Zum Hauptinhalt springen

Sicherheit

  • Wurde bei der Entwicklung des Tools/Produkts ein "Security-by-Design"-Ansatz gewählt?

    • Falls ja, auf welche Aspekte wurde dabei besonders wert gelegt (Verschlüsselung, Komponenten-Architektur, ...)?

  • Wurde im Vorfeld eine Risikobeurteilung und/oder Bedrohungsanalyse gemacht?

  • Wird ein agiler Entwicklungsprozess verwendet?

  • Gibt es einen IT-Security-Beauftragten für das Produkt?

  • Welche Sicherheitsrichtlinien existieren?

  • Falls Infrastruktur bereitgestellt wird: Gibt es Supportkonzepte für Stör- und Ausfälle (IT-Notfallmanagement)?

  • Sind Informationen zu Responsible Disclosure vorhanden?

  • Für welche Komponenten ist der Quellcode öffentlich einsehbar?

  • Wie häufig werden Updates/Bug-Fixes bereitgestellt?

  • Was sieht das Updatemanagement bei Fehlern in der Durchführung im laufenden Betrieb vor?

  • Wann wurde der letzte Sicherheitsaudit durchgeführt?

    • Was waren die Ergebnisse?
    • Welche Folgen hatte es?

  • Werden Code-Review-Tools wie eine statische oder dynamische Analyse verwendet?

    • Wann werden diese eingesetzt (während der Implementierungsphase oder erst im Test-Zyklus)?

  • Sind die Tests in Kategorien unterteilt (Funktionstest, Security Tests, ...)?

  • Gibt es eine Dokumentation zur sicheren Konfiguration des Systems für die IT-Dienstleister und für den technischen Betrieb?

  • Welche Standards kommen für Schnittstellen und kompatible Architekturen zur Anwendung (Interoperabilität von Komponenten, z.B. auch App-Anbindung neben Desktop-Nutzung)?

  • Wie einfach ist es, weitere Hardware-Ressourcen zu aktivieren, um auf erhöhte Nutzeranfragen zu reagieren (Verhinderung von DoS-Attacken, Einbindung eines Load-Balancers)?

  • Optional: Fragen zur Absicherung zu bekannten Sicherheitsschwachstellen für Low-Code/No-Code-Plattformen

    • Wie wird die Anbindung an externe Ressourcen abgesichert?
    • Gibt es Mechanismen, die unerwünschtes Nutzungsverhalten limitieren oder einschränken (Sandbox etc.)?
    • Sind alle Bausteine gegen Nutzereingabe-Injektionen (z.B. SQL-Injection) abgesichert? Auch im Falle eines bösartigen Adminitrators?
    • Gibt es eine datenschutzkonforme Logging-Funktion für einzelne Bausteine, um die Wartung zu vereinfachen?
    • Werden Checks auf Businesslogik-Fehler vor Ausführung der erstellten Applikation ausgeführt?
    • Wie funktioniert die Nutzerrollenverwaltung (Verhinderung von privilege escalation, impersonation, ...)?