Die Auswahl einer Software für ein Informationssicherheitsmanagement-System (ISMS) ist ein komplexes Vorhaben. Ein wichtiger Baustein dabei ist eine Liste von Kriterien, die für die eigene Organisation wichtig sind. Ein solcher Kriterienkatalog macht die verschiedenen Produkte besser miteinander vergleichbar. KonBriefing Research hat mögliche Fragen zusammengestellt.
Einleitung
Der Katalog deckt sowohl die fachlichen als auch die technischen Aspekte sowie die Software-Auswahl an sich ab. Sie sollten ihn jedoch nicht unverändert übernehmen, sondern ihn zunächst an Ihre Bedürfnisse anpassen. Dazu gehört, weitere Anforderungen aufzunehmen, die für Sie wichtig sind. Aber auch überflüssige Anforderungen herauszustreichen.
1 Allgemeines | |
1.1 Anbieter | |
| 1.1.1 | Wie lange gibt es das Unternehmen? |
| 1.1.2 | Wo hat das Unternehmen seinen Sitz und wo gibt es Niederlassungen? |
| 1.1.3 | Wieviele Mitarbeiter hat das Unternehmen insgesamt? Wie sind die Mitarbeiter international verteilt? |
| 1.1.4 | Wieviele Mitarbeiter arbeiten in dem Bereich, der für das angebotene System verantwortlich ist? |
| 1.1.5 | Wie hoch war der Jahresumsatz des Unternehmens in den vergangenen drei Jahren insgesamt? |
| 1.1.6 | Wie hoch war der Jahresumsatz des Unternehmens im hier relevanten Geschäftsbereich der vergangenen drei Jahre? |
| 1.1.7 | In welchen relevanten Verbänden ist das Unternehmen Mitglied? |
1.2 Kommunikation | |
| 1.2.1 | Gibt es ein Diskussionsforum zum Produkt? |
| 1.2.2 | Gibt es eine Anwenderkonferenz mit der Möglichkeit, sich mit anderen Anwendern auszutauschen? |
1.3 Produkt allgemein | |
| 1.3.1 | In welchen Editionen wird das Produkt angeboten und worin unterscheiden sie sich? (z.B. Light, Community, Vollversion, Enterprise) |
| 1.3.2 | Wie erfolgt die Bereitstellung? Beispiele: - SaaS (Software-as-a-Service, Cloud) - on-premises (Installation im eigenen Rechenzentrum) - Appliance - andere |
| 1.3.3 | Beschreiben Sie Ihr Lizenzmodell. Nach welchen Metriken wird das Produkt lizenziert? Zum Beispiel Anzahl der hinterlegten Nutzer, Anzahl der gleichzeitigen Nutzer, Anzahl der verwalteten Objekte usw. |
| 1.3.4 | Wenn es ein Open Source-Produkt ist: Welche Lizenz wird genutzt bzw. welche Bedingungen gelten? |
| 1.3.5 | Wieviele Kunden nutzen das Produkt? |
| 1.3.6 | Wie verteilen sich die Kunden international? |
| 1.3.7 | Stellen Sie drei Referenzprojekte vor, die mit diesem Vorhaben im Hinblick auf fachliches Umfeld und Größe vergleichbar sind. |
| 1.3.8 | Im Hinblick auf welche relevanten Branchenstandards ist das Produkt zertifiziert? |
| 1.3.9 | Wie sieht die Roadmap des Produkts aus? |
2 Fachliche Anforderungen | |
2.1 Informationssicherheitsmanagement nach ISO 27001 | |
2.1.1 Allgemein | |
| 2.1.1.1 | Unterstützt das System grundsätzlich den Aufbau eines ISMS nach ISO 27001? |
| 2.1.1.2 | Ist das System in der Lage, mehrere Versionen des Standards parallel zu führen? |
| 2.1.1.3 | Kann das System weitere Standards unterstützen? (Multi-Norm-Fähigkeit) Auch wenn es aktuell vielleicht nicht relevant ist, so können doch zukünftig weitere Standards für das Unternehmen bzw. die Organisation relevant werden. Es ist sinnvoll, wenn das zu beschaffende System diese Möglichkeit bietet. |
2.1.2 Organisation und Assets | |
| Definition der Organisation | |
| 2.1.2.1 | Bietet das System die grundsätzliche Möglichkeit, die Organisation abzubilden? |
