BSI TR-03185 – Sicherer Software-Lebenszyklus

Schwachstellen in Software erhöhen das Risiko von Cyber-Angriffen, wie die steigende Zahl erfolgreicher Angriffe auf Institutionen wie Krankenhäuser und Kommunen zeigt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert täglich ca. 70 neue Schwachstellen in Softwareprodukten, wobei immer mehr dieser Schwachstellen als kritisch eingestuft werden. Die Ursachen für diese Schwachstellen liegen häufig in der unzureichenden Berücksichtigung der Informationssicherheit bei der Entwicklung und in der mangelnden Pflege der Produkte.

Der Cyber Resilience Act (CRA) der EU zielt darauf ab, die Cyber-Sicherheit von IT-Produkten über den gesamten Lebenszyklus zu verbessern und Hersteller zur Einhaltung entsprechender Sicherheitsstandards zu verpflichten. Vor diesem Hintergrund wurde die Technische Richtlinie TR-03185 entwickelt, um die Anforderungen des BSI IT-Grundschutzes und weiterer Standards zu einem umfassenden Leitfaden für einen sicheren Software-Lebenszyklus zu bündeln.

Zielgruppe & Zielsetzung

Die Richtlinie richtet sich sowohl an Hersteller von Software (“Software-Produzent”) als auch an Hersteller als Anwender von Software. Hersteller im Sinne der Richtlinie sind natürliche oder juristische Personen, die Software entwickeln, bereitstellen und unterstützen. Anwender hingegen nutzen Software zur Unterstützung des Software-Lebenszyklus. Beide Gruppen müssen die Sicherheitsanforderungen in ihrem jeweiligen Bereich berücksichtigen.

Die TR-03185 verfolgt folgende Ziele:

  • Auflistung und Gruppierung von Anforderungen aus existierenden Standards,
  • Einführung in die Thematik des sicheren Software-Lebenszyklus,
  • Darstellung relevanter Anforderungen im Kontext der Informationssicherheit,
  • Bewertung und Verbesserung des Software-Lebenszyklus im Hinblick auf Informationssicherheit.

Prozesse und Anforderungen

Die Richtlinie behandelt Prozesse und Werkzeuge im Kontext der Softwareerstellung. Sie unterscheidet dabei in Anforderungen an den Hersteller als Produzenten sowie an Hersteller in der Perspektive als Anwender von Software.

Software-Anwender

Zu den Anforderungen an den Hersteller in der Perspektive als Anwender von Standard-Software gehören Werkzeuge zur Unterstützung des Software-Lebenszyklus, die in den Prozessen des Software-Produzenten zum Einsatz kommen. Die Anforderungen untergliedern sich in:

  • Projektmanagement: Definition und Dokumentation der Anforderungen an Softwarewerkzeuge, Auswahl geeigneter Werkzeuge und deren sichere Beschaffung und Betrieb.
  • Dokumentation: Erstellung und Pflege der Dokumentation zu den eingesetzten Werkzeugen und deren Anwendung.
  • Test und Freigabe: Planung und Durchführung von Tests zur Überprüfung der Funktionalität und Sicherheit der Software.
  • Installation: Sichere Installation und Konfiguration von Software.
  • Patch- und Änderungsmanagement: Regelmäßige Aktualisierung der Software und Verwaltung von Änderungen.
  • Außerbetriebnahme: Sichere Löschung der Software und ihrer Daten.

Software-Produzent

Die Anforderungen an den Hersteller in der Perspektive als Produzent von Software sind in folgende Bereiche unterteilt:

  • Projektmanagement: Definition und Dokumentation der Sicherheitsanforderungen, Festlegung eines geeigneten Vorgehensmodells und Implementierung eines kontinuierlichen Verbesserungsprozesses.
  • Dokumentation: Erstellung der Projektdokumentation und der Benutzerdokumentation.
  • Entwicklung: Sicheres Design und Implementierung der Software, einschließlich Bedrohungsmodellierung und entwicklungsbegleitender Tests.
  • Testen: Planung und Durchführung umfassender Tests zur Sicherstellung der Softwarequalität.
  • Auslieferung: Sicherstellung der Integrität und Authentizität der ausgelieferten Software.
  • Fehlerbehebung und Schwachstellenmanagement: Verfahren zur Behandlung von Sicherheitsproblemen und Schwachstellen.
  • Außerbetriebnahme: Sichere Deinstallation und Löschung der Software und ihrer Daten.

Fazit

Es ist erfreulich zu sehen, dass das BSI Maßnahmen zur Förderung sicherer Softwareentwicklung ergreift. Mit der TR-03185 stellt das BSI einen umfassenden Leitfaden zur Verfügung, der die systematische Berücksichtigung von Sicherheitsanforderungen im Software-Lebenszyklus unterstützt und damit die Widerstandsfähigkeit gegen Cyber-Angriffe erhöht. Die neue Richtlinie hat das Potenzial, breite Anwendung zu finden und die Sicherheit von Softwareprodukten in vielen Bereichen erheblich zu verbessern.

Kommentar hinzufügen