Zum Inhalt
ISMS.online

ISO 27002:2022 – Kontrolle 8.31 – Trennung von Entwicklungs-, Test- und Produktionsumgebungen

ISO 27002 Control 8.31 betont die Bedeutung der Trennung von Entwicklungs-, Test- und Produktionsumgebungen, um Sicherheitsrisiken wie Datenfreigabe oder unbefugten Zugriff zu vermeiden. Es beschreibt wichtige Best Practices, darunter strikte Trennung, Autorisierungskontrollen und Zugriffsbeschränkungen, um die Datenintegrität und -sicherheit aufrechtzuerhalten.

Autorin
Sam Peters
Aktualisiert Juli 25, 2025
4 / 5 Sterne

Sichere Trennung von Entwicklungs-, Test- und Produktionsumgebungen

Wenn Entwicklungs-, Test- und Produktionsumgebungen nicht ordnungsgemäß getrennt werden, kann dies zu einem Verlust der Verfügbarkeit, Vertraulichkeit und Integrität von Informationsressourcen führen.

Zum Beispiel, Uber versehentlich veröffentlicht ein Code-Repository auf Github, das Passwörter von Benutzern aus der Produktionsumgebung enthielt, was zum Verlust der Vertraulichkeit sensibler Informationen führte.

Daher sollten Unternehmen geeignete Verfahren und Kontrollen implementieren, um Entwicklungs-, Test- und Produktionsumgebungen sicher zu trennen und Sicherheitsrisiken auszuschließen.

Zweck der Kontrolle 8.31

Control 8.31 ermöglicht es Unternehmen, die Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationsbestände aufrechtzuerhalten, indem Entwicklungs-, Test- und Produktionsumgebungen durch geeignete Verfahren, Kontrollen und Richtlinien getrennt werden.

Attributtabelle der Steuerung 8.31

Control 8.31 ist präventiver Natur und verlangt von Organisationen, präventiv Prozesse und technische Kontrollen einzurichten und anzuwenden, um die Entwicklungs-, Test- und Produktionsumgebungen sicher zu trennen.

Steuerungstyp Eigenschaften der Informationssicherheit Cybersicherheitskonzepte Operative Fähigkeiten Sicherheitsdomänen
#Präventiv #Vertraulichkeit #Schützen #Anwendungssicherheit #Schutz
#Integrität #System- und Netzwerksicherheit
#Verfügbarkeit


ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Eigentum an der Kontrolle 8.31

Da Control 8.31 die Einrichtung und Implementierung organisationsweiter Prozesse und Kontrollen zur Trennung verschiedener Softwareumgebungen beinhaltet, ist der Chief Information Security Officer mit Hilfe des Entwicklungsteams letztendlich für die Einhaltung verantwortlich.

Allgemeine Richtlinien zur Compliance

Organisationen sollten die potenziellen Produktionsprobleme berücksichtigen, die vermieden werden sollten, wenn sie den erforderlichen Grad der Trennung zwischen den drei Umgebungen bestimmen.

Insbesondere empfiehlt Control 8.31 Organisationen, die folgenden sieben Kriterien zu berücksichtigen:

  1. Trennung und Betrieb von Entwicklungs- und Produktionssystemen in ausreichendem Maße. Beispielsweise könnte die Nutzung getrennter virtueller und physischer Umgebungen für die Produktion eine effektive Methode sein.
  2. Für den Einsatz von Software in der Produktionsumgebung nach Durchlaufen der Entwicklungsumgebung sollten entsprechende Regeln und Autorisierungsverfahren festgelegt, dokumentiert und angewendet werden.
  3. Organisationen sollten an Anwendungen und Produktionssystemen vorgenommene Änderungen in einer von der Produktionsumgebung getrennten Testumgebung überprüfen und testen, bevor diese Änderungen in der Produktionsumgebung verwendet werden.
  4. Tests in Produktionsumgebungen sollten nicht erlaubt sein, es sei denn, solche Tests werden vor dem Test definiert und genehmigt.
  5. Entwicklungstools wie Compiler und Editoren sollten von den Produktionsumgebungen aus nicht zugänglich sein, es sei denn, dieser Zugriff ist unbedingt erforderlich.
  6. Um Fehler zu minimieren, sollten in den Menüs geeignete Umgebungskennzeichnungsetiketten gut sichtbar angezeigt werden.
  7. Sensible Informationsbestände sollten nicht in Entwicklungs- und Testumgebungen übertragen werden, es sei denn, in den Entwicklungs- und Testsystemen werden gleichwertige Sicherheitsmaßnahmen angewendet.