| 2.1.2.2 | Können die verschiedenen Elemente einer Organisation wie Gesellschaften, Abteilungen, Standorte usw. abgebildet und klassifiziert werden? |
| 2.1.2.3 | Wieviele Hierarchiestufen sind bei der Abbildung der Organisationen möglich? |
| 2.1.2.4 | Lässt sich eine Matrix-Organisation abbilden? |
| Geschäftsprozesse | |
| 2.1.2.1 | Bietet das System die Möglichkeit, Geschäftsprozesse zu hinterlegen? |
| 2.1.2.2 | Kann der Schutzbedarf für jeden Geschäftsprozess definiert werden? |
| Assets | |
| 2.1.2.1 | Kann im System die IT-Infrastruktur abgebildet werden? |
| 2.1.2.2 | Können im System die Datenbestände des Unternehmens abgebildet werden? |
| 2.1.2.3 | Bietet das System die Möglichkeit, IT-Anwendungen zu hinterlegen? |
| 2.1.2.4 | Bietet das System die Möglichkeit, Services zu hinterlegen? |
| Schutzbedarfe | |
| 2.1.2.1 | Können die Schutzbedarfe der Assets bewertet werden? |
| 2.1.2.2 | Kann die Liste der Schutzziele um eigene Einträge erweitert werden? |
| 2.1.2.3 | Können die Kriterien, die jeden Schutzbedarf beschreiben (z.B. finanzielle Auswirkungen, Verletzung von Gesetzen) um eigene Einträge erweitert werden? |
| Verknüpfungen der Assets | |
| 2.1.2.1 | Können Geschäftsprozesse, IT-Anwendungen bzw. IT-Services, IT-Systeme, Standorte, Räume usw miteinander verknüpft werden? |
| 2.1.2.2 | Werden bei einer Verknüpfung die Schutzbedarfe weitergegeben? Auf welche Weise? z.B. Maximum-Prinzip |
| 2.1.2.3 | Können einzelne Schutzbedarfe trotz Vererbung manuell überschrieben werden? |
| Sonstige | |
| 2.1.2.1 | Bietet das System die Möglichkeit, Geschäftspartner zu hinterlegen (Lieferanten, Dienstleister usw.)? |
2.1.3 Risikomanagement | |
| 2.1.3.1 | Erlaubt das System eine frei wählbare Einteilung der Skalen für Eintrittswahrscheinlichkeit und Auswirkung? |
| 2.1.3.2 | Können die Stufen der Skalen textuell erläutert werden? |
| 2.1.3.3 | Ermittelt das System aus Eintrittswahrscheinlichkeit und Auswirkung eine Risikozahl? |
| 2.1.3.4 | Kann die Formel zur Berechnung der Risikozahl ist aus einer vordefinierten Menge ausgewählt werden bzw. ist sie frei definierbar? |
| 2.1.3.5 | Gibt es die grafische Darstellung einer Risikomatrix? |
| 2.1.3.6 | Kann für die Risikomatrix definiert werden, welche Kombinationen aus Eintrittwahrscheinlichkeit und Auswirkung bzw. welcher Wert der Risikozahl in welcher Farbe angezeigt werden soll? |
| 2.1.3.7 | Bietet das System Hilfsmittel, um eine größere Anzahl gleichartiger Infrastrukturelemente effizient zu bearbeiten? Zum Beispiel durch gemeinsame Auswahl oder durch Gruppierung |
2.1.4 Risikobeurteilung | |
| 2.1.4.1 | Gibt es vordefinierte Kataloge für mögliche Bedrohungen? |
| 2.1.4.2 | Gibt es vordefinierte Kataloge für mögliche Schwachstellen? |
| 2.1.4.3 | Können Bedrohungen und Schwachstellen zu vordefinierten Schadensszenarien kombiniert werden? |
| 2.1.4.4 | Unterstützt das System die Identifikation von Risiken durch die Möglichkeit, Bedrohungen und Schwachstellen kombiniert auf Assets anzuwenden? |
| 2.1.4.5 | Können bei der Risikoidentifikation die betroffenen Schutzziele dokumentiert werden? |
| 2.1.4.6 | Kann für jedes identifizierte Risiko Eintrittswahrscheinlichkeit und potenzielle Auswirkungen festgelegt werden? |
2.1.5 Risikobehandlung | |
| 2.1.5.1 | Können einem Risiko die bereits vorhandenen Maßnahmen der Risikobehandlung zugeordnet werden? |
