A.8 Technologische Maßnahmen
Sicherheitstests in Entwicklung und Abnahme
Prozesse für Sicherheitstests müssen im Entwicklungslebenszyklus festgelegt und umgesetzt werden.
Was fordert dieses Control?
Prozesse für Sicherheitstests müssen im Entwicklungslebenszyklus festgelegt und umgesetzt werden.
Warum ist das wichtig?
Sicherheitstests decken Schwachstellen vor dem Produktivbetrieb auf. Ohne sie gelangen Lücken ungeprüft in den Einsatz und werden teuer oder gefährlich.
Cross-Standard-Mapping
| Standard | Control-ID | Relevanz |
|---|---|---|
| TISAX | 5.2.4 | Direkt |
| BSI | CON.8 | Direkt |
Was der Auditor erwartet
- 1Sicherheitstests als fester Teil des Entwicklungsprozesses
- 2Abnahmekriterien inklusive Sicherheit
- 3Behebung gefundener Schwachstellen vor Freigabe
Audit-Checkliste
Dokumente
Testkonzept
Art und Umfang der Sicherheitstests je Release
Nachweise
Testergebnisse
Durchgeführte Sicherheitstests und behobene Findings
Technisch
Test-Tooling
SAST/DAST/Pentests in Pipeline oder vor Abnahme
Praxis-Tipps zur Umsetzung
Automatisiert testen
SAST und DAST in die Pipeline integrieren, ergänzt um Pentests vor großen Releases.
Abnahmekriterien definieren
Sicherheit als Freigabekriterium festlegen, nicht nur Funktion.
Findings nachverfolgen
Gefundene Schwachstellen mit Priorität und Frist beheben.
Häufige Fehler
Nur Funktionstests
Es wird auf Funktion getestet, nicht auf Sicherheit.
Findings ignoriert
Sicherheitslücken werden erkannt, aber nicht behoben.
Häufig gestellte Fragen
Was ist der Unterschied zwischen SAST und DAST?
SAST analysiert den Quellcode statisch, DAST testet die laufende Anwendung dynamisch von außen.
Brauchen wir Penetrationstests?
Für kritische Anwendungen sind regelmäßige Pentests sehr empfehlenswert, ergänzend zu automatisierten Tests.
Wann müssen Findings behoben sein?
Kritische vor der Freigabe, weniger kritische risikobasiert mit definierter Frist.
So hilft CompliantDesk bei A.8.29
Hinterlegen Sie Sicherheitstests als Kontrolle, dokumentieren Sie Testnachweise und verfolgen Sie Findings als Maßnahmen im Gap-Tracker.