M 2.80 Erstellung eines Anforderungskatalogs für Standardsoftware
Verantwortlich für Initiierung: Leiter Fachabteilung
Verantwortlich für Umsetzung: Fachabteilung, Leiter IT
Zur Lösung einer Aufgabe, die mit IT bearbeitet wird, bietet der Markt meist eine Vielzahl gleichartiger Standardsoftwareprodukte an. In ihrer Grundfunktionalität vergleichbar, unterscheiden sie sich jedoch in Kriterien wie Anschaffungs- und Betriebskosten, Zusatzfunktionalitäten, Kompatibilität, Administration, Ergonomie und IT-Sicherheit.
Anforderungskatalog
Für die Auswahl eines geeigneten Produktes muss daher zunächst ein Anforderungskatalog erstellt werden. Der Anforderungskatalog sollte u. a. zu den folgenden Punkten Aussagen enthalten:
- Funktionale Anforderungen, die das Produkt zur Unterstützung der Aufgabenerfüllung der Fachabteilung erfüllen muss. Die für die Fachaufgabe relevanten Einzelfunktionalitäten sollten hervorgehoben werden.
Verkürzte Beispiele:- Textverarbeitung mit den Zusatzfunktionen Einbinden von Graphiken, Makro-Programmierung, Rechtschreibprüfung und Silbentrennung. Makro-Programmierung muss abschaltbar sein, Rechtschreibprüfung muss in Englisch, Französisch und Deutsch verfügbar sein. Die spezifizierten Textformate müssen im- und exportiert werden können.
- Datenbank (Front-End und Back-End) für Multi-User-Betrieb mit Unterstützung der Standardabfragesprache SQL und graphischer Bedienoberfläche
- Terminplaner zur Koordinierung und Kontrolle von Terminen der Abteilungsangehörigen mit integrierter Terminabstimmung, automatischem Versand von Einladungen und Aufgaben- und Prioritäten-Listen, Schnittstelle zum hausinternen Mailprogramm
- IT-Einsatzumgebung, diese wird einerseits beschrieben durch die Rahmenbedingungen, die durch die vorhandene oder geplante IT-Einsatzumgebung vorgegeben werden, und andererseits durch die Leistungsanforderungen, die durch das Produkt an die Einsatzumgebung vorgegeben werden.
Verkürzte Beispiele:- Vorgegebene IT-Einsatzumgebung: Unter Novell 3.11 vernetzter PC, 80486-Prozessor, 8 MB Hauptspeicher, 500 MB Festplattenkapazität, Diskettenlaufwerk, CD-ROM-Laufwerk, MS-DOS 6.0, Produkt darf maximal 50 MB der Festplatte belegen, es muss unter Windows 3.11 laufen und netztauglich sein.
- Leistungsanforderungen: Das Textverarbeitungsprogramm X benötigt 16 MB Festplattenplatz, läuft auf einem PC ab 80386-Prozessor, 8 MB Hauptspeicher, Windows 3.11.
- Kompatibilitätsanforderungen zu anderen Programmen oder IT-Systemen, also Migrationsunterstützung und Aufwärts- und Abwärtskompatibilität.
Verkürzte Beispiele:- Datenbestände aus der vorhandenen Datenbank XYZ müssen übernommen werden können.
- Die Funktionen A, B, C müssen bei Versionswechseln erhalten bleiben.
- Der Datenaustausch mit dem Unix-System XYZ muss möglich sein.
- Performanceanforderungen beschreiben die erforderlichen Leistungen hinsichtlich Durchsatz und Laufzeitverhalten. Für die geforderten Funktionen sollten möglichst genaue Angaben über die maximal zulässige Bearbeitungszeit getroffen werden.
Verkürzte Beispiele:- Die maximale Antwortzeit bei Ausführung von Funktion X darf 2 Sekunden nicht überschreiten.
- Die Verschlüsselungsrate sollte auf einem 486 DX 33 mindestens 60 KB/sec betragen.
- Andere gleichzeitig verarbeitete Prozesse dürfen durch das Produkt maximal um 30% verlangsamt werden.
- Interoperabilitätsanforderungen, d. h. die Zusammenarbeit mit anderen Produkten über Plattformgrenzen hinweg muss möglich sein.
Verkürzte Beispiele:- Versionen des Textverarbeitungsprogramms sollen für Windows-, Unix- und Macintosh-Plattformen verfügbar sein. Dokumente sollen auf einem Betriebssystem erstellt und auf einem anderen weiterverarbeitet werden können.
