A.8.19 — Installation von Software auf Betriebssystemen

Auf dem Arbeitsplatzrechner des Vertriebsleiters laufen 47 Programme — davon hat die IT 12 genehmigt. Unter den anderen: ein VPN-Client aus zweifelhafter Quelle, ein PDF-Editor der Version 2019 mit bekannter Schwachstelle und ein Browser-Plugin, das Zugangsdaten an einen Drittanbieter überträgt. A.8.19 fordert, dass Softwareinstallation auf Produktionssystemen kontrolliert erfolgt — nur genehmigte Software, nur durch autorisierte Personen.

Die Kontrolle schützt die Integrität der Systeme und verhindert, dass über unkontrollierte Installationen Schwachstellen oder Malware eingeschleust werden.

Was verlangt die Norm?

Nur geschulte Administratoren. Software-Updates und -Installationen werden von geschultem Personal durchgeführt.
Nur genehmigte Software. Installiert wird ausschließlich Software, die geprüft und freigegeben wurde.
Vorab testen. Neue Software wird vor der Installation in einer Testumgebung validiert.
Rollback-Strategie. Bei Problemen existiert ein Plan zur Rückkehr auf die vorherige Version.
Änderungen protokollieren. Jede Installation und jedes Update wird dokumentiert.
End-of-Life-Risiken bewerten. Die Risiken veralteter oder nicht mehr unterstützter Software werden bewertet und behandelt.

In der Praxis

Installationsrechte einschränken. Standardbenutzer haben keine lokalen Admin-Rechte und können keine Software installieren. Installationswünsche laufen über einen Antrags- und Freigabeprozess. Genehmigte Software wird zentral über Softwareverteilung bereitgestellt.

Softwareverteilung zentralisieren. Tools wie SCCM, Intune, Jamf oder open-source-Alternativen verteilen genehmigte Software automatisiert und stellen konsistente Konfigurationen sicher. Manuelle Installation wird zum dokumentierten Ausnahmefall.

Regelmäßiges Software-Audit durchführen. Quartalsweise alle installierten Programme mit dem genehmigten Softwarekatalog abgleichen. Nicht genehmigte Software wird deinstalliert. Dieser Abgleich ist ein zentraler Audit-Nachweis.

Rollback-Verfahren dokumentieren. Vor jeder Installation oder jedem größeren Update: Snapshot, Backup oder definiertes Rollback-Verfahren. Die Dokumentation muss beschreiben, wie zur vorherigen Version zurückgekehrt wird, wenn die Installation Probleme verursacht.

Typische Audit-Nachweise

Auditoren erwarten bei A.8.19 typischerweise diese Nachweise:

Softwareinstallationsrichtlinie — dokumentierter Prozess für Anfrage, Prüfung und Freigabe (→ IT-Betriebsrichtlinie im Starter Kit)
Genehmigter Softwarekatalog — Liste erlaubter Software mit Versionen
Software-Audit-Ergebnisse — Soll-Ist-Vergleich installierter vs. genehmigter Software
Installationsprotokolle — Nachweis, wer wann welche Software installiert hat
End-of-Life-Register — Liste veralteter Software mit Risikobewertung und Migrationsplan

KPI

Anteil der produktiven Systeme mit durchgesetzter Softwareinstallationsrichtlinie

Gemessen als Prozentsatz: Wie viele deiner produktiven Systeme erlauben nur die Installation genehmigter Software durch autorisierte Personen? Ziel: über 95%.

Ergänzende KPIs:

Anzahl nicht genehmigter Softwareinstallationen pro Quartal (Ziel: 0)
Anteil der End-of-Life-Software im produktiven Einsatz (Ziel: abnehmend)
Mittlere Zeit zwischen Software-Freigabe und Deployment

BSI IT-Grundschutz

A.8.19 mappt auf BSI-Bausteine für Software-Management:

APP.6 (Allgemeine Software) — der Kernbaustein. Verlangt einen Software-Freigabeprozess, Inventarisierung, regelmäßige Prüfung und Deinstallation nicht genehmigter Software.
OPS.1.1.6 (Software-Tests und -Freigaben) — Anforderungen an das Testen und Freigeben von Software vor der Installation.
OPS.1.1.3 (Patch- und Änderungsmanagement) — Softwareupdates als Teil des Änderungsmanagements.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.8.19 — Installation von Software auf Betriebssystemen
ISO/IEC 27002:2022 Abschnitt 8.19 — Umsetzungshinweise zur Softwareinstallation
BSI IT-Grundschutz, APP.6 — Allgemeine Software

Häufig gestellte Fragen

Dürfen Benutzer auf ihren Rechnern Software installieren?

Die Norm empfiehlt das Least-Privilege-Prinzip: Installationsrechte nur für die Personen, die sie benötigen. In der Praxis bedeutet das, dass Standardbenutzer keine Software installieren können und Installationswünsche über einen definierten Antragsprozess laufen.

Was tun mit End-of-Life-Software?

Software ohne Herstellerunterstützung ist ein permanentes Risiko. Dokumentiere alle End-of-Life-Systeme im Risikoinventar, bewerte das Risiko, setze kompensierende Maßnahmen um (Isolation, Monitoring) und plane die Migration.

Gilt A.8.19 auch für SaaS-Anwendungen?

Direkt: nein — SaaS-Software wird nicht auf dem Betriebssystem installiert. Indirekt: ja — Browser-Extensions und Desktop-Clients von SaaS-Diensten sind Softwareinstallationen. Auch die Genehmigung neuer SaaS-Dienste sollte in einen kontrollierten Prozess eingebettet sein.

Responsible	IT-Administrator
Accountable	IT-Leitung
Consulted	Alle Beschäftigten, Asset-Eigentümer, HR-Leitung, IT-Sicherheitsbeauftragter, ISB, Interne Revision, Rechtsabteilung, Risikoeigentümer, Softwareentwickler/Architekt, Entwicklungsleitung, Lieferantenmanagement
Informed	Alle Beschäftigten, Asset-Eigentümer, Abteilungsleitung, IT-Leitung, ISB, Rechtsabteilung