M 2.9 Nutzungsverbot nicht freigegebener Software

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Leiter IT

Es muss geregelt sein, wie Software abgenommen, freigegeben, eingespielt bzw. benutzt werden darf (vgl. M 2.62 Software-Abnahme und -Freigabe-Verfahren bzw. Kapitel 9.1 Standardsoftware). Das Einspielen bzw. Benutzen nicht freigegebener Software muss verboten und außerdem durch technische Möglichkeiten soweit möglich verhindert werden. Beispielsweise kann dies unter Windows 95 durch Einschränkung der Benutzerumgebung (vgl. M 2.104 Systemrichtlinien zur Einschränkung der Nutzungsmöglichkeiten von Windows 95) erreicht werden. Damit soll verhindert werden, dass Programme mit unerwünschten Auswirkungen eingebracht werden. Zusätzlich soll verhindert werden, dass das System über den festgelegten Funktionsumfang hinaus unkontrolliert genutzt wird. Falls erforderlich, kann dieses Nutzungsverbot auch auf die Nutzung privater Hardware (Disketten, Wechselplatte, PC, Laptop) und privater Daten ausgedehnt werden.

Es ist zu dokumentieren, welche Versionen ausführbarer Dateien freigegeben wurden (inklusive Erstellungsdatum und Dateigröße). Die freigegebenen Programme sind regelmäßig auf Veränderungen zu überprüfen.

Das Nutzungsverbot nicht freigegebener Software sollte schriftlich fixiert werden, alle Mitarbeiter sind darüber zu unterrichten. Ausnahmeregelungen sollten einen Erlaubnisvorbehalt vorsehen.

Ergänzende Kontrollfragen:

• Gibt es ein Genehmigungs- und Registrierverfahren für Software?

• Ist das Nutzungsverbot nicht freigegebener Software schriftlich fixiert?

• Sind alle Mitarbeiter über das Nutzungsverbot unterrichtet?

• Wird in regelmäßigen Abständen an das Nutzungsverbot erinnert?

• Welche Möglichkeiten bestehen, unautorisiert Software einzuspielen oder zu nutzen?

• Welche Möglichkeiten bestehen an den einzelnen Rechnern, Software selbständig zu entwickeln?

• Gibt es Regelungen über die Programmierung und die Weitergabe von Makros aus leistungsfähigen Standardprodukten wie z. B. Textverarbeitung, Tabellenkalkulation und Datenbanken?

• Existieren Listen mit den freigegebenen Versionen ausführbarer Dateien, die insbesondere Erstellungsdatum und Dateigröße beinhalten?

• Wird regelmäßig überprüft, ob die freigegebenen Versionen ausführbarer Dateien verändert wurden?

• Besteht die Möglichkeit, das Einspielen von Software technisch zu verhindern?