- Das Textverarbeitungsprogramm muss mit dem eingesetzten Mailprogramm zusammenarbeiten können.
- Zuverlässigkeitsanforderungen betreffen die Stabilität des Produktes, also Fehlererkennung und Toleranz sowie Ausfall- und Betriebssicherheit.
Verkürzte Beispiele:- Fehleingaben des Benutzers müssen erkannt werden und dürfen nicht zum Programmabbruch oder Systemabsturz führen.
- Die Datenbank muss über Mechanismen verfügen, die es erlauben, bei einem Systemabbruch mit Zerstörung der Datenbank alle Transaktionen zu rekonstruieren (Roll-Forward).
- Konformität zu Standards, dies können internationale Normen, De-facto-Standards oder auch Hausstandards sein.
Verkürzte Beispiele:- Das Produkt muss der EU-Bildschirmrichtlinie 90/270/EWG entsprechen.
- Die Implementation eines Token-Ring-LANs muss konform sein zur Norm ENV 41110.
- Das Produkt muss dem X/Open-Standard entsprechen.
- Einhaltung von internen Regelungen und gesetzlichen Vorschriften (z. B. ausreichender Datenschutz bei der Verarbeitung personenbezogener Daten)
Verkürzte Beispiele:- Das Produkt muss den Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme genügen.
- Da personenbezogene Daten verarbeitet werden, müssen die Bestimmungen des Bundesdatenschutzgesetzes mit den implementierten Funktionen erfüllt werden können.
- Anforderungen an die Benutzerfreundlichkeit, die durch die leichte Bedienbarkeit, Verständlichkeit und Erlernbarkeit gekennzeichnet ist, also insbesondere durch die Güte der Benutzeroberfläche sowie die Qualität der Benutzerdokumentation und der Hilfefunktionen.
Verkürzte Beispiele:- Eine Online-Hilfefunktion muss implementiert sein.
- Die Benutzeroberfläche muss so gestaltet sein, dass ungelernte Kräfte innerhalb von zwei Stunden in die Benutzung eingewiesen werden können.
- Die Benutzerdokumentation und die Benutzeroberfläche sollten in der Landessprache vorliegen.
- Anforderungen an die Wartbarkeit ergeben sich für den Anwender hauptsächlich aus der Fehlerbehandlung des Produktes.
Verkürzte Beispiele:- Der Administrationsaufwand darf nicht zu hoch sein.
- Der Anbieter muss eine Hotline für Fragen anbieten.
- Das Produkt muss einfach zu installieren und zu konfigurieren sein.
- Das Produkt muss einfach zu deinstallieren sein.
- die Obergrenze der Kosten, die durch die Beschaffung dieses Produktes verursacht würden, werden vorgegeben. Dabei müssen nicht nur die unmittelbaren Beschaffungskosten für das Produkt selber einbezogen werden, sondern auch Folgekosten, wie z. B. eine Aufrüstung der Hardware, Personalkosten oder notwendige Schulungen.
Verkürzte Beispiele:- Das Produkt darf maximal 15.000,- Euro kosten.
- Die Schulungskosten dürfen 2.000,- Euro nicht überschreiten
- Aus den Anforderungen an die Dokumentation muss hervorgehen, welche Dokumente in welcher Güte (Vollständigkeit, Verständlichkeit) erforderlich sind.
Verkürzte Beispiele:- Die Benutzerdokumentation muss leicht nachvollziehbar und zum Selbststudium geeignet sein. Die gesamte Funktionalität des Produktes ist zu beschreiben.
- Die Systemverwalterdokumentation muss Handlungsanweisungen für mögliche Fehler enthalten.
- Bezüglich der Softwarequalität können Anforderungen gestellt werden, die von Herstellererklärungen über das eingesetzten Qualitätssicherungsverfahren, über ISO 9000 ff. Zertifikate bis hin zu unabhängigen Softwareprüfungen nach ISO 12119 reichen.
Verkürzte Beispiele:- Der Software-Herstellungsprozess des Herstellers muss nach ISO 9000 zertifiziert sein.
- Die Funktionalität des Produktes muss unabhängig gemäß ISO 12119 überprüft worden sein.