| 2.1.5.2 | Können einem Risiko die verschiedenen Arten der Risikobewältigung zugewiesen werden (Akzeptanz, Maßnahmen, Vermeidung, Übergang auf Dritte)? |
| 2.1.5.3 | Können dem Risiko neue Maßnahmen zugewiesen werden? |
| 2.1.5.4 | Wird die Umsetzung neuer Maßnahmen mit Verantwortlichkeit und Frist verfolgt? |
| 2.1.5.5 | Kann jede einem Risiko zugewiesene Maßnahme einzelnen mit Verantwortlichkeit und Frist verfolgt werden? |
| 2.1.5.6 | Lassen sich zu Maßnahmen weitere planerische Größen dokumentieren wie notwendige Ressourcen und Kosten? |
| 2.1.5.7 | Kann das Risiko im Zustand nach Risikobewältigung bewertet werden? (Restrisiko) |
| 2.1.5.8 | Kann die gesamte Risikoanalyse einschließlich der Maßnahmen von der für das Risiko verantwortlichen Person im System bestätigt werden? |
2.1.6 Berichte | |
| 2.1.6.1 | Kann das System eine Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) generieren? |
| 2.1.6.2 | Können auch eigene Maßnahmen definiert und in die SoA einbezogen werden? |
| 2.1.6.3 | Kann für jede Maßnahme dokumentiert werden, ob sie umgesetzt wurde? |
| 2.1.6.4 | Kann begründet werden, warum eine Maßnahme aus dem Anhang A nicht umgesetzt wurde? |
| 2.1.6.5 | Gibt es eine Übersicht über die Maßnahmen aus dem Anhang A, die weder umgesetzt noch begründet wurden? |
| 2.1.6.6 | Kann das System einen Risikobehandlungsplan (Risk Treatment Plan, RTP) generieren? |
| 2.1.6.7 | Gibt es eine Übersicht über die Entwicklung eines Risikos über die Zeit? |
| 2.1.6.8 | Beschreiben Sie weitere Reporting-Möglichkeiten des Systems. |
2.2 Dokumentenverwaltung (für Richtlinien u.ä.) | |
| 2.2.1 | Bitte bestätigen Sie, dass mit Dokumenten gearbeitet werden kann, die entweder direkt im System erstellt werden können oder als Anhang abgelegt werden können oder über die Verlinkung zu externen Quellen. |
| 2.2.2 | Können die Dokumente mit fachlichen Datenobjekten verknüpft werden? |
| 2.2.3 | Können Dokumente direkt in der Anwendung erstellt werden? |
| 2.2.4 | Steht ein Rich Text-Editor zur Verfügung, der die Formatierung von Texten ermöglicht? |
| 2.2.5 | Können in den Text auch Bilder eingebunden werden? |
| 2.2.6 | Können extern erstellte Dokumente als Anhang angehängt und gespeichert werden? |
| 2.2.7 | Können Dokumente, die in anderen Systemen abgelegt sind, verlinkt werden? |
| 2.2.8 | Können die Dokumente mit einem Gültigkeitsdatum versehen werden? |
| 2.2.9 | Können Dokumente auf Wiedervorlage gesetzt werden? |
| 2.2.10 | Gibt es eine Versionierung der Dokumente? |
2.3 Aufgabensteuerung | |
| 2.3.1 | Gibt es eine Aufgabensteuerung, um die Erledigung von Aufgaben nachvollziehbar zu machen? Beschreiben Sie die Funktionen. |
| 2.3.2 | Werden Mitarbeitende über anstehende Aufgaben informiert, z.B. durch Mail? |
| 2.3.3 | Gibt es Eskalationsmöglichkeiten, wenn Fristen nicht eingehalten werden? |
| 2.3.4 | Gibt es Übersichten, die den Status der Aufgaben darstellen? |
3 Qualitätsanforderungen | |
3.1 Benutzerfreundlichkeit | |
| Bedienung | |
| 3.1.1 | Ist die Anwendung vollständig über die Tastatur bedienbar? |
| 3.1.2 | Gibt es Shortcuts für häufig genutzte Operationen? |
| 3.1.3 | Kann die Anwendung mehrfach im Browser geöffnet werden? |
| 3.1.4 | Gibt es Assistenten, die den Anwender durch komplexe Bearbeitungsschritte führen? |
| 3.1.5 | Gibt es Kopierfunktionen für Daten, um größere Bestände effizient erfassen zu können? |
| Dashboard | |
| 3.1.1 | Gibt es ein Dashboard, auf dem wichtige Informationen und KPIs aggregiert dargestellt werden? |
