogen erfolgen, sondern verbindliche Teile des Entwicklung- und Änderungsprozesses sein. Die Norm stellt den Prozess auf drei Standbeine.

Sicherheitsfunktionen, also sichere Benutzerauthentisierung, Zugangsbeschränkungen und den Einsatz von Verschlüsselung, wie jeweils in den entsprechenden Kapiteln der Norm beschrieben:

• Sichere Codierung (Kapitel 8.28)
• Sichere Konfiguration (Kapitel 8.9, 20, und 8.22)

Testplanung, mit klaren und detaillierten Vorgaben:

• Ein Zeitplan sollte erstellt werden, der alle vorgesehenen Aktivitäten und Prüfungen ersehen lässt.
• Es sollte festgelegt werden, welche Eingaben unter verschiedenen Bedingungen zu welchen Ergebnissen führen sollen oder dürfen. Ein einfaches Beispiel wäre die Reaktion eines Systems auf einen fehlerhaften Anmeldeversuch, etwa „Verweigerung des Zugangs, Ausgabe Fehlermeldung, Logging“
• Für die Bewertung aller Tests sollte es klare und vorbestimmte Kriterien geben.
• Ebenso sollte eine Grundlage für Entscheidungen vorhanden sein, was im Falle von Problemen weiter passieren soll. Wird beispielsweise nachgebessert oder entscheidet das Management über den Fortgang?
• Die Verwendung von Tools zur Code Analyse oder dem Scan nach Schwachstellen legt die Norm ausdrücklich nahe.

Abnahmeprüfungen:

Zunächst können und sollten Sicherheitsüberprüfungen durch das Entwicklungsteam erfolgen. Letztendlich sollte allerdings eine unabhängige Abnahmeprüfung verpflichtend sein.

Die Prüfungen sollen sicherstellen, dass das System wie erwartet aber eben auch nur wie erwartet funktionieren. Die Norm empfiehlt hierzu insbesondere:

• Code-Reviews mit Fokus auf Sicherheitsmängel und unerwartete Eingaben,
• Schwachstellenscans zur Identifikation unsicherer Konfigurationen,
• Penetrationstests zur Aufdeckung unsicheren Codes und Designs
• Schwachstellenscans zur Identifikation unsicherer Konfigurationen,
• Penetrationstests zur Aufdeckung unsicheren Codes und Designs

Fazit

Ausgelagerte Entwicklung reduziert keinen Sicherheitsaufwand – sie verschiebt ihn. Ohne klare Anforderungen, vertragliche Regelungen und aktive Steuerung entstehen blinde Flecken, die sich direkt auf die Informationssicherheit auswirken.

Organisationen sollten daher zeitnah prüfen,

• ob Sicherheitsanforderungen für ausgelagerte Entwicklung klar definiert und dokumentiert sind,
• ob diese Anforderungen verbindlicher Bestandteil aller Verträge sind,
• ob Steuerungs‑, Kontroll‑ und Abnahmeprozesse tatsächlich umgesetzt werden,
• ob externe Entwicklung vollständig in das ISMS integriert ist.

Wo Defizite bestehen, sind klare Maßnahmen erforderlich: Anforderungen nachschärfen, Verträge anpassen, Verantwortlichkeiten festlegen und Kontrollmechanismen etablieren. Nur so lässt sich sicherstellen, dass ausgelagerte Entwicklung nicht zur strukturellen Schwachstelle, sondern zu einem beherrschten Bestandteil der Informationssicherheit wird.