- Sollen durch das Produkt IT-Sicherheitsfunktionen erfüllt werden, sind sie in Form von Sicherheitsanforderungen zu formulieren (siehe M 4.42 Implementierung von Sicherheitsfunktionalitäten in der IT-Anwendung). Dies wird nachfolgend noch ausführlich erläutert.
Sicherheitsanforderungen
Abhängig davon, ob das Produkt Sicherheitseigenschaften bereitstellen muss, können im Anforderungskatalog Sicherheitsfunktionen aufgeführt werden. Typische Sicherheitsfunktionen, die hier in Frage kommen, seien kurz erläutert. Weitere Ausführungen findet man in den ITSEC.
-
Identifizierung und Authentisierung
In vielen Produkten wird es Anforderungen geben, diejenigen Benutzer zu bestimmen und zu überwachen, die Zugriff auf Betriebsmittel haben, die vom Produkt kontrolliert werden. Dazu muss nicht nur die behauptete Identität des Benutzers festgestellt, sondern auch die Tatsache nachgeprüft werden, dass der Benutzer tatsächlich die Person ist, die er zu sein vorgibt. Dies geschieht, indem der Benutzer dem Produkt Informationen liefert, die fest mit dem betreffenden Benutzer verknüpft sind. -
Zugriffskontrolle
Bei vielen Produkten wird es erforderlich sein sicherzustellen, dass Benutzer und Prozesse, die für diese Benutzer tätig sind, daran gehindert werden, Zugriff auf Informationen oder Betriebsmittel zu erhalten, für die sie kein Zugriffsrecht haben oder für die keine Notwendigkeit zu einem Zugriff besteht. Desgleichen wird es Anforderungen bezüglich der unbefugten Erzeugung oder Änderung (einschließlich Löschung) von Informationen geben. -
Beweissicherung
Bei vielen Produkten wird es erforderlich sein sicherzustellen, dass über Handlungen, die von Benutzern bzw. von Prozessen im Namen solcher Benutzer ausgeführt werden, Informationen aufgezeichnet werden, damit die Folgen solcher Handlungen später dem betreffenden Benutzer zugeordnet werden können und der Benutzer für seine Handlungen verantwortlich gemacht werden kann. -
Protokollauswertung
Bei vielen Produkten wird sicherzustellen sein, dass sowohl über gewöhnliche Vorgänge als auch über außergewöhnliche Vorfälle ausreichend Informationen aufgezeichnet werden, damit durch Nachprüfungen später festgestellt werden kann, ob tatsächlich Sicherheitsverletzungen vorgelegen haben und welche Informationen oder sonstigen Betriebsmittel davon betroffen waren. -
Unverfälschbarkeit
Bei vielen Produkten wird es erforderlich sein sicherzustellen, dass bestimmte Beziehungen zwischen unterschiedlichen Daten korrekt bleiben und dass Daten zwischen einzelnen Prozessen ohne Änderungen übertragen werden.
Daneben müssen auch Funktionen bereitgestellt werden, die es bei der Übertragung von Daten zwischen einzelnen Prozessen, Benutzern und Objekten ermöglichen, Verluste, Ergänzungen oder Veränderungen zu entdecken bzw. zu verhindern, und die es unmöglich machen, die angebliche oder tatsächliche Herkunft bzw. Bestimmung der Datenübertragung zu ändern. -
Zuverlässigkeit
Bei vielen Produkten wird es erforderlich sein sicherzustellen, dass zeitkritische Aufgaben genau zu dem Zeitpunkt durchgeführt werden, zu dem es erforderlich ist, also nicht früher oder später, und es wird sicherzustellen sein, dass zeitunkritische Aufgaben nicht in zeitkritische umgewandelt werden können. Desgleichen wird es bei vielen Produkten erforderlich sein sicherzustellen, dass ein Zugriff in dem erforderlichen Moment möglich ist und Betriebsmittel nicht unnötig angefordert oder zurückgehalten werden. -
Übertragungssicherung
Dieser Begriff umfasst alle Funktionen, die für den Schutz der Daten während der Übertragung über Kommunikationskanäle vorgesehen sind:- Authentisierung
- Zugriffskontrolle
- Datenvertraulichkeit
- Datenintegrität
- Sende- und Empfangsnachweis
Über die ITSEC hinaus können weitere Sicherheitsanforderungen an Standardsoftware konkretisiert werden.
