A.8.26 — Anwendungssicherheitsanforderungen

Das neue CRM wird beschafft — die Entscheidung fällt auf den Anbieter mit dem besten Preis und der schönsten Demo. Sicherheitsanforderungen? Standen nicht im Lastenheft. Drei Monate nach Go-Live stellt sich heraus: keine MFA-Unterstützung, keine Verschlüsselung der Daten im Ruhezustand, keine API-Authentifizierung. A.8.26 verhindert diese Situation: Alle Informationssicherheitsanforderungen werden identifiziert und berücksichtigt, bevor Anwendungen entwickelt oder beschafft werden.

Die Kontrolle stellt sicher, dass Sicherheit kein nachträglicher Gedanke ist, sondern von der ersten Anforderungsanalyse an mitgedacht wird.

Zweck: Alle Sicherheitsanforderungen bei Entwicklung oder Beschaffung von Anwendungen identifizieren und berücksichtigen.
Wirkungsrichtung: Präventiv
Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit
Thema: Technologisch
BSI-Bausteine: CON.8, APP.6, APP.7, OPS.1.1.6, CON.10
KPI: Anteil der Anwendungen mit dokumentierten und verifizierten Sicherheitsanforderungen

Responsible	IT-Sicherheitsbeauftragter
Accountable	ISB
Consulted	Asset-Eigentümer, DSB, Abteilungsleitung, IT-Administrator, Rechtsabteilung, Prozesseigentümer, Softwareentwickler/Architekt, Entwicklungsleitung, Lieferantenmanagement
Informed	Asset-Eigentümer, Abteilungsleitung, IT-Leitung, IT-Sicherheitsbeauftragter, Interne Revision, Rechtsabteilung, Projektleitung, Softwareentwickler/Architekt, Lieferantenmanagement, Geschäftsführung

Was verlangt die Norm?

Sicherheitsanforderungen identifizieren. Für jede Anwendung die relevanten Sicherheitsanforderungen definieren: Authentifizierung, Autorisierung, Datenschutz, Eingabevalidierung, Fehlerbehandlung, Protokollierung.
Anforderungen spezifizieren und genehmigen. Die Anforderungen werden dokumentiert und von einer autorisierten Person freigegeben.
Widerstandsfähigkeit gegen Angriffe. Schutz gegen bekannte Angriffsmuster (OWASP Top 10, Injection, XSS, CSRF).
Regulatorische Compliance. Gesetzliche und regulatorische Anforderungen (DSGVO, branchenspezifische Vorgaben) einbeziehen.
Transaktionssicherheit. Besondere Anforderungen für Anwendungen mit Transaktionen oder Zahlungen.

In der Praxis

Sicherheitsanforderungen im Lastenheft verankern. Jedes Projekt und jede Beschaffung enthält einen Abschnitt mit Sicherheitsanforderungen. Der ISB oder IT-Sicherheitsbeauftragte gibt die Anforderungen frei. Ohne Sicherheitsfreigabe keine Entwicklungs- oder Beschaffungsfreigabe.

Anforderungskatalog nach Anwendungstyp. Standardisierte Anforderungskataloge für verschiedene Anwendungstypen: Webanwendung, API, Mobile App, Desktop-Anwendung. Der Katalog wird projektspezifisch ergänzt, aber die Basis ist vordefiniert.

Abnahmekriterien definieren. Sicherheitsanforderungen müssen messbar und testbar sein: „Alle Eingaben werden serverseitig validiert”, „MFA ist für alle Benutzer verfügbar”, „Sensible Daten sind im Ruhezustand mit AES-256 verschlüsselt”. Vage Formulierungen wie „angemessene Sicherheit” sind nicht prüfbar.

Sicherheitsanforderungen bei Beschaffung durchsetzen. In der Lieferantenbewertung: Sicherheitsfragebogen, Zertifizierungsnachweise, Pentest-Berichte anfordern. Sicherheitsanforderungen vertraglich vereinbaren und Audit-Rechte sichern.

Typische Audit-Nachweise

Sicherheitsanforderungskatalog — dokumentierte Anforderungen pro Anwendung (→ Richtlinie sichere Softwareentwicklung im Starter Kit)
Lastenheft/Pflichtenheft — Sicherheitsabschnitt in Projektdokumentationen
Abnahmeprotokolle — Nachweis, dass Sicherheitsanforderungen geprüft und abgenommen wurden
Lieferanten-Sicherheitsbewertung — Fragebogen und Nachweise bei Beschaffung
Vertragsklauseln — Sicherheitsanforderungen in Verträgen mit Lieferanten

KPI

Anteil der Anwendungen mit dokumentierten und verifizierten Sicherheitsanforderungen

Gemessen als Prozentsatz: Wie viele deiner Anwendungen haben dokumentierte Sicherheitsanforderungen, die vor Produktivnahme verifiziert wurden? Ziel: 100%.

Ergänzende KPIs:

Anteil der Beschaffungsprojekte mit Sicherheitsbewertung des Anbieters
Anzahl der Abnahmen ohne vorherige Sicherheitsprüfung (Ziel: 0)

BSI IT-Grundschutz

CON.8 (Software-Entwicklung) — Sicherheitsanforderungen als Teil der Anforderungsanalyse im Entwicklungsprozess.
APP.6 (Allgemeine Software) — Sicherheitsanforderungen bei der Beschaffung von Standardsoftware.
APP.7 (Webanwendungen) — spezifische Sicherheitsanforderungen für webbasierte Anwendungen.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.8.26 — Anwendungssicherheitsanforderungen
ISO/IEC 27002:2022 Abschnitt 8.26 — Umsetzungshinweise
BSI IT-Grundschutz, CON.8 — Software-Entwicklung

Häufig gestellte Fragen

Wann müssen Sicherheitsanforderungen definiert werden?

Vor Entwicklungsbeginn bzw. vor der Beschaffungsentscheidung. Sicherheitsanforderungen sind Teil der Spezifikation — sie werden zusammen mit funktionalen Anforderungen erfasst, dokumentiert und genehmigt.

Was sind typische Anwendungssicherheitsanforderungen?

Eingabevalidierung, sichere Authentifizierung, Sitzungsmanagement, Verschlüsselung sensibler Daten, Fehlerbehandlung ohne Informationspreisgabe, Schutz gegen OWASP Top 10, Logging sicherheitsrelevanter Ereignisse, rollenbasierte Zugriffskontrolle.

Gelten Sicherheitsanforderungen auch bei SaaS-Beschaffung?

Ja. Bei SaaS-Anwendungen werden die Sicherheitsanforderungen über die Lieferantenbewertung geprüft: Zertifizierungen, Penetrationstest-Berichte, SLA, Datenhaltung, Verschlüsselung, Zugriffskontrolle. Die Anforderungen werden vertraglich vereinbart.