Beschreibung der Beschaffung
Allgemeine Anforderungen an die Entwicklung von Apps
Verschlüsselung von Daten: Alle sensiblen Daten, wie z.B. Passwörter und Kreditkarteninformationen, sind auf dem Gerät verschlüsselt zu speichern, um unbefugtem Zugriff vorzubeugen.
Netzwerkkommunikation: Alle Netzwerkkommunikation haben über eine sichere Verbindung (HTTPS) zu erfolgen, um Datenmissbrauch und Man-in-the-Middle-Angriffe zu verhindern.
Authentifizierung und Autorisierung: Jeder Zugriff auf geschützte Ressourcen ist durch Authentifizierung und Autorisierung zu schützen, um sicherzustellen, dass nur berechtigte Benutzer auf diese Ressourcen zugreifen können.
Schutz vor Reverse Engineering: Es sind, Schutzmaßnahmen zu implementieren, um Reverse Engineering zu verhindern, um sicherzustellen, dass die App-Codes und -Algorithmen nicht kopiert oder manipuliert werden können.
Einhaltung von Compliance und Regulierung: Für iOS-Apps ist sicherzustellen, dass sie alle geltenden Gesetze und Vorschriften einhalten, insbesondere im Hinblick auf Datenschutz und Sicherheit.
Sicherung des Zugriffs auf Geräte-Funktionen und Daten: Der Zugriff auf bestimmte Geräte-Funktionen und Daten, wie z.B. Kamera oder Mikrofon, ist richtig zu steuern und zu überwachen, um sicherzustellen, dass die App diese Funktionen und Daten nur dann verwendet, wenn es angemessen ist.
Sicherung von Updates und Patches: Es sind im Rahmen der Pflege der App Updates und Patches zu veröffentlichen, um bekannte Sicherheitslücken zu schließen und die Sicherheit der App zu gewährleisten.
Sandboxing: Die App ist in einer sicheren Umgebung (Sandbox) auszuführen, um sicherzustellen, dass sie keinen Zugriff auf sensible Daten anderer Apps hat und andere Apps keinen Zugriff auf die Daten der App haben.
Anforderungen zur IT-Sicherheit
Das Goethe-Institut betreibt ein Informations-Sicherheits-Management-System basierend auf der ISO 27001 und den BSI Standards. Der Auftraggeber erwartet vom Auftragnehmer einen entsprechenden aktiven Umgang mit IT- Sicherheit. Auf Grund der Compliance Anforderungen (z.B. Datenschutz) und Image Risiken für den Auftraggeber wird der Schutzbedarf als "hoch" eingestuft (BSI Standard 200-2).
Um dem Auftraggeber eine Einschätzung der IT-Sicherheit beim Auftragnehmer und seinen Partnern zu ermöglichen, stellt der Auftragnehmer zum Zeitpunkt der des Angebotes geeignete Informationen bereit:
1) Z.B. IT-Sicherheits-Richtlinien, Zertifizierungen, Sicherheitskonzept der Lösung/des Services, Prüfberichte von Eigenprüfungen und Audits durch Dritte
2) Dokumentation zur IT-Sicherheit notwendiger Verbindungen mit IT-Systemen des Goethe-Institutes (z.B. Backend-Komponenten für Vokabeltrainer App)
3) IT-Sicherheits- Anforderungen an den Auftraggeber für die Nutzung der Lösung/des Services (z.B. Rollen-/Rechte Modell, Überwachung von kritischen Vorgängen)
4) Maßnahmen zur sicheren Zusammenarbeit z.B. bei Changes oder Vorfällen mit IT-Sicherheits-Relevanz
5) Informationen (z.B. Reports) zur regelmäßigen Prüfung der IT-Sicherheit beim Auftragnehmer durch den Auftraggeber während der Vertragslaufzeit
Die IT-Sicherheitsrichtline Sicherheit in Webanwendungen liegt als Anlage 1a bei.
Im Rahmen der Implementierung wird ein ganzheitliches Sicherheitskonzept auf Basis von dem IT-Grundschutz-Kompendium von Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt. Der Auftragnehmer unterstützt die Erstellung und Umsetzung aktiv.
Zum Zeitpunkt des Vertragsschlusses sind Standards zur IT-Sicherheit bei Schutzbedarf hoch umzusetzen.
Die Vorgaben zur Auftragsdatenverarbeitung, zum Teleservice u.a. sind entsprechend der in den Unterlagen zur Angebotserstellung definierten Anforderungen umzusetzen.
Für die Sicherheit sind insbesondere folgende Punkte zu berücksichtigen:
Die Kommunikation zwischen den Anwendungen, und dem GUI - Schnittstelle muss über eine sichere Verbindung erfolgen.
Die Kommunikation zwischen Endgerät des/-r Anwenders*in und der Vokabeltrainer-App muss über eine sichere Verbindung erfolgen.
Die Kommunikation zwischen dem Rechner des/-r Anwender*in und einer Lernkarten-Backendanwendung muss über eine sichere Verbindung erfolgen.
Zugriffe auf webbasierte Dienste müssen über https oder, falls technologisch notwendig, über weitere Schutzmaßnahmen verschlüsselt erfolgen.
Das Hinzufügen von Dateien in das GUI muss gegen die Einbringung von Viren oder anderen Schadprogramme geschützt sein.
Backend-Komponenten in der Systemumgebung des Goethe-Instituts
Backendkomponenten der Vokabeltrainer-App sind in der Infrastruktur des Auftragnehmers zu hosten. Das Goethe-Institut setzt Azure RedHat Open-Shift (ARO) gegenwärtig in der Version 4.10 ein. Das Handbuch für Entwickler*innen liegt als Anlage 1b bei.
Setup, Konfiguration und Betrieb liegen in der Zuständigkeit des Entwicklungsdienstleisters. Der Auftragnehmer setzt in der Infrastruktur des Auftraggebers eine Test- und Deploymentpipeline auf. Die technische Lösung erfolgt in Absprache mit dem Auftraggeber. (Momentan vom Auftraggeber vorgeschlagen ist der Einsatz von Tekton). Tests der Anwendung sind zu automatisieren, dies gilt auch für Integrationstests.
Das Code Repository liegt am Goethe-Institut. Gegenwärtig kommt Bitbucket zum Einsatz.