ISO 27002:2022 – Kontrolle 8.28 – Sichere Codierung

Die Seite ISO 27002:2022 Control 8.28 – Secure Coding betont, wie wichtig es ist, Prinzipien für sichere Software-Codierung zu implementieren, um Sicherheitslücken zu vermeiden und Vertraulichkeit, Integrität und Systemsicherheit durch bewährte Methoden und Compliance-Maßnahmen zu gewährleisten.

Wir benötigen die von Ihnen bereitgestellten Informationen, um Sie bezüglich unserer Dienstleistungen zu kontaktieren.
Sie können sich jederzeit abmelden. Weitere Informationen finden Sie in unserer Datenschutzrichtlinien.

Autor
Max Edwards
Aktualisiert am 18. Februar 2025
LinkedIn Twitter Twitter

Was ist ISO 27002:2022-Kontrolle 8.28 zur sicheren Codierung?

Schlechte Codierungspraktiken wie unsachgemäße Eingabevalidierung und schwache Schlüsselgenerierung können Informationssysteme Sicherheitslücken aussetzen und zu Cyberangriffen und der Gefährdung sensibler Informationsressourcen führen.

Zum Beispiel im berüchtigten Heartbleed-Bug-Vorfall, Hacker nutzten eine unsachgemäße Eingabevalidierung im Code aus, um Zugriff auf mehr als zu erhalten 4 Millionen Patientendaten.

Daher sollten Organisationen sicherstellen, dass die Grundsätze der sicheren Codierung eingehalten werden, damit schlechte Codierungspraktiken nicht zu Sicherheitslücken führen.

Zweck der Kontrolle 8.28

Control 8.28 ermöglicht es Unternehmen, Sicherheitsrisiken und Schwachstellen zu verhindern, die durch schlechte Software-Codierungspraktiken entstehen können, indem geeignete Prinzipien für die sichere Software-Codierung entworfen, implementiert und überprüft werden.

Attributtabelle der Steuerung 8.28

Control 8.28 ist eine präventive Art der Kontrolle, die Unternehmen dabei hilft, die Sicherheit von Netzwerken, Systemen und Anwendungen aufrechtzuerhalten, indem sie Risiken beseitigt, die durch schlecht gestalteten Softwarecode entstehen können.

SteuerungstypEigenschaften der InformationssicherheitCybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Präventiv#Vertraulichkeit#Schützen#Anwendungssicherheit#Schutz
#Integrität#System- und Netzwerksicherheit
#Verfügbarkeit


Verschaffen Sie sich einen Vorsprung von 81 %

Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.

Live-Demo anfordern


Eigentum an der Kontrolle 8.28

In Anbetracht der Tatsache, dass 8.28 den Entwurf und die Implementierung organisationsweiter sicherer Codierungsprinzipien und -verfahren erfordert, sollte der Chief Information Security Officer dafür verantwortlich sein, geeignete Maßnahmen zur Einhaltung zu ergreifen.

Allgemeine Richtlinien zur Compliance

Control 8.28 verlangt von Organisationen, organisationsweite Prozesse für sichere Codierung einzurichten und zu implementieren, die sowohl für von externen Parteien erworbene Softwareprodukte als auch für Open-Source-Softwarekomponenten gelten.

Darüber hinaus sollten Unternehmen über sich entwickelnde reale Sicherheitsbedrohungen und die neuesten Informationen zu bekannten oder potenziellen Sicherheitslücken in der Software auf dem Laufenden bleiben. Dies wird es Unternehmen ermöglichen, robuste, sichere Software-Codierungsprinzipien zu verbessern und zu implementieren, die wirksam gegen sich entwickelnde Cyber-Bedrohungen sind.

Ergänzende Hinweise zur Planung

Sowohl bei neuen Codierungsprojekten als auch bei der Wiederverwendung von Software sollten die Grundsätze der sicheren Softwarecodierung befolgt werden.

Diese Grundsätze sollten sowohl bei unternehmensinternen Softwareentwicklungsaktivitäten als auch bei der Weitergabe von Softwareprodukten oder -dienstleistungen der Organisation an Dritte eingehalten werden.

