Richtlinie für ausgelagerte Entwicklung – KMU

Diese Richtlinie für ausgelagerte Entwicklung (Dokumentnummer P28S) ist speziell für kleine und mittlere Unternehmen (KMU) konzipiert und bietet ein pragmatisches Rahmenwerk für sichere, konforme und gut gesteuerte ausgelagerte Softwareentwicklung. Sie ist vollständig an ISO/IEC 27001:2022 ausgerichtet und stellt sicher, dass auch Organisationen ohne dedizierte IT- oder Sicherheitsteams bei der Beauftragung externer Entwickler, Freelancer oder Drittanbieteragenturen bewährte Verfahren der Branche und rechtliche Verpflichtungen einhalten. Die Richtlinie legt klare Rollen und Verantwortlichkeiten für den General Manager (GM) fest, der als zentrale Instanz für Lieferantengenehmigung, vertragliche Aufsicht und Abhilfemaßnahmen fungiert, sowie für den Projektverantwortlichen, der für die tägliche Koordination, funktionale Validierung und sichere Übergabe zuständig ist. Durch die Betonung durchsetzbarer Verträge, Geheimhaltungsvereinbarungen (NDA) und dokumentierter Vereinbarungen zur Asset-Eigentümerschaft und Rechteübertragung schützt die Richtlinie Organisationen vor Risiken wie unsicherem Code, unsachgemäßer Wiederverwendung proprietärer Assets, Datenexposition, Lieferantenbindung und Nichteinhaltung regulatorischer Anforderungen (einschließlich DSGVO, NIS2 und DORA). Es werden verpflichtende Governance-Kontrollen festgelegt, die verlangen, dass Verträge sichere Entwicklungsverpflichtungen spezifizieren, regelmäßige Risikobeurteilungen durch den GM vorsehen und eine ordnungsgemäße Verwaltung aller Systemzugangsdaten und Zugriffsrechte sicherstellen. Die Sicherheitserwartungen umfassen Verpflichtungen der Entwickler zur Anwendung sicherer Programmiertechniken (unter Bezugnahme auf Normen wie OWASP Top 10), umfassender Dokumentation, sorgfältiger Bibliotheksauswahl sowie ein striktes Verbot, nach Projektabschluss Zugriff oder Unternehmensdaten zu behalten. Umfassende Verfahren stellen sicher, dass jedes ausgelagerte Projekt durch eine Lieferantensorgfaltsprüfung vorbereitet, durch funktionale und Sicherheitsprüfungen (vorzugsweise durch eine andere Person als den Entwickler) validiert und erst nach vollständiger Lieferung von Quellcode, Build-Anweisungen und Übergabe aller Zugangsdaten abgeschlossen wird. Die Richtlinie ist KMU-spezifisch und verwendet vereinfachte Rollen wie General Manager und Projektverantwortlicher anstelle klassischer CISO- oder SOC-Funktionen. Dadurch bietet sie Schritt-für-Schritt-Anweisungen, die von Geschäfts- oder Betriebsleitern ausführbar sind, und enthält Verfahren zur Risikobeurteilung, Ausnahmebehandlung, Statusverfolgung und Incident-Response-Leitlinien, die auf Organisationen ohne umfangreiche technische Ressourcen abgestimmt sind. Jedes Engagement muss durch dokumentierte Vereinbarungen gestützt sein, und Audit-Trails sind verpflichtend, um regulatorische Berichtspflichten und interne Überprüfungen zu unterstützen. Jährliche und anlassbezogene Richtlinienüberprüfungen müssen durch den GM durchgeführt werden, um sicherzustellen, dass die Kontrollen mit KMU-spezifischen Risiken und sich entwickelnden Compliance-Normen aktuell bleiben. Die Richtlinie für ausgelagerte Entwicklung ist Teil einer Suite KMU-orientierter Kontrollen und soll zusammen mit verwandten Richtlinien umgesetzt werden, z. B. zu Governance-Rollen, Zugangskontrolle, Security-Awareness-Schulung, Datenschutz, sicherer Entwicklung und Incident Response, um Risiken der ausgelagerten Entwicklung ganzheitlich zu steuern und Normen wie ISO/IEC 27001:2022, ISO 27002:2022, DSGVO und weitere einzuhalten.