Quellcode stellt einen besonders schützenswerten Informationswert dar, da er die Funktionsweise von Anwendungen, Systemen und Geschäftsprozessen offenlegt. Unbefugter Zugriff, Manipulation oder Verlust von Quellcode kann zu Sicherheitslücken, geistigem Eigentumsverlust oder erheblichen Betriebsstörungen führen. Dieses Control stellt sicher, dass der Zugriff auf Quellcode streng geregelt, kontrolliert und überwacht wird.
Zweck des Controls
A 8.4 soll gewährleisten, dass Quellcode vor unbefugtem Zugriff, Veränderung oder Offenlegung geschützt ist. Ziel ist es, die Integrität, Vertraulichkeit und Nachvollziehbarkeit von Softwareentwicklungen sicherzustellen und Risiken durch Manipulation oder Missbrauch zu minimieren.
Anforderungen und Maßnahmen
1. Identifikation und Klassifizierung von Quellcode
Organisationen müssen Quellcode als schützenswerten Informationswert identifizieren:
produktiver und nicht-produktiver Quellcode
Eigenentwicklungen und angepasste Fremdsoftware
Skripte, Konfigurationsdateien und Build-Skripte
Quellcode in Versionsverwaltungssystemen
Die Klassifizierung muss dem Schutzbedarf entsprechen.
2. Festlegung von Zugriffsrichtlinien
Der Zugriff auf Quellcode muss klar geregelt sein:
Definition berechtigter Rollen
Zugriff nach dem Need-to-know-Prinzip
Trennung von Lese-, Schreib- und Freigaberechten
Dokumentation der Zugriffsregelungen
So wird ein kontrollierter Zugriff sichergestellt.
3. Nutzung sicherer Entwicklungsumgebungen
Quellcode muss in sicheren Umgebungen verwaltet werden:
Einsatz geeigneter Versionsverwaltungssysteme
Absicherung von Entwicklungs- und Build-Umgebungen
Trennung von Entwicklungs-, Test- und Produktionsumgebungen
Schutz vor unbefugtem Zugriff auf Repositories
Dies erhöht die Sicherheit der Entwicklung.
4. Schutz vor unbefugten Änderungen
Maßnahmen müssen Manipulation verhindern:
Änderungs- und Freigabeprozesse
Vier-Augen-Prinzip bei Codeänderungen
Nutzung von Pull-Requests oder Code-Reviews
Protokollierung von Änderungen
So bleibt die Integrität des Quellcodes gewahrt.
5. Authentifizierung und Zugriffskontrolle
Der Zugriff auf Quellcode muss abgesichert sein:
starke Authentifizierungsmechanismen
individuelle Benutzerkonten
Schutz vor Weitergabe von Zugangsdaten
Einsatz von Mehrfaktor-Authentifizierung, sofern angemessen
Dies verhindert unbefugten Zugriff.
6. Überwachung und Protokollierung
Zugriffe und Änderungen am Quellcode müssen überwacht werden:
Protokollierung von Zugriffen und Änderungen
Überwachung ungewöhnlicher Aktivitäten
regelmäßige Auswertung der Protokolle
Integration in Incident-Management-Prozesse
So werden Sicherheitsvorfälle frühzeitig erkannt.
7. Umgang mit externen Entwicklern und Dienstleistern
Die Dokumentation unterstützt Audits und Nachvollziehbarkeit.
Zusammenfassung
A 8.4 fordert, dass Organisationen den Zugriff auf Quellcode systematisch absichern. Durch klare Zugriffsrichtlinien, sichere Entwicklungsumgebungen, Schutz vor unbefugten Änderungen, starke Authentifizierung, kontinuierliche Überwachung sowie geregelten Umgang mit externen Entwicklern wird sichergestellt, dass Quellcode als kritischer Informationswert wirksam geschützt ist. Das Control ist ein zentraler Bestandteil der technischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.