Bei der Erstellung eines Plans für sichere Codierungsprinzipien und der Festlegung der Voraussetzungen für sichere Codierung sollten Organisationen Folgendes beachten:

  • Unternehmen sollten Sicherheitserwartungen festlegen, die auf ihre Bedürfnisse zugeschnitten sind, und anerkannte Grundsätze für sichere Softwarecodierung festlegen, die sowohl für die interne Softwareentwicklung als auch für ausgelagerte Softwarekomponenten gelten.
  • Unternehmen sollten die am weitesten verbreiteten und in der Vergangenheit schlechten Codierungsdesignpraktiken und Fehler, die zu einer Beeinträchtigung der Informationssicherheit führen, erkennen und dokumentieren.
  • Unternehmen sollten Softwareentwicklungstools einrichten und konfigurieren, um die Sicherheit des gesamten erstellten Codes zu gewährleisten. Ein Beispiel für solche Tools sind integrierte Entwicklungsumgebungen (IDE).
  • Organisationen sollten die von Softwareentwicklungstools bereitgestellten Leitlinien und Anweisungen einhalten.
  • Organisationen sollten Entwicklungstools wie Compiler überprüfen, warten und sicher verwenden.

Ergänzende Anleitung zur Sicherheit beim Codieren

Sichere Codierungspraktiken und -verfahren sollten Folgendes für den Codierungsprozess berücksichtigen:

  • Sichere Software-Codierungsprinzipien sollten auf jede verwendete Programmiersprache und -technik zugeschnitten sein.
  • Einsatz sicherer Programmiertechniken und -methoden wie testgetriebene Entwicklung und Paarprogrammierung.
  • Einsatz strukturierter Programmiermethoden.
  • Ordnungsgemäße Codedokumentation und Beseitigung von Codefehlern.
  • Verbot der Verwendung unsicherer Software-Codierungsmethoden wie nicht genehmigter Codebeispiele oder hartcodierter Passwörter.

In den ergänzenden Leitlinien wird außerdem darauf hingewiesen, dass Sicherheitstests sowohl während als auch nach der Entwicklung gemäß Control 8.29 durchgeführt werden sollten.

Bevor die Software tatsächlich in der Live-Anwendungsumgebung eingesetzt wird, sollten Unternehmen Folgendes berücksichtigen:

  • Was ist die Angriffsfläche?
  • Wird das Prinzip der geringsten Privilegien befolgt?
  • Durchführung einer Analyse der häufigsten Programmierfehler und Dokumentation der Beseitigung dieser Risiken.


Compliance muss nicht kompliziert sein.

Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.

Live-Demo anfordern


Ergänzende Anleitung zum Überprüfungsprozess

Nachdem der Code in der Produktionsumgebung verwendet wurde

  • Updates sollten auf sichere Weise angewendet werden.
  • Gemäß Control 8.8 gemeldete Sicherheitslücken sollten behoben werden.
  • Vermutete Angriffe auf Informationssysteme und Fehler sollten aufgezeichnet und diese Aufzeichnungen in regelmäßigen Abständen überprüft werden, damit entsprechende Änderungen am Code vorgenommen werden können.
  • Unbefugter Zugriff auf, Nutzung oder Änderung des Quellcodes sollten durch Mechanismen wie Verwaltungstools verhindert werden.

Wenn Organisationen externe Tools verwenden, sollten sie Folgendes berücksichtigen

  • Externe Bibliotheken sollten basierend auf ihren Release-Zyklen in regelmäßigen Abständen überwacht und aktualisiert werden.
  • Softwarekomponenten sollten sorgfältig überprüft, ausgewählt und autorisiert werden, insbesondere Kryptografie- und Authentifizierungskomponenten.
  • Lizenzierung externer Komponenten und Gewährleistung ihrer Sicherheit.
  • Software sollte verfolgt und gewartet werden. Darüber hinaus muss sichergestellt sein, dass es aus einer vertrauenswürdigen Quelle stammt.
  • Entwicklungsressourcen sollten langfristig verfügbar sein.

Wenn Sie Änderungen an einem Softwarepaket vornehmen, sollten Sie Folgendes berücksichtigen

  • Risiken, die sich aus integrierten Kontrollen oder der Beeinträchtigung von Integritätsprozessen ergeben können.
  • Ob der Anbieter Änderungen zustimmt.
  • Ob es möglich ist, die Zustimmung des Softwareherstellers für regelmäßige Updates einzuholen.
  • Die wahrscheinlichen Auswirkungen der Fortführung der Wartung der Software, die sich aus Änderungen ergeben.
  • Ob die Änderungen mit anderen von der Organisation verwendeten Softwarekomponenten kompatibel wären.

