Cluster 2 Entwicklung & technische Absicherung

Wie die ISO/IEC 27001:2022 sichere Codierung und technische Absicherung stärkt

In modernen IT-Landschaften ist die technische Absicherung von Systemen eine zentrale Voraussetzung für Informationssicherheit. Besonders das Konfigurationsmanagement spielt dabei eine Schlüsselrolle: Schon kleine Fehlkonfigurationen können gravierende Sicherheitslücken verursachen – sei es durch falsch gesetzte Berechtigungen, ungesicherte Schnittstellen oder veraltete Einstellungen. Angesichts wachsender Komplexität und Geschwindigkeit in der IT ist es heute wichtiger denn je, Konfigurationen systematisch zu planen, zu dokumentieren und zu überwachen.  

Doch technische Sicherheit endet nicht bei der Systemkonfiguration. Auch die Art und Weise, wie Software entwickelt wird, entscheidet über die Sicherheit von Anwendungen und Daten. Unsichere Programmierung, fehlende Prüfprozesse oder mangelndes Sicherheitsbewusstsein im Entwicklungsteam können Schwachstellen erzeugen, die Angreifer gezielt ausnutzen. Die ISO/IEC 27001:2022 fordert daher, dass Sicherheit von Anfang an in den Entwicklungsprozess integriert wird.  

Ein weiteres zentrales Thema ist die Webfilterung: In einer vernetzten Welt, in der Mitarbeitende täglich mit dem Internet arbeiten, ist es entscheidend, den Zugriff auf gefährliche oder unerwünschte Inhalte zu kontrollieren. Webfilter helfen, Schadsoftware zu blockieren, Datenabflüsse zu verhindern und die Einhaltung von Compliance-Vorgaben sicherzustellen.  

Mit den neuen Controls 8.9 Konfigurationsmanagement, 8.23 Webfilterung und 8.28 Sichere Codierung adressiert die ISO/IEC 27001:2022 diese Herausforderungen und liefert Unternehmen konkrete Anforderungen und Handlungsempfehlungen, um ihre technische Sicherheitsarchitektur zukunftsfähig aufzustellen.

Was fordert die ISO-Norm in diesem Zusammenhang?

8.9 Konfigurationsmanagement

Die Norm fordert, dass Unternehmen die Konfigurationen, einschließlich Sicherheitskonfigurationen, von Hardware, Software, Diensten und Netzwerken festlegen, dokumentieren, umsetzen und überprüfen.  

8.23 Webfilterung

Die Unternehmen müssen die Zugänge zu externen Websites verwalten, um die Gefährdung durch schädliche Inhalte zu verringern.  

8.28 Sichere Codierung

Bei der Softwareentwicklung müssen die Unternehmen die Grundsätze der sicheren Codierung anwenden.      

Was bedeutet das für Unternehmen?

8.9 Konfigurationsmanagement

Die Organisation muss Verfahren und Werkzeuge zur Steuerung der sicheren Konfiguration inkl. definierter Rollen und Verantwortlichkeiten definieren und implementieren.  

Es sind Standardvorlagen („Baselines“) für die sichere Konfiguration festzulegen, z. B.:

  • unter Verwendung von öffentlich zugänglichen Leitfäden (z. B. Hersteller, unabhängige Sicherheitsorganisationen),
  • unter Berücksichtigung der erforderlichen Schutzstufe, um eine ausreichende Sicherheitsstufe zu bestimmen,
  • zur Unterstützung der eigenen Informationssicherheitspolitik, -richtlinien und -normen und
  • mit Prüfung der Durchführbarkeit und Anwendbarkeit im eigenen Kontext der Organisation.  

Bei der Erstellung dieser Vorlagen sollten u. a. auch berücksichtigt werden:

  • die Minimierung privilegierter Zugänge,
  • die Deaktivierung unnötiger Identitäten, Funktionen und Dienste,
  • die Beschränkung des Zugriffs auf leistungsstarke Dienstprogramme,
  • die Änderung von Standardkennwörtern von Herstellern nach Installation und
  • die Aktivierung von automatischen Abmeldungen bei Inaktivität.  

Für die Verwaltung der Konfigurationen sieht die Norm vor, dass alle Konfigurationen und Änderungen daran dokumentiert und sicher in z. B. einer Konfigurationsdatenbank gespeichert werden sollten. Darüber hinaus sollten die Konfigurationen mit entsprechenden Tools wie z. B. Wartungsprogramme, Fernsupport, Unternehmensmanagement-Tools, Sicherungs- und Wiederherstellungssoftware überwacht und überprüft werden.  