-
Datensicherung
An die Verfügbarkeit der mit dem Produkt verarbeiteten Daten werden hohe Anforderungen gestellt. Unter diesen Punkt fallen im Produkt integrierte Funktionen, die Datenverlusten vorbeugen sollen wie die automatische Speicherung von Zwischenergebnissen oder die automatische Erstellung von Sicherungskopien vor der Durchführung größerer Änderungen. -
Verschlüsselung
Verschlüsselung dient der Wahrung der Vertraulichkeit von Daten. Bei vielen Produkten wird es erforderlich sein, Nutzdaten vor einer Übertragung oder nach der Bearbeitung zu verschlüsseln und sie nach Empfang oder vor der Weiterverarbeitung zu entschlüsseln. Hierzu ist ein anerkanntes Verschlüsselungsverfahren zu verwenden. Es ist sicherzustellen, dass die zur Entschlüsselung benötigten Parameter (z. B. Schlüssel) in der Weise geschützt sind, dass kein Unbefugter Zugang zu diesen Daten besitzt. -
Funktionen zur Wahrung der Datenintegrität
Für Daten, deren Integritätsverlust zu Schäden führen kann, können Funktionen eingesetzt werden, die Fehler erkennen lassen oder sogar mittels Redundanz korrigieren können. Meist werden Verfahren zur Integritätsprüfung eingesetzt, die absichtliche Manipulationen am Produkt bzw. den damit erstellten Daten sowie ein unbefugtes Wiedereinspielen von Daten zuverlässig aufdecken können. Sie basieren auf kryptographischen Verfahren (siehe M 5.36 Verschlüsselung unter Unix und Windows NT und M 4.34 Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen). -
Datenschutzrechtliche Anforderungen
Wenn mit dem Produkt personenbezogene Daten verarbeitet werden sollen, sind über die genannten Sicherheitsfunktionen hinaus zusätzliche spezielle technische Anforderungen zu stellen, um den Datenschutzbestimmungen genügen zu können.
Stärke der Mechanismen
Sicherheitsfunktionen werden durch Mechanismen umgesetzt. Je nach Einsatzzweck müssen diese Mechanismen eine unterschiedliche Stärke besitzen, mit der sie Angriffe abwehren können. Die erforderliche Stärke der Mecha-
nismen ist im Anforderungskatalog anzugeben. Nach ITSEC unterscheidet man drei verschiedene Mechanismenstärken:
- niedrig: bietet Schutz gegen zufällige unbeabsichtigte Angriffe, z. B. Bedienungsfehler.
- mittel: bietet Schutz gegen Angreifer mit beschränkten Gelegenheiten oder Betriebsmitteln.
- hoch: kann nur von Angreifern überwunden werden, die über sehr gute Fachkenntnisse, Gelegenheiten und Betriebsmitteln verfügen, wobei ein solcher erfolgreicher Angriff als normalerweise nicht durchführbar beurteilt wird.
Beispiele für Anforderungen zu Sicherheitseigenschaften
Nachfolgend werden für einige wichtige Sicherheitsfunktionen Beispiele genannt, aus denen typische Anforderungen an Sicherheitseigenschaften deutlich werden.
Soll das Produkt über einen Identifizierungs- und Authentisierungsmechanismus verfügen, können beispielsweise folgende Anforderungen gestellt werden:
- Der Zugang darf ausschließlich über eine definierte Schnittstelle erfolgen. Dabei kann z. B. ein Anmeldemechanismus zum Einsatz kommen, der eine eindeutige Benutzer-Kennung und ein Passwort verlangt. Wird beim Zugang zum IT-System bereits die Identität des Benutzers sichergestellt, ist eine anonyme Passworteingabe ausreichend. Andere Möglichkeiten sind Verfahren, die auf dem Besitz bestimmter "Token" beruhen, wie z. B. einer Chipkarte.
- Das Zugangsverfahren selbst muss die sicherheitskritischen Parameter, wie Passwort, Benutzer-Kennung, usw., sicher verwalten. So dürfen aktuelle Passwörter nie unverschlüsselt auf den entsprechenden IT-Systemen gespeichert werden.
- Das Zugangsverfahren muss definiert auf Fehleingaben reagieren. Erfolgt zum Beispiel dreimal hintereinander eine fehlerhafte Authentisierung, ist der Zugang zum Produkt zu verwehren oder alternativ sind die zeitlichen Abstände, nach denen ein weiterer Zugangsversuch erlaubt wird, sukzessiv zu vergrößern.