| 3.1.2 | Können Benutzer ihr Dashboard individuell anpassen? |
| Listen | |
| 3.1.1 | Gibt es die Möglichkeit, die in Listen angezeigten Spalten auszuwählen? - Breite der Spalten kann verändert werden. - Die gewählte Spaltenbreite wird gespeichert und wird beim nächsten Aufruf wieder angewendet - Spalten können ein- und ausgeblendet werden. - Eine Spalte kann in ihrer horizontalen Position eingefroren werden. |
| 3.1.2 | Gibt es die Möglichkeit, Listen nach verschiedenen Spalten zu sortieren? - Sortieren nach beliebigen Spalten - Auf- und Abwärtssortierung - Sortierung nach mehreren Ebenen |
| 3.1.3 | Gibt es die Möglichkeit, Listen nach verschiedenen Kriterien zu filtern? - Es gibt ein Suchfeld, das eine Suche über alle Inhalte erlaubt - Es können komplexe Suchen mit Operatoren und Klammern gebildet werden. |
| 3.1.4 | Können in Listen die Suchkriterien gespeichert und später wieder aufgerufen werden? Können Suchen anderen Benutzern zur Verfügung gestellt werden? |
| 3.1.5 | Können Einträge abhängig von Daten formatiert werden? (z.B. negative Werte rot) Beschreiben Sie die Möglichkeiten. |
| 3.1.6 | Können Werte direkt in der Liste bearbeitet werden? |
| Suche | |
| 3.1.1 | Gibt es eine übergeordnete Suche bzw. Volltextsuche? |
3.2 Barrierefreiheit | |
| 3.2.1 | Unterstützt das System die barrierefreie Nutzung durch Blinde, Sehbehinderte und motorisch eingeschränkte Menschen? |
| 3.2.2 | Erfüllt das System die Anforderungen der Standard Barrierefreie-Informationstechnik-Verordnung BITV 2.0 |
| 3.2.3 | Erläutern Sie, welche Tools (Screenreader, Lupensoftware usw.) unterstützt werden. |
| 3.2.4 | Erfüllt das System die Anforderungen der Web Content Accessibility Guidelines WCAG? In welcher WCAG-Version? |
3.3 Lokalisierung | |
| 3.3.1 | Werden vom System mindestens die Oberflächen-Sprachen Deutsch und Englisch unterstützt? |
| 3.3.2 | Welche weiteren Oberflächen-Sprachen werden vom System unterstützt? |
3.4 Berechtigungssystem | |
| 3.4.1 | Ist das System mandantenfähig? Beschreiben Sie die Möglichkeiten. |
| 3.4.2 | Können die Benutzer im System unterschiedliche Rollen mit unterschiedlichen Berechtigungen haben? |
| 3.4.3 | Beschreiben Sie das Berechtigungssystem. |
3.5 Datenhaltung | |
| 3.5.1 | Wird das Datenmodell mit einer angemessenen Dokumentation offengelegt? |
| 3.5.2 | Kann jedes Datenobjekt im System über einen fachlichen Schlüssel / fachliche ID identifiziert werden? (z.B. PE-000123 für eine Person) |
| 3.5.3 | Hat jedes Datenobjekt eine Angabe zur Gültigkeit? |
| 3.5.4 | Sind die Daten vor gegenseitigem Überschreiben bei konkurrierenden Änderungen geschützt? Beschreiben Sie die Mechanismen (z.B. optimistisches oder pessimistisches Locking). |
| 3.5.5 | Werden Änderungen an Daten historisiert, so dass sie zu einem späteren Zeitpunkt nachvollziehbar sind? |
| 3.5.6 | Können Verknüpfungen zwischen Datenobjekten mit einem Gültigkeitsdatum versehen werden? |
| 3.5.7 | Können die Inhalte archiviert und dort unveränderbar aufbewahrt werden? |
| 3.5.8 | Haben die Datenobjekte eine eindeutige ID, so dass sie technisch adressierbar sind? (z.B. beim Abgleich über Schnittstellen) |
3.6 Performance | |
| 3.6.1 | Bitte bestätigen Sie: Das System ist in der Lage, mit den im Konzept genannten Datenmengen umzugehen |
| 3.6.2 | Bitte bestätigen Sie: Das System hat bei den im Konzept genannten Datenmengen und parallelen Benutzerzahlen das folgenden Antwortzeiten:
