M 2.9 Nutzungsverbot nicht freigegebener Software

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Leiter IT

Es muß geregelt sein, wie Software abgenommen, freigegeben, eingespielt bzw. benutzt werden darf (vgl. M 2.62 Software-Abnahme und -Freigabe-Verfahren bzw. Kapitel 9.1 Standardsoftware ). Das Einspielen bzw. Benutzen nicht freigegebener Software muß verboten und außerdem durch technische Möglichkeiten soweit möglich verhindert werden. Beispielsweise kann dies unter Windows 95 durch Einschränkung der Benutzerumgebung (vgl. M 2.104 Systemrichtlinien zur Einschränkung der Nutzungsmöglichkeiten von Windows 95 ) erreicht werden. Damit soll verhindert werden, daß Programme mit unerwünschten Auswirkungen eingebracht werden. Zusätzlich soll verhindert werden, daß das System über den festgelegten Funktionsumfang hinaus unkontrolliert genutzt wird. Falls erforderlich, kann dieses Nutzungsverbot auch auf die Nutzung privater Hardware (Disketten, Wechselplatte, PC, Laptop) und privater Daten ausgedehnt werden.

Ausnahmeregelungen sollten einen Erlaubnisvorbehalt vorsehen.

Ergänzende Kontrollfragen:

• Gibt es ein Genehmigungs- und Registrierverfahren für Software?
• Ist das Nutzungsverbot nicht freigegebener Software schriftlich fixiert?
• Sind alle Mitarbeiter über das Nutzungsverbot unterrichtet?
• Wird in regelmäßigen Abständen an das Nutzungsverbot erinnert?
• Welche Möglichkeiten bestehen, unautorisiert Software einzuspielen oder zu nutzen?
• Welche Möglichkeiten bestehen an den einzelnen Rechnern, Software selbständig zu entwickeln?
• Gibt es Regelungen über die Programmierung und die Weitergabe von Makros aus leistungsfähigen Standardprodukten wie z. B. Textverarbeitung, Tabellenkalkulation und Datenbanken?
• Existieren Listen mit den freigegebenen Versionen ausführbarer Dateien, die insbesondere Erstellungsdatum und Dateigröße beinhalten?
• Wird regelmäßig überprüft, ob die freigegebenen Versionen ausführbarer Dateien verändert wurden?
• Besteht die Möglichkeit, das Einspielen von Software technisch zu verhindern?

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000 .