(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Die Installation von Software auf produktiven Systemen kann erhebliche Auswirkungen auf die Informationssicherheit, Stabilität und Verfügbarkeit haben. Unkontrollierte oder unsachgemäße Softwareinstallationen erhöhen das Risiko von Schadsoftware, Sicherheitslücken oder Systemausfällen. Dieses Control stellt sicher, dass Softwareinstallationen auf Systemen im Betrieb kontrolliert, geprüft und nachvollziehbar erfolgen.

Zweck des Controls

A 8.19 soll gewährleisten, dass die Installation von Software auf produktiven Systemen sicher und kontrolliert durchgeführt wird. Ziel ist es, Risiken durch unautorisierte, unsichere oder inkompatible Software zu minimieren und die Integrität sowie Verfügbarkeit von Systemen und Informationen zu schützen.

Anforderungen und Maßnahmen

1. Festlegung von Installationsrichtlinien

Organisationen müssen Richtlinien für Softwareinstallationen definieren, insbesondere:

• zulässige Softwarearten
• Genehmigungs- und Freigabeprozesse
• Verantwortlichkeiten für Installation und Pflege
• Anforderungen an Sicherheit und Qualität

Die Richtlinien müssen dokumentiert und bekannt sein.

2. Genehmigung und Autorisierung

Softwareinstallationen müssen vorab genehmigt werden:

• formale Antragsverfahren
• Prüfung des fachlichen Bedarfs
• Bewertung der Sicherheitsauswirkungen
• Freigabe durch zuständige Stellen

So werden unkontrollierte Installationen vermieden.

3. Prüfung der Software

Vor der Installation muss Software geprüft werden:

• Herkunft und Vertrauenswürdigkeit
• Integrität und Authentizität
• Sicherheits- und Lizenzaspekte
• Kompatibilität mit bestehenden Systemen

Dies reduziert Risiken durch Schadsoftware.

4. Einschränkung von Installationsrechten

Installationsrechte müssen beschränkt werden:

• Installation nur durch berechtigte Personen
• Trennung von Benutzer- und Administrationsrechten
• Einsatz privilegierter Konten nur bei Bedarf
• Protokollierung von Installationen

So wird Missbrauch verhindert.

5. Durchführung der Installation

Die Installation muss kontrolliert erfolgen:

• Nutzung definierter Installationsverfahren
• Einhaltung von Sicherheitsvorgaben
• Vermeidung unnötiger Zusatzkomponenten
• Dokumentation der Installation

Dies stellt einen stabilen Betrieb sicher.

6. Überprüfung nach der Installation

Nach der Installation muss die Software überprüft werden:

• Funktions- und Sicherheitstests
• Prüfung der Systemintegrität
• Überwachung auf Auffälligkeiten
• Freigabe für den produktiven Einsatz

So werden Probleme frühzeitig erkannt.

7. Umgang mit Updates und Änderungen

Updates und Änderungen müssen geregelt sein:

• regelmäßige Aktualisierung der Software
• kontrollierte Update-Prozesse
• Bewertung von Auswirkungen auf den Betrieb
• Dokumentation von Änderungen

Dies hält Systeme sicher und aktuell.

8. Dokumentation und kontinuierliche Verbesserung

Softwareinstallationen müssen dokumentiert sein:

• installierte Software und Versionen
• Genehmigungen und Freigaben
• verantwortliche Personen
• regelmäßige Überprüfung der Richtlinien

Die Dokumentation unterstützt Audits und Nachvollziehbarkeit.

Zusammenfassung

A 8.19 fordert, dass Organisationen die Installation von Software auf Systemen im Betrieb streng kontrollieren. Durch klare Installationsrichtlinien, Genehmigungsprozesse, Prüfung der Software, Einschränkung von Installationsrechten sowie Überprüfung nach der Installation wird sichergestellt, dass Softwareinstallationen nicht zu Risiken für die Informationssicherheit führen. Das Control ist ein zentraler Bestandteil der technischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.