- Listen und Bearbeitungsmasken öffnen sich in 90% der Fälle innerhalb von 2 Sekunden
- Berichte öffnen sich in 90% der Fälle innerhalb von 10 Sekunden Passen Sie die Zahlen entsprechend Ihres Bedarf an, bleiben Sie dabei jedoch realistisch. Dazu gehört, dass es immer Masken gibt, die etwas länger brauchen. Das sollten aber nicht die Masken sein, die permanent genutzt werden - grenzen Sie es also sinnvoll ein. |
3.7 IT-Sicherheit | |
| 3.7.1 | Die Kommunikation mit dem System muss nach Stand der Technik verschlüsselt erfolgen |
| 3.7.2 | Die Anwendung wird vom Anbieter mindestens einmal jährlich einem Penetration Test unterworfen |
| 3.7.3 | Die Anwendung darf keine versteckten Zugänge (Backdoors) haben |
| 3.7.4 | Beschreiben Sie die Maßnahmen und Prozesse, mit denen Sie Sicherheitslücken in der Anwendung erkennen und bereinigen. |
| 3.7.5 | Für das System werden regelmäßig Security-Patches bereitgestellt |
3.8 Datenschutz | |
| 3.8.1 | Das System unterstützt grundsätzlich bei der Umsetzung DSGVO. Wie werden Anfragen von Betroffenen umgesetzt? Gibt es ein Konzept zum Löschen von Daten bei Ablauf der Löschfristen? |
| 3.8.2 | Es gibt die Möglichkeit, die über eine Person gespeicherten personenbezogenen Daten zu beauskunften |
| 3.8.3 | Es gibt die Möglichkeit, personenbezogene Daten für die Verarbeitung zu sperren |
| 3.8.4 | Es gibt die Möglichkeit, personenbezogene Daten zu löschen oder zu anonymisieren |
| 3.8.5 | Es gibt die Möglichkeit, personenbezogene Daten zu löschen, deren Zweck weggefallen ist bzw. deren Aufbewahrungsfristen abgelaufen sind |
3.9 Anforderungen an den technischen Betrieb | |
Dieser Abschnitt ist nur bei einer on-premise-Installation relevant | |
| 3.9.1 | Es gibt ein konfigurierbares Logging der Systemvorgänge, von Warnungen und Fehlern sowie von kritischen Zuständen. |
| 3.9.2 | Das System lässt sich in übliche Lösungen für die Datensicherung einbinden. Beschreiben Sie das Konzept der Datensicherung für das System. |
| 3.9.3 | Es gibt ein Betriebshandbuch, das alle Aspekte des technischen Betriebs beschreibt und Anleitungen für typische Szenarien und Fehlersituationen liefert. |
| 3.9.4 | Welche laufenden Tätigkeiten sind für den Systembetrieb notwendig? Mit welchen Aufwände ist zu rechnen? |
3.10 Anforderungen an den SaaS-Betrieb | |
Dieser Abschnitt ist nur bei einem SaaS-Betrieb (Cloud-Nutzung) relevant. | |
| 3.10.1 | Die Daten liegen in einem Rechenzentrum in D/A/CH bzw. in der EU |
| 3.10.2 | Bestätigen Sie, dass auf die Daten im Rechenzentrum nicht von fremden Regierungen zugegriffen werden kann (z.B. nach dem Patriot Act) |
| 3.10.3 | Das Rechenzentrum ist im Hinblick auf die Informationssicherheit zertifiziert bzw. geprüft (z.B. ISO 27001, BSI C5, ISAE 3402) |
3.11 Support | |
| 3.11.1 | Für das System gibt es einen Support, um Störungen zu beseitigen |
| 3.11.2 | Beschreiben Sie die möglichen Support-Stufen, die Sie anbieten. Nennen Sie dazu jeweils die Servicezeiten sowie die Reaktions- und Lösungszeiten. |
| 3.11.3 | Gibt es ein Ticket-System, um Probleme und Fragen einzustellen? |
| 3.11.4 | Gibt es eine Wissensdatenbank zu häufigen Fragen und Problemen? |
| 3.11.5 | Gibt es ein Online-Forum, um sich mit anderen Anwendern auszutauschen und Lösungen zu finden? |
3.12 Updates und Releasesicherheit | |
