(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Anwendungen verarbeiten häufig geschäftskritische und schützenswerte Informationen und sind daher ein zentrales Angriffsziel. Unzureichend definierte oder umgesetzte Sicherheitsanforderungen können zu Schwachstellen, Datenverlust oder Missbrauch führen. Dieses Control stellt sicher, dass Sicherheitsanforderungen systematisch definiert, umgesetzt und überprüft werden.

Zweck des Controls

A 8.26 soll gewährleisten, dass Anwendungen während ihres gesamten Lebenszyklus angemessene Sicherheitsfunktionen und -mechanismen besitzen. Ziel ist es, die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität von Informationen sicherzustellen und Risiken durch unsichere Anwendungen zu minimieren.

Anforderungen und Maßnahmen

1. Definition von Sicherheitsanforderungen für Anwendungen

Organisationen müssen Sicherheitsanforderungen für Anwendungen festlegen, insbesondere:

• Anforderungen an Zugriffskontrolle und Authentifizierung
• Schutz sensibler Informationen
• Protokollierungs- und Überwachungsanforderungen
• Anforderungen an Verfügbarkeit und Fehlertoleranz

Die Anforderungen müssen dokumentiert sein.

2. Ableitung aus Risiko- und Schutzbedarfsanalysen

Anwendungssicherheitsanforderungen müssen risikoorientiert abgeleitet werden:

• Berücksichtigung des Schutzbedarfs der verarbeiteten Informationen
• Bewertung potenzieller Bedrohungen
• Abgleich mit gesetzlichen und vertraglichen Vorgaben
• Priorisierung kritischer Anforderungen

So werden Sicherheitsmaßnahmen gezielt eingesetzt.

3. Sichere Architektur und Design

Anwendungen müssen sicher konzipiert werden:

• Nutzung sicherer Architekturprinzipien
• Trennung von Komponenten und Funktionen
• Minimierung von Angriffsflächen
• Schutz von Schnittstellen und APIs

Dies legt die Grundlage für sichere Anwendungen.

4. Umsetzung von Sicherheitsfunktionen

Definierte Sicherheitsanforderungen müssen umgesetzt werden:

• Zugriffsbeschränkungen und Rollenmodelle
• Eingabevalidierung und Fehlerbehandlung
• Schutz vor gängigen Angriffen
• sichere Speicherung sensibler Daten

So wird die Sicherheit technisch realisiert.

5. Sicherheitsprüfungen und Tests

Anwendungen müssen vor und während des Betriebs geprüft werden:

• Sicherheits- und Funktionstests
• automatisierte Prüfverfahren
• manuelle Reviews
• Dokumentation der Testergebnisse

Tests helfen, Schwachstellen zu erkennen.

6. Kontrolle von Änderungen und Weiterentwicklungen

Änderungen an Anwendungen müssen sicher gesteuert werden:

• Integration in Change-Management
• Bewertung von Sicherheitsauswirkungen
• erneute Tests nach Änderungen
• Freigabe vor Produktivsetzung

So bleibt die Anwendung sicher.

7. Betrieb und Wartung sicherer Anwendungen

Auch im Betrieb müssen Sicherheitsanforderungen erfüllt sein:

• regelmäßige Updates und Patches
• Überwachung sicherheitsrelevanter Ereignisse
• Umgang mit Sicherheitsvorfällen
• Wartungs- und Supportprozesse

Dies stellt langfristige Sicherheit sicher.

8. Dokumentation und kontinuierliche Verbesserung

Anwendungssicherheitsanforderungen müssen dokumentiert und überprüft werden:

• Sicherheitsanforderungen und Architektur
• Nachweise über Prüfungen
• Verantwortlichkeiten
• Anpassung an neue Bedrohungen

Die Dokumentation unterstützt Audits und Weiterentwicklung.

Zusammenfassung

A 8.26 fordert, dass Organisationen Sicherheitsanforderungen für Anwendungen systematisch definieren, umsetzen und überprüfen. Durch risikoorientierte Anforderungen, sichere Architektur, technische Umsetzung, regelmäßige Tests sowie kontrollierten Betrieb wird sichergestellt, dass Anwendungen nicht zur Schwachstelle der Informationssicherheit werden. Das Control ist ein zentraler Bestandteil der technischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.