BSI Forum : kurz notiert

Best Practices zur Software-Entwicklung

Ende August hat das BSI mit der Technischen Richtlinie BSI TR-03185 „Sicherer Software-Lebenszyklus“ eine Sammlung von Best Practices aus bestehenden Standards und Frameworks für Software-Entwicklungsprozesse veröffentlicht. Grundlage ist der BSI IT-Grundschutz, ergänzt durch DIN EN IEC 62443-4-1, GSMA-NESAS und NIST SP 800-218. Die verwendeten Standards und Frameworks betrachten insbesondere „Security by Design“ als wichtiges Entwicklungsprinzip.

Obwohl diese Standards seit Jahren bekannt sind, verzeichnet das BSI in seinen letzten Jahresberichten eine zunehmende Anzahl von Schwachstellen in Software. Mit der Veröffentlichung der TR-03185 appelliert das BSI an alle Software-Entwicklungsteams, die Informationssicherheit in allen Phasen des Software-Lebenszyklus zu berücksichtigen. Die neue Richtlinie steht unter www.bsi.bund.de/dok/TR-03185 kostenlos zum Download bereit. Die TR lässt sich in ihrem aktuellen Stand allerdings nicht auf Prozesse zur Entwicklung von Software anwenden, die üblicherweise als Open-Source-Software (OSS) oder „Free/Libre and Open-Source-Software“ (FLOSS/FOSS) bezeichnet werden – für diesen Zweck müssen die Anforderungen an die Eigenheiten der OSS-Entwicklung angepasst werden.

IT-Sicherheit ist Top-Kaufkriterium bei smarten Geräten

IT-Sicherheit zählt in Deutschland neben der Benutzerfreundlichkeit zu den entscheidenden Kaufkriterien bei technischen Geräten. Das geht aus einer einer repräsentativen Onlinebefragung des Instituts für Zielgruppenkommunikation (IfZ) im Auftrag des BSI hervor, an der 1500 Personen ab 18 Jahren im Juli 2024 teilgenommen haben und deren Ergebnisse Anfang September veröffentlicht wurden. Demzufolge geben 76,5 % der Befragten an, dass IT-Sicherheit „wichtig“ oder „sehr wichtig“ ist – lediglich die Benutzerfreundlichkeit ist den Befragten noch wichtiger: 80,4 % bezeichnen sie als „wichtig“ oder „sehr wichtig“.

Für 74,5 % der Befragten ist es sehr wichtig/wichtig, dass smarte Geräte grundlegende IT-Sicherheitsanforderungen erfüllen – 73,9 % der Befragten sind der Ansicht, dass in erster Linie die Hersteller für die IT-Sicherheit smarter Geräte verantwortlich sind. 65 % wünschen sich ein unabhängiges Kennzeichen, das über das IT-Sicherheitsniveau smarter Geräte informiert. Vor die Wahl gestellt, würden 72 % eher ein smartes Gerät mit IT-Sicherheitskennzeichen kaufen als ein gleichwertiges Gerät ohne ein entsprechendes Kennzeichen.

Mit dem IT-Sicherheitskennzeichen des BSI haben nationale und internationale Hersteller die Möglichkeit, Verbraucherinnen und Verbrauchern zu signalisieren, dass sie sich der IT-Sicherheit verpflichtet haben. Das IT-Sicherheitskennzeichen ist eine freiwillige Kennzeichnung, die in einem einfachen und kostengünstigen Verfahren vergeben wird. Die Kennzeichnung wurde speziell für dynamische Märkte entwickelt. Die Konformitätsprüfung in Bezug auf die IT-Sicherheitsvorgaben des BSI erfolgt durch die Hersteller selbst. Die Einhaltung wird über die gesamte Dauer der Kennzeichnung stichprobenartig oder anlassbezogen durch das BSI geprüft. Das Kennzeichen kann online beantragt und innerhalb weniger Wochen erteilt werden.

Eine Broschüre mit allen Ergebnissen der Umfrage steht auf www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/IT-Sicherheitskennzeichen/ITSiK_Umfragebroschuere.html kostenlos zum Download zur Verfügung.

Impressum

Redaktion: Katrin Alberts (verantwortlich), Brigitte Hoffmann
E-Mail: katrin.alberts@bsi.bund.de

Bundesamt für Sicherheit in der Informationstechnik (BSI) Referat Öffentlichkeitsarbeit
Postfach 20 03 63
53133 Bonn

Hausanschrift:
Godesberger Allee 185–189
53175 Bonn
Telefon: +49 228 999582-0
Telefax: +49 228 999582-5455
Web:www.bsi.bund.de

Das BSI-Forum, Organ des Bundesamtes für Sicherheit in der Informationstechnik in Bonn, ist Bestandteil der <kes> – Die Zeitschrift für Informations-Sicherheit

Die Beiträge der einzelnen Autoren spiegeln deren persönliche Meinung wider, die nicht unbedingt der Position des BSI entsprechen muss. 32. Jahrgang 2024