| 3.12.1 | Zum System gibt es regelmäßig Aktualisierungen, um es an neue Anforderungen anzupassen, Fehler zu beseitigen und Security-Schwächen zu bereinigen |
| 3.12.2 | Beschreiben Sie Ihren Produktlebenszyklus: In welchem Zyklus bringen Sie neue Versionen (Major / Minor Releases) und Fehlerbereinigungen heraus? |
| 3.12.3 | Beschreiben Sie, welche Arten von Anpassungen am System vorgenommen werden können (z.B. Konfiguration, Customizing) und wie release-sicher diese Änderungen jeweils sind. Nennen Sie insbesondere die Änderungen, die bei einem Update manuellen Zusatzaufwand verursachen. |
| 3.12.4 | Mit welchem Aufwand muss ein Kunde beim Einspielen eines Update (Major/Minor Release, Fehlerbereinigung) rechnen? |
| 3.12.5 | Wie werden Kunden über neue Updates informiert? |
| 3.12.6 | Am Ende der Nutzung Können die Daten aus dem System in ein gängiges maschinenlesbares Format exportiert werden. |
3.13 Dokumentation | |
| 3.13.1 | Zum System gehört eine umfassende Dokumentation für Benutzer, Administratoren, Installation, Betrieb und Fehlerbeseitigung. |
| 3.13.2 | Die Dokumentation muss in Deutsch und Englisch bereitgestellt werden. |
| 3.13.3 | Das System hat eine kontextsensitive Hilfe. |
| 3.13.4 | Gibt es Tutorials oder Best-Practice-Anleitungen? Sie zeigen anhand von Beispielen, wie bestimmte Strukturen aufgebaut und Aufgaben erledigt werden können. |
3.14 Training | |
| 3.14.1 | Es gibt Schulungen für Anwender. |
| 3.14.2 | Es gibt Schulungen für Administratoren. |
| 3.14.3 | Gibt ein Testsystem bzw. einen Testmandanten, um das System zu erlernen? |
| 3.14.4 | Gibt es Testdaten, um die typische Nutzung an Beispielen zu erlernen? |
4 Technische Anforderungen | |
4.1 On-Premises-Installation | |
Bei einer Installation im eigenen Rechenzentrum (on-premises) gibt es in der Regel Vorgaben von der IT bzw. vom IT-Dienstleiser, welche Infrastrukturkomponenten genutzt werden können. | |
Das betrifft u.a. Betriebssysteme, Datenbanken und Applikationsserver. Beispiel: Das Rechenzentrum stellt als Datenbank MS SQL Server zur Verfügung, aber kein Oracle. | |
Die Software des Anbieters muss diese Komponenten unterstützen, sonst kann sie nicht on-premises installiert und betrieben werden. | |
Passen Sie deshalb die nachfolgenden Anforderungen entsprechend der Vorgaben an und fragen Sie damit beim Anbieter ab, ob er die jeweilige Komponente unterstützt. | |
Lassen Sie diesen Abschnitt weg, wenn Sie ausschließlich eine Cloud-Lösung suchen / anbieten. | |
| Systemarchitektur | |
| 4.1.1 | Beschreiben Sie die grundsätzliche Systemarchitektur Ihrer Anwendung. Gehen Sie dabei auf Komponenten wie Client, Server, Datenbank, Schnittstellen usw. ein |
| Anwendungsserver | |
| 4.1.1 | Falls die Anwendung einen Server erfordert: Beschreiben Sie die Systemvoraussetzungen für den Server mit unterstützten Betriebssystemen, erforderlichen Laufzeitumgebungen usw. |
| 4.1.2 | Falls die Anwendung ein proprietäres Basissystem wie z.B. MS Sharepoint voraussetzt: Beschreiben Sie die Voraussetzungen. Wenn die Anwendung auf einem proprietären System beruht und ein dieses System ist bei Ihnen bereits im Einsatz, dann kann es die technischen Aufwände erheblich reduzieren. Sollte dieses System jedoch bei Ihnen nicht genutzt werden, so können spürbare Mehrkosten und Zusatzaufwände entstehen. |
| Datenbank | |
| 4.1.1 | Ist eine Datenbank erforderlich? Manche Anwendungen bringen eine eigene Datenbank mit, andere Anwendungen setzen das Vorhandensein einer Datenbank voraus. |
