Richtlinie zur ausgelagerten Entwicklung

Die Richtlinie zur ausgelagerten Entwicklung (P28) etabliert ein umfassendes Rahmenwerk für die sichere Steuerung von Software- oder Systementwicklungsprojekten, die durch externe Lieferanten, Auftragnehmer oder Agenturen durchgeführt werden. Ihr primärer Zweck ist es, Sicherheitskontrollen und Governance-Mechanismen über den gesamten Entwicklungslebenszyklus hinweg zu verankern – von Planung und Vertragsverhandlung bis hin zu Lieferung, Überwachung und Aktivitäten nach Beendigung der Beauftragung. Durch die Vorgabe eines klar definierten Satzes von Sicherheitsverpflichtungen – von Lieferantensorgfaltsprüfung und Risikobeurteilungen bis hin zu durchgesetzten Codierungsstandards und vertraglichen Anforderungen – zielt die Richtlinie darauf ab, die Vertraulichkeit, Integrität und Verfügbarkeit aller von der Organisation entwickelten Software zu schützen. Der Geltungsbereich der Richtlinie erstreckt sich auf jede Unternehmensinitiative, die Drittparteienentwicklung umfasst, einschließlich Web- und Mobile-Anwendungen, eingebettete Systeme, Programmierschnittstellen, interne und kommerzielle Plattformen sowie Automatisierungs-Workflows. Sie regelt insbesondere auch jede externe Einheit, die Zugriff auf den Quellcode der Organisation, Testumgebungen oder CI/CD-Pipelines benötigt. Die Anforderungen gelten unabhängig davon, wo oder wie der Lieferant tätig ist, sodass geografische oder vertragliche Unterschiede keine Sicherheitslücken erzeugen. Die Ziele der Richtlinie sind darauf ausgerichtet, die Exposition gegenüber Lieferkettenbedrohungen, rechtlicher Nichteinhaltung (z. B. GDPR oder DORA), Diebstahl geistigen Eigentums und unsicheren Codierungspraktiken zu minimieren, die Schwachstellen oder regulatorische Risiken einführen könnten. Zur Umsetzung weist sie der Geschäftsleitung, dem Chief Information Security Officer (CISO), Beschaffung und Recht, Projekt- und Produktverantwortlichen, Informationssicherheit sowie externen Lieferanten explizite Verantwortlichkeiten zu. Zentral ist dabei das Third-Party Development Register als Single Source of Truth für alle Lieferantenbeauftragungen, Ergebnisse der Lieferantensorgfaltsprüfung, Ausnahmeprotokolle und Vertragsstatus. Zu den Governance-Anforderungen gehören Lieferantensorgfaltsprüfung, Sicherheitsrisikobeurteilung und ein Satz minimaler vertraglicher Kontrollen, wie die Einhaltung von Rahmenwerken für sicheres Programmieren, Sicherheitsprüfung, Spezifikationen zum IP-Eigentum, Ausführung einer Geheimhaltungsvereinbarung (NDA) sowie Auditrechtsklauseln. Quellcode wird ausschließlich über unternehmenskontrollierte Plattformen verwaltet; Branch-Schutz, Peer Review und strenge Offboarding-Protokolle verhindern Code-Leakage oder unbefugte Wiederverwendung. Jeder Zugang Dritter wird unter zeitlich begrenzter Governance nach dem Prinzip der minimalen Berechtigung bereitgestellt, über Audit-Protokollierung überwacht und bei Beendigung der Beauftragung unverzüglich entzogen. Die Integration von Lieferanten-Repositories in unternehmensweite Sicherheitswerkzeuge für Codeanalyse, CI/CD-Richtliniendurchsetzung und Abweichungsmanagement ist, sofern praktikabel, erforderlich. Ausnahmeanträge werden über einen formalen Risikobehandlungs- und Genehmigungsprozess unter Leitung des Chief Information Security Officer (CISO) bearbeitet, einschließlich Dokumentation der Begründung, Risikominderungsmaßnahmen und Abhilfefristen. Das Informationssicherheitsteam führt fortlaufende Überwachung und Compliance-Audits durch; Verstöße können je nach Angemessenheit zu sofortigem Berechtigungsentzug, Projektaussetzung, rechtlichen Schritten oder Disziplinarmaßnahmen führen. Diese Richtlinie wird mindestens jährlich oder nach Änderungen der regulatorischen Landschaft, Erkenntnissen aus Incident Response oder Ergebnissen des internen Audits überprüft. Alle Änderungen werden versionskontrolliert, kommuniziert und in der Verfahrensdokumentation referenziert. Durch diese Mechanismen und die enge Zuordnung zu führenden internationalen Normen und rechtlichen Vorgaben stellt die Richtlinie zur ausgelagerten Entwicklung sicher, dass die Softwarebereitstellung durch Drittparteien sicher und konform bleibt und die Organisation vor den sich wandelnden Risiken der ausgelagerten Entwicklung schützt.