M 2.10 Überprüfung des Hard- und Software-Bestandes
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Leiter IT, IT-Sicherheitsmanagement, Vorgesetzte
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement
Um Verstöße gegen das Verbot der Nutzung nicht freigegebener Hard- und Software feststellen zu können, ist eine regelmäßige Überprüfung des Hard- und Software-Bestandes notwendig. Ist die Zahl der IT-Systeme sehr groß, kann eine stichprobenartige Überprüfung durchgeführt werden. Die Ergebnisse der Überprüfung sind zu dokumentieren, um auch Wiederholungsfälle feststellen zu können.
Wird bei der Überprüfung nicht genehmigte Hardware gefunden, muss dafür gesorgt werden, dass die IT-Komponenten nicht weiter vorschriftswidrig betrieben werden. Es muss zudem ermittelt werden, wer für den Betrieb verantwortlich ist, um geeignete Konsequenzen ergreifen zu können. Bei konkreten Verdachtsfällen ist bei der Kontrolle der Hardware auf Manipulationen und Zusatzgeräte, die z. B. zur Aufzeichnung von Tastaturanschlägen verwendet werden, zu achten.
Sollte bei der Überprüfung nicht freigegebene Software gefunden werden, so ist die Entfernung zu veranlassen. Um diese Überprüfung durchführen zu können, muss der überprüfenden Instanz die entsprechende Befugnis durch die Unternehmens- bzw. Behördenleitung verliehen werden. Zusätzlich muss der prüfenden Instanz bekannt sein, welche Software auf welchem IT-System freigegeben ist (Software-Bestandsverzeichnis).
Um bei der Vielzahl der üblicherweise eingesetzten Software effizient ein Software-Bestandsverzeichnis führen zu können, sollte hierfür ein entsprechendes Tool eingesetzt werden. Für die typische Client-Server-Umgebung sollte es netzfähig sein.
Vor der Festlegung einer Regelung zur Überprüfung des Hard- und Software-Bestandes sollte der Betriebs- bzw. Personalrat hinzugezogen werden.
Für solche IT-Systeme, die für den Wirkbetrieb des IT-Verbunds nicht erforderlich sind wie z. B. Testsysteme, kann anstelle einer regelmäßigen Überprüfung eine anlassbezogene Überprüfung durchgeführt werden. Beispielsweise kann die Prüfung auf solchen IT-Systemen immer dann vorgenommen werden, wenn Änderungen an der Konfiguration vorgenommen werden oder wenn das IT-System nach längerer Pause wieder in Betrieb gesetzt wird. Voraussetzung ist jedoch, dass für alle IT-Systeme die Maßnahme M 2.9 Nutzungsverbot nicht freigegebener Hard- und Software in Kraft ist.
Ergänzende Kontrollfragen:
- In welchem Turnus werden Überprüfungen des Hard- und Software-Bestandes durchgeführt?
- Sind Fälle aufgetreten, dass unautorisierte Software genutzt wurde?
- Wie wird verfahren, wenn ein Verstoß festgestellt wird?