Zusätzliche Leitlinien zur Kontrolle 8.28

Organisationen sollten sicherstellen, dass sicherheitsrelevanter Code bei Bedarf verwendet wird und manipulationssicher ist.

Control 8.28 listet außerdem folgende Empfehlungen für sicherheitsrelevanten Code auf:

  • Während über Binärcode installierte Programme sicherheitsrelevanten Code enthalten, beschränkt sich dieser auf die in der Anwendung selbst gespeicherten Daten.
  • Das Konzept des sicherheitsrelevanten Codes ist nur dann sinnvoll, wenn der Code auf einem Server ausgeführt wird, auf den der Benutzer nicht zugreifen kann, und er von den Prozessen, die ihn verwenden, getrennt ist und seine Daten sicher in einer anderen Datenbank gespeichert werden. Sie können beispielsweise einen interpretierten Code auf einem Cloud-Dienst ausführen und den Zugriff auf den Code auf privilegierte Administratoren beschränken. Es wird empfohlen, diese Zugriffsrechte durch Methoden wie Just-in-Time-Administratorrechte und robuste Authentifizierungsmechanismen zu schützen.
  • Um unbefugten Zugriff auf das Verzeichnis und das Durchsuchen des Verzeichnisses zu verhindern, sollten entsprechende Konfigurationen auf Webservern implementiert werden.
  • Beim Entwerfen von Anwendungscode sollten Sie davon ausgehen, dass der Code aufgrund von Codierungsfehlern und Aktionen böswilliger Akteure anfällig für Angriffe ist. Sie sollten kritische Anwendungen so gestalten, dass sie nicht anfällig für interne Fehler sind. Beispielsweise kann die von einem Algorithmus erzeugte Ausgabe überprüft werden, um sicherzustellen, dass sie den Sicherheitsanforderungen entspricht, bevor sie in kritischen Anwendungen wie finanzbezogenen Anwendungen verwendet werden kann.
  • Bestimmte Webanwendungen sind aufgrund schlechter Codierungspraktiken wie Datenbankeinschleusung und Cross-Site-Scripting-Angriffe sehr anfällig für Sicherheitsbedrohungen.
  • Weitere Informationen zur IT-Sicherheitsbewertung finden Organisationen in der ISO/IEC 15408-Reihe.


Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.

Live-Demo anfordern


Änderungen und Unterschiede zu ISO 27002:2013

27002:2022/8.28 ist eine neue Art der Steuerung.

Neue ISO 27002-Kontrollen

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NEUBedrohungsinformationen
5.23NEUInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NEUIKT-Bereitschaft für Geschäftskontinuität
7.4NEUPhysische Sicherheitsüberwachung
8.9NEUKonfigurationsmanagement
8.10NEULöschung von Informationen
8.11NEUDatenmaskierung
8.12NEUVerhinderung von Datenlecks
8.16NEUÜberwachungsaktivitäten
8.23NEUWeb-Filter
8.28NEUSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NEUBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.1208.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.1709.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NEUInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NEUIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Schirmungsmaß
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NEUPhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NEUKonfigurationsmanagement
8.10NEULöschung von Informationen
8.11NEUDatenmaskierung
8.12NEUVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NEUÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NEUWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NEUSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

Unsere Plattform wurde speziell für diejenigen entwickelt, die neu in der Informationssicherheit sind oder eine einfache Möglichkeit benötigen, sich mit ISO 27002 vertraut zu machen, ohne Zeit damit verbringen zu müssen, von Grund auf neu zu lernen oder lange Dokumente durchzulesen.

ISMS.Online ist mit allen Tools ausgestattet, die zum Erreichen der Compliance erforderlich sind, einschließlich Dokumentvorlagen, Checklisten und Richtlinien, die an Ihre Bedürfnisse angepasst werden können.

Willst du sehen wie es funktioniert?

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Zum Thema springen

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

ISMS-Plattform-Tour

Interessiert an einem ISMS.online-Plattformrundgang?

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und erleben Sie die Magie von ISMS.online in Aktion!

Probieren Sie es kostenlos aus

Wir sind führend auf unserem Gebiet

Benutzer lieben uns
Leader Winter 2025
Leader Winter 2025 Vereinigtes Königreich
Bester ROI Winter 2025
Schnellste Umsetzung Winter 2025
Am umsetzbarsten im Winter 2025

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

-Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

-Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

-Ben H.

DORA ist da! Steigern Sie noch heute Ihre digitale Belastbarkeit mit unserer leistungsstarken neuen Lösung!