Ergänzende Leitlinien zum Schutz von Entwicklungs- und Testumgebungen

Organisationen sollten Entwicklungs- und Testumgebungen vor Sicherheitsrisiken schützen und dabei Folgendes berücksichtigen:

  • Alle Entwicklungs-, Integrations- und Testtools wie Builder, Integratoren und Bibliotheken sollten regelmäßig gepatcht und aktualisiert werden.
  • Alle Systeme und Software sollten sicher konfiguriert sein.
  • Der Zugang zu Umgebungen sollte geeigneten Kontrollen unterliegen.
  • Änderungen an Umgebungen und darin gespeichertem Code sollten überwacht und überprüft werden.
  • Umgebungen sollten sicher überwacht und überprüft werden.
  • Umgebungen sollten gesichert werden.

Darüber hinaus sollte keiner einzelnen Person das Privileg eingeräumt werden, Änderungen sowohl in der Entwicklungs- als auch in der Produktionsumgebung vorzunehmen, ohne vorher eine Genehmigung einzuholen. Um dies zu verhindern, können Organisationen Zugriffsrechte trennen oder Zugriffskontrollen einrichten und implementieren.

Darüber hinaus können Unternehmen auch zusätzliche technische Kontrollen in Betracht ziehen, wie z. B. die Protokollierung aller Zugriffsaktivitäten und die Echtzeitüberwachung aller Zugriffe auf diese Umgebungen.

Ergänzende Leitlinien zur Kontrolle 8.31

Wenn Unternehmen die erforderlichen Maßnahmen nicht umsetzen, können ihre Informationssysteme erheblichen Sicherheitsrisiken ausgesetzt sein.

Beispielsweise können Entwickler und Tester mit Zugriff auf die Produktionsumgebung unerwünschte Änderungen an Dateien oder Systemumgebungen vornehmen, nicht autorisierten Code ausführen oder versehentlich vertrauliche Informationen offenlegen.

Daher benötigen Unternehmen eine stabile Umgebung, um robuste Tests des Codes durchzuführen und zu verhindern, dass Entwickler auf die Produktionsumgebungen zugreifen, in denen sensible reale Daten gehostet und verarbeitet werden.

Organisationen sollten auch Maßnahmen wie festgelegte Rollen zusammen mit Anforderungen an die Aufgabentrennung anwenden.

Eine weitere Bedrohung für die Vertraulichkeit von Produktionsdaten ist das Entwicklungs- und Testpersonal. Wenn die Entwicklungs- und Testteams ihre Aktivitäten mit denselben Computergeräten durchführen, kann es passieren, dass sie versehentlich Änderungen an vertraulichen Informationen oder Softwareprogrammen vornehmen.

Organisationen wird empfohlen, unterstützende Prozesse für die Verwendung der Produktionsdaten in Test- und Entwicklungssystemen gemäß Control 8.33 einzurichten.

Darüber hinaus sollten Organisationen die in dieser Kontrolle angesprochenen Maßnahmen berücksichtigen, wenn sie Endbenutzerschulungen in Schulungsumgebungen durchführen.

Nicht zuletzt verwischen Unternehmen möglicherweise bewusst die Grenzen zwischen Entwicklungs-, Test- und Produktionsumgebungen. Tests können beispielsweise in einer Entwicklungsumgebung durchgeführt werden oder Produkttests können durch die tatsächliche Nutzung des Produkts durch Mitarbeiter der Organisation durchgeführt werden.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Änderungen und Unterschiede zu ISO 27002:2013

27002:2022/8.31 ersetzt 27002:2013/(12.1.4 und 14.2.6)

Obwohl die beiden Versionen weitgehend ähnlich sind, gibt es zwei Unterschiede, die hervorgehoben werden sollten.

