CompliantDesk

A.8 Technologische Maßnahmen

A.8.19

Installation von Software auf Produktivsystemen

ISO 27001TISAXBSI

Verfahren und Maßnahmen müssen umgesetzt werden, um die Installation von Software auf produktiven Systemen sicher zu steuern.

Was fordert dieses Control?

Verfahren und Maßnahmen müssen umgesetzt werden, um die Installation von Software auf produktiven Systemen sicher zu steuern.

Warum ist das wichtig?

Unkontrollierte Softwareinstallation bringt Schwachstellen, Malware und Shadow-IT ins Produktivsystem. Kontrollierte Installation hält die Umgebung stabil und sicher.

Cross-Standard-Mapping

StandardControl-IDRelevanz
TISAX5.2.5Direkt
BSIOPS.1.1.6Direkt

Was der Auditor erwartet

  1. 1Kontrollierte, autorisierte Softwareinstallation
  2. 2Einschränkung von Installationsrechten
  3. 3Nur freigegebene Software auf Produktivsystemen

Audit-Checkliste

Dokumente

  • Software-Installationsrichtlinie

    Freigabe- und Installationsprozess

Nachweise

  • Freigabe-/Software-Liste

    Genehmigte Software und kontrollierte Installation

Technisch

  • Installationsrechte

    Nutzer können nicht eigenmächtig Software installieren

Praxis-Tipps zur Umsetzung

1

Rechte entziehen

Standardnutzer dürfen keine Software installieren.

2

Allowlisting

Nur freigegebene Anwendungen zulassen (Application Control).

3

Zentral verteilen

Software über ein verwaltetes Deployment statt manuell ausrollen.

Häufige Fehler

Lokale Adminrechte

Nutzer installieren beliebige Software selbst.

Shadow-IT

Nicht freigegebene Tools schleichen sich in die Produktion.

Häufig gestellte Fragen

Dürfen Nutzer eigene Software installieren?

In Produktivumgebungen grundsätzlich nicht, Installation sollte zentral und freigegeben erfolgen.

Was ist Application Allowlisting?

Ein Verfahren, das nur ausdrücklich erlaubte Anwendungen zur Ausführung zulässt.

Wie verhindert man Shadow-IT?

Über entzogene Installationsrechte, Allowlisting und ein klares Freigabeverfahren plus Software-Inventar.

So hilft CompliantDesk bei A.8.19

Verknüpfen Sie die Software-Freigabe mit dem Inventory der M365-Integration, um nicht genehmigte Software zu erkennen und zu dokumentieren.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.8.8

Handhabung technischer Schwachstellen

A.8.18

Nutzung privilegierter Hilfsprogramme

A.5.32

Geistige Eigentumsrechte