- Das Zugangsverfahren muss das Setzen bestimmter Minimalvorgaben für die sicherheitskritischen Parameter zulassen. So sollte die Mindestlänge eines Passwortes sechs Zeichen, die Mindestlänge einer PIN drei Ziffern betragen. Ggf. ist auch die Syntax für Passwörter vorzugeben.
Soll das Produkt über eine Zugriffskontrolle verfügen, können beispielsweise folgende Anforderungen gestellt werden:
- Das Produkt muss verschiedene Benutzer unterscheiden können.
- Das Produkt muss je nach Vorgabe Ressourcen einzelnen autorisierten Benutzer zuteilen können und Unberechtigten den Zugriff gänzlich verwehren.
- Mittels einer differenzierten Rechtestruktur (lesen, schreiben, ausführen, ändern, ...) sollte der Zugriff geregelt werden können. Die für die Rechteverwaltung relevanten Daten sind manipulationssicher vom Produkt zu verwalten.
Soll das Produkt über eine Protokollierung verfügen, können folgende Anforderungen sinnvoll sein:
-
Der Mindestumfang, den das Produkt protokollieren können muss, sollte parametrisierbar sein. Beispielsweise sollten folgende Aktionen protokollierbar sein:
- bei Authentisierung: Benutzer-Kennung, Datum und Uhrzeit, Erfolg, ...,
- bei der Zugriffskontrolle: Benutzer-Kennung, Datum und Uhrzeit, Erfolg, Art des Zugriffs, was wurde wie geändert, gelesen, geschrieben, ...,
- Durchführung von Administratortätigkeiten,
- Auftreten von funktionalen Fehlern.
- Die Protokollierung darf von Unberechtigten nicht deaktivierbar sein. Die Protokolle selbst dürfen für Unberechtigte weder lesbar noch modifizierbar sein.
- Die Protokollierung muss übersichtlich, vollständig und korrekt sein.
Soll das Produkt über eine Protokollauswertung verfügen, können folgende Anforderungen sinnvoll sein:
-
Eine Auswertefunktion muss nach den bei der Protokollierung geforderten Datenarten unterscheiden können (z. B. "Filtern aller unberechtigten Zugriffe auf alle Ressourcen in einem vorgegebenen Zeitraum").
Die Auswertefunktion muss auswertbare ("lesbare") Berichte erzeugen, so dass keine sicherheitskritischen Aktivitäten übersehen werden.
Soll das Produkt über Funktionen zur Unverfälschbarkeit verfügen, könnte beispielsweise folgende Anforderung gestellt werden:
- Ein Datenbank-Managementsystem muss über Möglichkeiten zur Beschreibung von Regeln bestimmter Beziehungen zwischen den gespeicherten Daten verfügen (z. B. referentielle Integrität). Außerdem müssen geeignete Mechanismen existieren, die verhindern, dass es durch Änderungen der Daten zu Verstößen gegen diese Regeln kommt.
Soll das Produkt über Funktionen zur Datensicherung verfügen, können beispielsweise folgende Anforderungen gestellt werden:
- Es muss konfigurierbar sein, welche Daten wann gesichert werden.
- Es muss eine Option zum Einspielen beliebiger Datensicherungen existieren.
- Die Funktion muss das Sichern von mehreren Generationen ermöglichen.
- Datensicherungen von Zwischenergebnissen aus der laufenden Anwendung sollen möglich sein.
Soll das Produkt über eine Verschlüsselungskomponente verfügen, sind folgende Anforderungen sinnvoll:
- Der implementierte Verschlüsselungsalgorithmus sollte - beim Einsatz in Behörden - vom BSI anerkannt sein. Hier empfiehlt sich eine individuelle Beratung durch das BSI. Außerhalb der Behörden ist bei mittlerem Schutzbedarf der DES geeignet.
-
Das Schlüsselmanagement muss mit der Funktionalität des Produktes harmonieren. Dabei sind insbesondere grundsätzliche Unterschiede der Algorithmen zu berücksichtigen:
- symmetrische Verfahren benutzen einen geheim zu haltenden Schlüssel für die Ent- und Verschlüsselung,
- asymmetrische Verfahren benutzen einen öffentlichen Schlüssel für die Verschlüsselung und einen privaten (geheim zu haltenden) für die Entschlüsselung.