Control 14.2.6 in der Version 2013 bot detailliertere Anleitungen zu sicheren Entwicklungsumgebungen

Control 14.2.6 in der Version 2013 befasst sich mit sicheren Entwicklungsumgebungen und listet 10 Empfehlungen auf, die Organisationen beim Aufbau einer Entwicklungsumgebung berücksichtigen sollten.

Die Version 2022 hingegen enthielt einige dieser Empfehlungen nicht, wie z. B. die Sicherung an einem externen Standort und Einschränkungen bei der Datenübertragung.

Control 8.31 befasst sich mit Produkttests und der Verwendung von Produktionsdaten

Im Gegensatz zur Version 2013 bietet Control 8.31 in der Version 2022 Hinweise zur Durchführung von Produkttests und zur Verwendung von Produktionsdaten gemäß Control 8.33.

Neue ISO 27002-Kontrollen

Neue Steuerelemente
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
5.7 NEU Bedrohungsinformationen
5.23 NEU Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30 NEU IKT-Bereitschaft für Geschäftskontinuität
7.4 NEU Physische Sicherheitsüberwachung
8.9 NEU Konfigurationsmanagement
8.10 NEU Löschung von Informationen
8.11 NEU Datenmaskierung
8.12 NEU Verhinderung von Datenlecks
8.16 NEU Überwachungsaktivitäten
8.23 NEU Web-Filter
8.28 NEU Sichere Codierung
Organisatorische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
5.1 05.1.1, 05.1.2 Richtlinien zur Informationssicherheit
5.2 06.1.1 Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3 06.1.2 Aufgabentrennung
5.4 07.2.1 Führungsaufgaben
5.5 06.1.3 Kontakt mit Behörden
5.6 06.1.4 Kontakt zu speziellen Interessengruppen
5.7 NEU Bedrohungsinformationen
5.8 06.1.5, 14.1.1 Informationssicherheit im Projektmanagement
5.9 08.1.1, 08.1.2 Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10 08.1.3, 08.2.3 Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11 08.1.4 Rückgabe von Vermögenswerten
5.12 08.2.1 Klassifizierung von Informationen
5.13 08.2.2 Kennzeichnung von Informationen
5.14 13.2.1, 13.2.2, 13.2.3 Informationsübertragung
5.15 09.1.1, 09.1.2 Zugriffskontrolle
5.16 09.2.1 Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3 Authentifizierungsinformationen
5.18 09.2.2, 09.2.5, 09.2.6 Zugangsrechte
5.19 15.1.1 Informationssicherheit in Lieferantenbeziehungen
5.20 15.1.2 Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21 15.1.3 Management der Informationssicherheit in der IKT-Lieferkette
5.22 15.2.1, 15.2.2 Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23 NEU Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24 16.1.1 Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25 16.1.4 Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26 16.1.5 Reaktion auf Informationssicherheitsvorfälle
5.27 16.1.6 Aus Informationssicherheitsvorfällen lernen
5.28 16.1.7 Sammlung von Beweisen
5.29 17.1.1, 17.1.2, 17.1.3 Informationssicherheit bei Störungen
5.30 5.30 IKT-Bereitschaft für Geschäftskontinuität
5.31 18.1.1, 18.1.5 Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32 18.1.2 Rechte am geistigen Eigentum
5.33 18.1.3 Schutz von Aufzeichnungen
5.34 18.1.4 Privatsphäre und Schutz personenbezogener Daten
5.35 18.2.1 Unabhängige Überprüfung der Informationssicherheit
5.36 18.2.2, 18.2.3 Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37 12.1.1 Dokumentierte Betriebsabläufe
Menschenkontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
6.1 07.1.1 Rekrutierung
6.2 07.1.2 Beschäftigungsbedingungen
6.3 07.2.2 Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4 07.2.3 Disziplinarverfahren