| 4.1.2 | Welche Datenbanken (einschließlich Versionen) werden von der Anwendung unterstützt? Wird auch eine lizenzfreie Datenbank unterstützt? Setzen Sie die Datenbank(en) ein, die in Ihrer Organisation unterstützt werden, z.B. Oracle 21c, MS SQL Server 2022, MariaDB 11 |
| 4.1.3 | Geben Sie eine Sizing-Empfehlung für die im Konzept genannten Datenmengen und Nutzerzahlen. |
4.2 Client | |
| Browser | |
| 4.2.1 | Kann die Anwendung mit gängigen Browsern genutzt werden? Welche Browser werden unterstützt? (mit Versionen) Die Frage zielt darauf, ob die in Ihrer Organisation erlaubten bzw. notwendigen Browser unterstützt werden. |
| 4.2.2 | Im Browser sind keine veralteten Laufzeitumgebungen wie clientseitiges Java, Flash oder Silverlight erforderlich. Es sollen keine Anwendungen mehr neu eingeführt werden, die die genannten Laufzeitumgebungen benötigen. |
| Lokal installierter Client | |
Im Idealfall ist die Anwendung für Endbenutzer komplett über den Browser bedienbar, so dass auf dem Arbeitsplatzrechner keine Installation erforderlich ist. | |
Alternativ kann die Software auch lokal installiert werden, insbesondere bei einer überschaubaren Anzahl von Benutzern. | |
| 4.2.1 | Welche Betriebssysteme werden bei einer Client-Installation unterstützt? |
| 4.2.2 | Ist auf dem Arbeitsplatzrechner eine Laufzeitumgebung erforderlich, um den Client auszuführen? |
| 4.2.3 | Muss zur Nutzung des Systems durch Endbenutzer auf dem Arbeitsplatzrechner eine Software installiert werden? |
| 4.2.4 | Muss zur Administration des Systems auf dem Arbeitsplatzrechner eine Software installiert werden? |
4.3 Mobile Nutzung | |
| 4.3.1 | Ist die Anwendung mit mobilen Endgeräten nutzbar? |
| 4.3.2 | Welche Arten von Mobilgeräten werden unterstützt (Smartphone, Tablet)? |
| 4.3.3 | Ist die Anwendung im Browser von mobilen Endgeräten nutzbar? |
| 4.3.4 | Gibt es für die Anwendung eine native App? Beschreiben Sie den Funktionsumfang, im Vergleich zur Desktop- bzw- Browser-Variante. |
| 4.3.5 | Welche Mobil-Betriebssysteme werden unterstützt? Sollte ggf. auf die in Ihrer Organisation genutzten Mobil-Betriebssysteme eingegrenzt werden. |
| 4.3.6 | Kann die App mit einem Mobile Device Management administriert werden? Ggf. sollte konkret nach den vorhandenen MDM-Systemen gefragt werden. |
4.4 Benutzerverwaltung | |
| 4.4.1 | Gibt es eine lokale Benutzerverwaltung im System? |
| 4.4.2 | Gibt es eine LDAP-Schnittstelle, um Benutzer aus einem Verzeichnis zu synchronisieren? Wird eine Anbindung an ... unterstützt? Setzen Sie die Verzeichnisdienste ein, die für Ihre Organisation relevant sind, z.B. Active Directory |
| 4.4.3 | Wird Single Sign-On (SSO) unterstützt? Beschreiben Sie die Möglichkeiten. |
4.5 Schnittstellen | |
| 4.5.1 | Bietet das System eine API, mit der von außen auf das System zugegriffen werden kann? Beschreiben Sie die Möglichkeiten. |
| 4.5.2 | Erläutern Sie Ihre Methodik, um Schnittstellen zu Drittsystemen herzustellen. |
| 4.5.3 | Zu welchen Drittsystemen gibt es Standard-Konnektoren? |
Ihr Ansprechpartner
Bert Kondruss
Gründer und Geschäftsführer von KonBriefing Research
Über KonBriefing Research
KonBriefing ist ein unabhängiger Researcher und Analyst im Bereich IT-Sicherheit, Informationssicherheit, Risikomanagement und Compliance. Das Unternehmen wurde 2019 gegründet hat seinen Sitz in Möglingen bei Stuttgart.
Bekannt aus ...