- Das Produkt muss die sicherheitskritischen Parameter wie Schlüssel sicher verwalten. So dürfen Schlüssel (auch mittlerweile nicht mehr benutzte) nie ungeschützt, das heißt auslesbar, auf den entsprechenden IT-Systemen abgelegt werden.
Soll das Produkt über Mechanismen zur Integritätsprüfung verfügen, sind folgende Anforderungen sinnvoll:
- Das Produkt führt bei jedem Programmaufruf einen Integritätscheck durch.
- Bei der Datenübertragung müssen Mechanismen eingesetzt werden, mit denen absichtliche Manipulationen an den Adressfeldern und den Nutzdaten erkannt werden können. Daneben darf die bloße Kenntnis der eingesetzten Algorithmen ohne spezielle Zusatzkenntnisse nicht ausreichen, unerkannte Manipulationen an den obengenannten Daten vorzunehmen.
Werden personenbezogene Daten mit dem Produkt verarbeitet, könnenbeispielsweise folgende datenschutzrechtlichen Anforderungen gestellt werden:
- Das Produkt darf keine freie Abfrage für Datenauswertungen zulassen. Die Auswertungen von Datensätzen müssen auf bestimmte Kriterien einschränkbar sein.
- Es muss parametrisierbar sein, dass für bestimmte Dateien Änderungen, Löschungen oder Ausdrucke von personenbezogenen Daten nur nach dem Vier-Augen-Prinzip möglich sind.
- Die Protokollierung muss parametrisierbar sein, so dass aufgezeichnet werden kann, wer wann an welchen personenbezogenen Daten welche Änderungen vorgenommen hat.
- Die Übermittlung personenbezogener Daten muss durch geeignete Stichprobenverfahren festgestellt und überprüft werden können (BDSG, § 10). Die Art der Stichprobe muss sich individuell einstellen lassen.
- Das Produkt muss das Löschen von personenbezogenen Daten ermöglichen. Ersatzweise muss das Sperren personenbezogener Daten möglich sein, um ihre weitere Verarbeitung oder Nutzung einzuschränken bzw. zu verhindern.
Bewertungsskala
Um einen Vergleich verschiedener Produkte im Sinne einer Nutzwertanalyse durchführen zu können, müssen Kriterien vorhanden sein, wie die Erfüllung der einzelnen Anforderungen gewertet wird. Dazu ist es erforderlich, vorab die Bedeutung der einzelnen Anforderungen für die angestrebte IT-gestützte Aufgabenerfüllung quantitativ oder qualitativ zu bewerten.
Diese Bewertung kann beispielsweise in drei Stufen vorgenommen werden. In der ersten Stufe wird festgelegt, welche im Anforderungskatalogs geforderten Eigenschaften notwendig und welche wünschenswert sind. Wenn eine notwendige Eigenschaft nicht erfüllt ist, wird das Produkt abgelehnt (so genanntes K.O.-Kriterium). Das Fehlen einer wünschenswerten Eigenschaft wird zwar negativ gewertet, dennoch wird aber das Produkt aufgrund dessen nicht zwingend abgelehnt.
Als zweite Stufe wird die Bedeutung der geforderten wünschenswerte Eigenschaft für die Aufgabenerfüllung angegeben. Dies kann z. B. quantitativ mit Werten zwischen 1 für niedrig und 5 für hoch erfolgen. Notwendige Eigenschaften müssen nicht quantitativ bewertet werden. Ist dies aber aus rechnerischen Gründen erforderlich, müssen sie auf jeden Fall höher bewertet werden als jede wünschenswerte Eigenschaft (um die Bedeutung einer notwendigen Eigenschaft hervorzuheben, kann sie z. B. mit 10 bewertet werden).
In der dritten Stufe wird ein Vertrauensanspruch für die Korrektheit Aufgabenerfüllung der geforderten Eigenschaften angegeben (z. B. mit Werten zwischen 1 für niedrig und 5 für hoch). Anhand des Vertrauensanspruchs wird später entschieden, wie eingehend die Eigenschaft getestet wird. Der Vertrauensanspruch der Sicherheitsmechanismen muss entsprechend ihrer Mechanismenstärke bewertet werden, beispielsweise kombiniert man
- Mechanismenstärke niedrig mit Vertrauensanspruch 1
- Mechanismenstärke mittel mit Vertrauensanspruch 3
- Mechanismenstärke hoch mit Vertrauensanspruch 5
Diese Orientierungswerte müssen im Einzelfall verifiziert werden.