6.5 07.3.1 Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6 13.2.4 Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7 06.2.2 Fernarbeit
6.8 16.1.2, 16.1.3 Berichterstattung über Informationssicherheitsereignisse
Physikalische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
7.1 11.1.1 Physische Sicherheitsbereiche
7.2 11.1.2, 11.1.6 Physischer Eintritt
7.3 11.1.3 Absicherung von Büros, Räumen und Anlagen
7.4 NEU Physische Sicherheitsüberwachung
7.5 11.1.4 Schutz vor physischen und umweltbedingten Bedrohungen
7.6 11.1.5 Arbeiten in sicheren Bereichen
7.7 11.2.9 Klarer Schreibtisch und klarer Bildschirm
7.8 11.2.1 Standort und Schutz der Ausrüstung
7.9 11.2.6 Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Speichermedium
7.11 11.2.2 Unterstützende Versorgungsunternehmen
7.12 11.2.3 Verkabelungssicherheit
7.13 11.2.4 Wartung der Ausrüstung
7.14 11.2.7 Sichere Entsorgung oder Wiederverwendung von Geräten
Technologische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
8.1 06.2.1, 11.2.8 Benutzerendpunktgeräte
8.2 09.2.3 Privilegierte Zugriffsrechte
8.3 09.4.1 Beschränkung des Informationszugriffs
8.4 09.4.5 Zugriff auf Quellcode
8.5 09.4.2 Sichere Authentifizierung
8.6 12.1.3 Kapazitätsmanagement
8.7 12.2.1 Schutz vor Malware
8.8 12.6.1, 18.2.3 Management technischer Schwachstellen
8.9 NEU Konfigurationsmanagement
8.10 NEU Löschung von Informationen
8.11 NEU Datenmaskierung
8.12 NEU Verhinderung von Datenlecks
8.13 12.3.1 Informationssicherung
8.14 17.2.1 Redundanz der Informationsverarbeitungseinrichtungen
8.15 12.4.1, 12.4.2, 12.4.3 Protokollierung
8.16 NEU Überwachungsaktivitäten
8.17 12.4.4 Uhrzeitsynchronisation
8.18 09.4.4 Verwendung privilegierter Hilfsprogramme
8.19 12.5.1, 12.6.2 Installation von Software auf Betriebssystemen
8.20 13.1.1 Netzwerksicherheit
8.21 13.1.2 Sicherheit von Netzwerkdiensten
8.22 13.1.3 Trennung von Netzwerken
8.23 NEU Web-Filter
8.24 10.1.1, 10.1.2 Verwendung von Kryptographie
8.25 14.2.1 Sicherer Entwicklungslebenszyklus
8.26 14.1.2, 14.1.3 Anforderungen an die Anwendungssicherheit
8.27 14.2.5 Sichere Systemarchitektur und technische Prinzipien
8.28 NEU Sichere Codierung
8.29 14.2.8, 14.2.9 Sicherheitstests in Entwicklung und Abnahme
8.30 14.2.7 Ausgelagerte Entwicklung
8.31 12.1.4, 14.2.6 Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Änderungsmanagement
8.33 14.3.1 Testinformationen
8.34 12.7.1 Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

Die ISMS.Online-Plattform hilft bei allen Aspekten der Implementierung von ISO 27002, von der Verwaltung von Risikobewertungsaktivitäten bis hin zur Entwicklung von Richtlinien, Verfahren und Leitlinien zur Einhaltung der Anforderungen der Norm.

Es bietet eine Möglichkeit, Ihre Ergebnisse zu dokumentieren und diese online mit Ihren Teammitgliedern zu kommunizieren. Mit ISMS.Online können Sie außerdem Checklisten für alle Aufgaben bei der Implementierung von ISO 27002 erstellen und speichern, sodass Sie den Fortschritt des Sicherheitsprogramms Ihrer Organisation problemlos verfolgen können.

Mit seinem automatisierten Toolset erleichtert ISMS.Online Unternehmen den Nachweis der Einhaltung des ISO 27002-Standards.

Kontaktieren Sie uns noch heute zu Demo anfordern.

Sam Peters

Sam ist Chief Product Officer bei ISMS.online und leitet die Entwicklung aller Produktmerkmale und -funktionen. Sam ist ein Experte in vielen Compliance-Bereichen und arbeitet mit Kunden an maßgeschneiderten oder groß angelegten Projekten.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.