M 2.379 Software-Entwicklung durch Endbenutzer

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer, Leiter IT

Viele Standardprogramme ermöglichen es den Benutzern, selbst Programme zu entwickeln, z. B. um sich Routinetätigkeiten zu erleichtern. Ein typisches Beispiel dazu ist die Makroprogrammierung unter Microsoft Word oder Access oder auch die Bereitstellung von Programmierschnittstellen bei Microsoft Outlook.

Die Kreativität und Einsatzbereitschaft, die Mitarbeiter hierbei an den Tag legen, ist grundsätzlich zu begrüßen, allerdings sollte trotzdem in jeder Institution überlegt werden, wie mit der Makro- bzw. Software-Entwicklung durch Endbenutzer umgegangen werden soll.

Es ist zu bedenken,

Zunächst sollte in jeder Institution die Grundsatz-Entscheidung getroffen werden, ob solche Eigenentwicklungen erwünscht sind oder nicht. Dies ist in jedem Fall in den Sicherheitsrichtlinien zu dokumentieren.

Wenn Eigenentwicklungen unerwünscht sind, sollte sinnvollerweise bereits bei der Installation von Standardprogrammen die Möglichkeit dazu deaktiviert werden (soweit dies möglich ist).

Sind Eigenentwicklungen dagegen notwendig, sollten hierfür entsprechende Benutzerrichtlinien entwickelt werden, um Mindestanforderungen an Sicherheit, Dokumentation und Qualität sicherzustellen.

In einer solchen Richtlinie sollte insbesondere festgehalten werden, dass

Auch in Eigenentwicklungen wird einiges an Arbeitszeit investiert. Deswegen sollte sichergestellt sein, dass Eigenentwicklungen auch anderen Benutzern zu Gute kommen und dann auch dauerhaft gepflegt werden. Weiterhin sollte ein Ansprechpartner für Probleme mit diesen Eigenentwicklungen vorhanden sein. Eigenentwicklungen sollten auch allen Benutzern in der aktuellen Version zur Verfügung stehen. Daher ist es sinnvoll, alle Eigenentwicklungen, die für weitere Mitarbeiter interessant sein könnten, an die IT-Abteilung weiterzuleiten. Diese kann dann prüfen, ob eine weitere Verbreitung sinnvoll ist, und kann im weiteren eventuell notwendige Anpassungen vornehmen und Benutzersupport anbieten.

Die Makro-Programmierungen müssen gegen unerlaubte Veränderung geschützt werden. Auch dürfen nur vertrauenswürdige Makros eingesetzt werden. Außerdem sollte die Weitergabe von Entwicklungsergebnissen an Unbefugte verhindert werden. Makro-Erweiterungen sollten erst dann im Produktivsystem verwendet werden, nachdem diese in einer isolierten Testumgebung getestet und für sicher erachtet wurden.

Prüffragen: