(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Quellcode stellt einen besonders schützenswerten Informationswert dar, da er die Funktionsweise von Anwendungen, Systemen und Geschäftsprozessen offenlegt. Unbefugter Zugriff, Manipulation oder Verlust von Quellcode kann zu Sicherheitslücken, geistigem Eigentumsverlust oder erheblichen Betriebsstörungen führen. Dieses Control stellt sicher, dass der Zugriff auf Quellcode streng geregelt, kontrolliert und überwacht wird.

Zweck des Controls

A 8.4 soll gewährleisten, dass Quellcode vor unbefugtem Zugriff, Veränderung oder Offenlegung geschützt ist. Ziel ist es, die Integrität, Vertraulichkeit und Nachvollziehbarkeit von Softwareentwicklungen sicherzustellen und Risiken durch Manipulation oder Missbrauch zu minimieren.

Anforderungen und Maßnahmen

1. Identifikation und Klassifizierung von Quellcode

Organisationen müssen Quellcode als schützenswerten Informationswert identifizieren:

• produktiver und nicht-produktiver Quellcode
• Eigenentwicklungen und angepasste Fremdsoftware
• Skripte, Konfigurationsdateien und Build-Skripte
• Quellcode in Versionsverwaltungssystemen

Die Klassifizierung muss dem Schutzbedarf entsprechen.

2. Festlegung von Zugriffsrichtlinien

Der Zugriff auf Quellcode muss klar geregelt sein:

• Definition berechtigter Rollen
• Zugriff nach dem Need-to-know-Prinzip
• Trennung von Lese-, Schreib- und Freigaberechten
• Dokumentation der Zugriffsregelungen

So wird ein kontrollierter Zugriff sichergestellt.

3. Nutzung sicherer Entwicklungsumgebungen

Quellcode muss in sicheren Umgebungen verwaltet werden:

• Einsatz geeigneter Versionsverwaltungssysteme
• Absicherung von Entwicklungs- und Build-Umgebungen
• Trennung von Entwicklungs-, Test- und Produktionsumgebungen
• Schutz vor unbefugtem Zugriff auf Repositories

Dies erhöht die Sicherheit der Entwicklung.

4. Schutz vor unbefugten Änderungen

Maßnahmen müssen Manipulation verhindern:

• Änderungs- und Freigabeprozesse
• Vier-Augen-Prinzip bei Codeänderungen
• Nutzung von Pull-Requests oder Code-Reviews
• Protokollierung von Änderungen

So bleibt die Integrität des Quellcodes gewahrt.

5. Authentifizierung und Zugriffskontrolle

Der Zugriff auf Quellcode muss abgesichert sein:

• starke Authentifizierungsmechanismen
• individuelle Benutzerkonten
• Schutz vor Weitergabe von Zugangsdaten
• Einsatz von Mehrfaktor-Authentifizierung, sofern angemessen

Dies verhindert unbefugten Zugriff.

6. Überwachung und Protokollierung

Zugriffe und Änderungen am Quellcode müssen überwacht werden:

• Protokollierung von Zugriffen und Änderungen
• Überwachung ungewöhnlicher Aktivitäten
• regelmäßige Auswertung der Protokolle
• Integration in Incident-Management-Prozesse

So werden Sicherheitsvorfälle frühzeitig erkannt.

7. Umgang mit externen Entwicklern und Dienstleistern

Externe Parteien müssen besonderen Regelungen unterliegen:

• vertragliche Verpflichtung zur Vertraulichkeit
• klare Definition der Zugriffsrechte
• zeitliche Begrenzung der Zugriffe
• Kontrolle und Entzug der Rechte nach Projektende

Dies reduziert Risiken durch Dritte.

8. Dokumentation und Integration ins ISMS

Zugriffe auf Quellcode müssen dokumentiert sein:

• Zugriffsrichtlinien und -regelungen
• Rollen und Verantwortlichkeiten
• Nachweise über Reviews und Freigaben
• Integration in Risiko- und Sicherheitsprozesse

Die Dokumentation unterstützt Audits und Nachvollziehbarkeit.

Zusammenfassung

A 8.4 fordert, dass Organisationen den Zugriff auf Quellcode systematisch absichern. Durch klare Zugriffsrichtlinien, sichere Entwicklungsumgebungen, Schutz vor unbefugten Änderungen, starke Authentifizierung, kontinuierliche Überwachung sowie geregelten Umgang mit externen Entwicklern wird sichergestellt, dass Quellcode als kritischer Informationswert wirksam geschützt ist. Das Control ist ein zentraler Bestandteil der technischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.