Beispiele:
Auszugsweise sollen für einige typische Standardsoftwareprodukte Sicherheitsanforderungen erläutert werden:
Textverarbeitungsprogramm:
- Notwendige Sicherheitseigenschaften:
- Automatische Datensicherung im laufenden Betrieb von Zwischenergebnissen
-
Wünschenswerte Sicherheitseigenschaften:
- Passwortschutz einzelner Dateien
- Verschlüsselung einzelner Dateien
- Makro-Programmierung muss abschaltbar sein
Dateikompressionsprogramm:
-
Notwendige Sicherheitseigenschaften:
- Im Sinne der Datensicherung dürfen nach Kompression zu löschende Dateien erst dann vom Kompressionsprogramm gelöscht werden, wenn die Kompression fehlerfrei abgeschlossen wurde.
- Vor der Dekomprimierung einer Datei muss deren Integrität überprüft werden, damit z. B. Bitfehler in der komprimierten Datei erkannt werden.
-
Wünschenswerte Sicherheitseigenschaften:
- Passwortschutz komprimierter Dateien
Terminplaner:
-
Notwendige Sicherheitseigenschaften:
- Eine sichere Identifikation und Authentisierung der einzelnen Benutzer muss erzwungen werden, z. B. über Passwörter.
- Eine Zugriffskontrolle für die Terminpläne der einzelnen Mitarbeiter ist erforderlich.
- Zugriffsrechte müssen für Einzelne, Gruppen und Vorgesetzte getrennt vergeben werden können.
- Eine Unterscheidung zwischen Lese- und Schreibrecht muss möglich sein.
-
Wünschenswerte Sicherheitseigenschaften:
- Eine automatisierte Datensicherung in verschlüsselter Form ist vorzusehen.
Reisekostenabrechnungssystem:
-
Notwendige Sicherheitseigenschaften:
- Eine sichere Identifikation und Authentisierung der einzelnen Benutzer muss erzwungen werden, z. B. über Passwörter.
- Eine Zugriffskontrolle muss vorhanden und auch für einzelne Datensätze einsetzbar sein.
- Zugriffsrechte müssen für Benutzer, Administrator, Revisor und Datenschutzbeauftragter getrennt vergeben werden können. Eine Rollentrennung zwischen Administrator und Revisor muss durchführbar sein.
- Datensicherungen müssen so durchgeführt werden können, dass sie verschlüsselt abgelegt werden und nur von Berechtigten wiedereingespielt werden können.
- Detaillierte Protokollierungsfunktionen müssen verfügbar sein.
-
Wünschenswerte Sicherheitseigenschaften:
- Ein optionaler Integritätscheck für zahlungsrelevante Daten sollte angeboten werden.
Beispiel für eine Bewertungsskala:
Eine Fachabteilung will für Datensicherungszwecke ein Komprimierungsprogramm beschaffen. Nach der Erstellung eines Anforderungskataloges könnten die dort spezifizierten Eigenschaften wie folgt bewertet werden:
Eigenschaft | notwendig | wünschenswert | Bedeutung | Vertrauensanspruch |
---|---|---|---|---|
korrekte Kompression und Dekompression |
X |
10 |
5 | |
Erkennen von Bitfehlern in einer komprimierten Datei |
X |
10 |
2 | |
Löschung von Dateien nur nach erfolgreicher Kompression |
X |
10 |
3 | |
DOS-PC, 80486, 8 MB |
X |
10 |
5 | |
Windows-tauglich |
X |
2 |
1 | |
Durchsatz bei 50 MHz über 1 MB/s |
X |
4 |
3 | |
Kompressionsrate über 40% bei Textdateien des Programms XYZ |
X |
4 |
3 | |
Online-Hilfefunktion |
X |
3 |
1 | |
Maximale Kosten 50.- Euro pro Lizenz |
X |
10 |
5 | |
Passwortschutz für komprimierte Dateien (Mechanismenstärke hoch) |
X |
2 |
5 |
Ergänzende Kontrollfragen:
- Wer wird bei der Erstellung des Anforderungskatalogs beteiligt?
- Wer entscheidet, ob ein Produkt Sicherheitsfunktionen beinhalten muss?
- Gibt es einheitliche Vorgaben, wie eine Nutzwertanalyse aufgebaut sein muss?