8.23 Webfilterung

Die Organisation sollte das Risiko verringern, dass Mitarbeitende auf Websites zugreifen, die illegale Informationen enthalten oder für Viren/Phishing bekannt sind. Technisch kann dies z. B. durch Sperren von IP-Adressen oder Domains erfolgen. Viele Browser und Schutzlösungen bieten dies bereits an oder können entsprechend konfiguriert werden. Es ist festzulegen, zu welchen Arten von Websites das Personal Zugang haben darf und zu welchen nicht, wie z. B.:

  • Seiten mit Upload-Funktion (außer bei geschäftlichem Bedarf),
  • bekannte oder vermutete bösartige Websites,
  • Command-and-Control-Server,
  • Websites aus aktuellen Bedrohungsdaten und
  • Seiten mit illegalen Inhalten.  

Vor Einführung dieser Maßnahmen sollten Regeln für die sichere und angemessene Nutzung von Online-Ressourcen erstellt und aktuell gehalten werden. Hierbei ist das Personal in Awarenessprogrammen zur sicheren Nutzung von Online-Ressourcen (inkl. Internetzugang) zu schulen.  

8.28 Sichere Codierung

Die Organisation sollte Verfahren und Prozesse bei der Softwareentwicklung für sichere Codierung einrichten und verbindlich machen – für Eigenentwicklungen, aber auch für zugekaufte Software und Open Source. Hierbei sollten reale Bedrohungen und aktuelle Schwachstellen beobachtet und die eigenen Secure-Coding-Standards kontinuierlich verbessert werden, und zwar vor, während und nach der Codierung.        

Geeignete Maßnahmen vor der Codierung sind u. a.:

  • Standards für sichere Codierung festlegen (auch für ausgelagerte Entwicklung),
  • typische Fehler und Schwachstellen aus der Vergangenheit berücksichtigen,
  • Entwicklungswerkzeuge (z. B. IDEs) so konfigurieren, dass sie sichere Codierung unterstützen,
  • Entwicklung in kontrollierten Umgebungen und
  • Schulung der Entwicklerteams im sicheren Codieren.  

Maßnahmen während der Codierung können z. B. sein:

  • Anwendung sicherer Codierungspraktiken für die jeweilige Sprache/Technik,
  • Nutzung von Pair Programming, Peer Review, Refactoring und testgetriebener Entwicklung,
  • sichere Dokumentation des Codes,
  • Beseitigung von Fehlern, die Schwachstellen ermöglichen und
  • Verbot unsicherer Techniken (z. B. fest codierte Passwörter, nicht genehmigte Code-Muster).  

Maßnahmen nach der Codierung sind u. a.:

  • Sicherheitsprüfungen, wie z. B. statische Codeanalyse und Penetrationstests,
  • Bewertung der Angriffsfläche und des Prinzips „Least Privilege“,
  • Analyse und Dokumentation häufiger Fehler und deren Behebung,
  • Sichere Auslieferung von Updates,
  • Behandlung von Schwachstellen sowie
  • Schutz des Quellcodes vor unbefugtem Zugriff (z. B. durch Konfigurationsmanagement-Tools).  

Wie diese Signale in ein kontinuierliches Lagebild überführt werden, zeigen wir in Beitrag 04 „Bedrohungserkennung und Monitoring“.  

Wie unterstützt die dhpg Sie bei der Umsetzung?

  • Gap-Analyse: Wir prüfen, welche Anforderungen bereits erfüllt sind und wo Handlungsbedarf besteht.
  • Entwicklung von Richtlinien und Verfahren: Wir unterstützen Sie bei der Erstellung und Einführung von Konfigurationsmanagement- und Prozessen zur sicheren Codierung sowie übergeordneter Richtlinien.
  • Tool-Auswahl und Automatisierung: Wir beraten Sie bei der Auswahl und Einführung von Webfilter-, Konfigurationsmanagement- und Entwicklungs-Tools.
  • Projektmanagement: Wir begleiten Sie bei der Umsetzung, dem Controlling und der Dokumentation Ihres ISMS-Projektes.

Ähnliche Beiträge

17. November 2025

ISMS im Wandel: Was die ISO/IEC 27001:2022 für Unternehmen jetzt bedeutet

Cyberangriffe, Datenpassen, Systemausfälle - das sind keine Ausnahmen mehr, sondern tägliche Realität. Angreifer nutzen automatisierte Tools, KI und globale Infrastrukturen. Dabei treffen sie längst nicht nur Großkonzerne.
Cyber Security
IT-Sicherheit
Zurück

Markus Müller

Diplom-Wirtschaftsinformatiker, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE)

Zum Profil von Markus Müller

Felicitas Kellermann

IT-Consultant

Zum Profil von Felicitas Kellermann

ISMS

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Durch das Laden des Podcast-Players erklären Sie sich damit einverstanden, dass Cookies durch Podigee gesetzt und dadurch Daten an diesen Anbieter übermittelt werden. Wir nutzen diese Daten, um die Zugriffe auf unsere Podcasts zu analysieren und die Wirksamkeit unserer Inhalte zu bewerten. Podigee verarbeitet die Daten auch zu eigenen Zwecken. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Podcast-Player laden