Richtlinie zur sicheren Entwicklung – SME

Die Richtlinie zur sicheren Entwicklung (P24S) ist speziell für kleine und mittlere Unternehmen (SMEs) ausgearbeitet und insbesondere für Organisationen angepasst, die keine dedizierten IT- oder Sicherheitsteams haben. Unter Berücksichtigung der besonderen Ressourcenbeschränkungen von SMEs weist die Richtlinie dem General Manager (GM) die zentrale Befugnis für Richtliniengenehmigung, Umsetzung, Vertragsaufsicht und Compliance zu und strafft damit die Governance in Umgebungen, in denen CISO- oder SOC-Rollen möglicherweise nicht existieren. Trotz dieser Vereinfachung bleibt die Richtlinie vollständig an international anerkannten Sicherheitsstandards ausgerichtet, insbesondere ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, EU NIS2, EU DORA, COBIT 2019 und EU DSGVO, und stellt sicher, dass Compliance-Verpflichtungen erfüllt werden, ohne die praktische Anwendbarkeit zu beeinträchtigen. Zweck dieses Dokuments ist es, eine Kontrollbasislinie für sicheres Programmieren und Entwicklungspraktiken für sämtliche Software, Skripte und webbasierten Werkzeuge vorzuschreiben, die von der Organisation oder ihren Partnern erstellt oder geändert werden. Es legt umfassende Sicherheitsanforderungen für das gesamte Spektrum intern entwickelten, ausgelagerten oder durch Dritte bereitgestellten Codes fest, einschließlich Plugins, Komponenten und Automatisierungswerkzeugen. Der definierte Geltungsbereich umfasst jede Umgebung, die an Entwicklungsaktivitäten beteiligt ist – Entwicklung, Staging, Vorproduktionsumgebung und Produktionsumgebung – und regelt insbesondere, wie sensible oder Produktionsdaten in diesen Umgebungen gehandhabt werden. Zu den Kernzielen gehört die Vermeidung von Sicherheitsmängeln in jeder Phase des Systementwicklungslebenszyklus. Dazu zählen die durchgesetzte Nutzung von Standards für sicheres Programmieren (z. B. OWASP Top 10), formalisierte Quellcodeprüfungsprozesse, verpflichtende Sicherheitsprüfung vor Releases sowie Zugangskontrolle zu allen Entwicklungs- und Produktionssystemen. Die Richtlinie führt explizite Anforderungen für Lieferantenmanagement und Drittparteien ein, einschließlich vertraglicher Sicherheitsklauseln, Validierung von Drittkomponenten auf Schwachstellen und Lizenzierung sowie regelmäßiger Nachverfolgung oder Auditierung der Einhaltung anhand aufbewahrter Artefakte und Dokumentation. Zur Sicherstellung der täglichen Rechenschaftspflicht werden gestraffte Rollen und Verantwortlichkeiten definiert: Der General Manager überwacht und zeichnet sämtliche Sicherheitsaktivitäten der Entwicklung ab; interne Entwickler und Anwendungsverantwortliche befolgen sichere Praktiken und Meldepflichten; externe Lieferanten sind vertraglich an Sicherheitszusagen und erforderliche Tests gebunden; und IT-Anbieter oder IT-Administratoren verwalten sicheren Zugriff und Bereitstellungsverfahren und setzen die Trennung von Umgebungen durch. Ein inhärenter Bestandteil dieser SME-Richtlinie ist der strukturierte Risikobehandlungs- und Ausnahmebehandlungsprozess. Abweichungen von sicheren Praktiken oder Risiken, die nicht unmittelbar durch Abhilfemaßnahmen behoben werden können, müssen formell einer Risikobeurteilung unterzogen und vom General Manager genehmigt werden, mit regelmäßiger Neubewertung zur Steuerung von Änderungen im Risikoprofil. Die Richtlinie etabliert zudem starke Durchsetzung und Einhaltung sowie Auditbereitschaft, indem sie verlangt, dass alle Checklisten, Review-Genehmigungen, Testergebnisse und Inventare sicher aufbewahrt und für ISO-Audits, regulatorische Überprüfungen oder Kundenanfragen unverzüglich verfügbar sind. Schließlich stellen Überprüfungs- und Aktualisierungsanforderungen sicher, dass die Richtlinie mit sich entwickelnden Entwicklungstechnologien, Frameworks und regulatorischen Änderungen aktuell bleibt und belegen einen proaktiven Ansatz für organisatorische Sicherheit und regulatorische Compliance im SME-Sektor.