ISO 27002 - Kapitel 5.16 Identitätskontrolle

Organisatorische Maßnahmen zur Identitätskontrolle

Eindeutige und exklusive Zuordnung von Identitäten zu Personen

Personen sollte immer eine eindeutige Identität zugeordnet werden. Dadurch wird sichergestellt, dass Handlungen, die mit dieser Identität durchgeführt werden, einer bestimmten Person zugeordnet werden können. Beispielsweise kann dies durch die Verwendung von eindeutigen Benutzerkonten und Authentifizierungsmethoden wie Benutzername und Passwort erreicht werden.

Geteilte Identitäten nur aus geschäftlichen Gründen

Geteilte Identitäten, die mehreren Personen zugewiesen sind, sollten nur aus konkreten und dringenden Gründen im Einzelfall verwendet werden. Eine spezielle Genehmigung und Dokumentation sollten erforderlich sein, um Missbrauch oder unbefugten Zugriff zu verhindern. Ein Beispiel dafür ist eine Notfall-Kennung, die genutzt werden kann, um im Ernstfall noch auf bestimmte Dienste zuzugreifen.

Genehmigung und Überwachung von Identitäten für technische Dienste

Identitäten, die technischen Diensten zugewiesen sind, sollten einer speziellen Genehmigung und einer unabhängigen Überwachung unterliegen. Dies ist wichtig, um sicherzustellen, dass technischen Diensten nur auf die erforderlichen Ressourcen zugreifen können und potenzielle Sicherheitsrisiken minimiert werden. Zum Beispiel könnte ein Dienst (Anti-Malware) eine eigene Identität erhalten, um auf bestimmte Daten (alle potentiell schädlichen) oder Anwendungen (lokales Anti-Virusprogramm, Updates) zugreifen zu können.

Rechtzeitige Deaktivierung oder Entfernung nicht mehr benötigter Identitäten

Identitäten sollten deaktiviert oder entfernt werden, sobald sie nicht mehr benötigt werden. Dies kann etwa der Fall sein, wenn die zugehörigen Entitäten/die unterstützten Dienste gelöscht oder nicht mehr verwendet werden oder wenn eine Person die Organisation verlässt. Eine regelmäßige Überprüfung und Aktualisierung der Identitäten sind entscheidend um sicherzustellen, dass nur autorisierte Personen und Einheiten Zugriff haben.

Vermeidung von doppelten Identitäten

Innerhalb eines bestimmten Bereichs sollte immer nur eine Identität einer einzigen Entität zugeordnet werden. Dies hilft, Verwirrung und potenzielle Sicherheitsprobleme zu vermeiden. Zum Beispiel sollte eine Person nicht mehrere Benutzerkonten mit unterschiedlichen Berechtigungen für denselben Einsatzweck haben.

Aufbewahrung von Aufzeichnungen über wichtige Ereignisse

Organisationen sollten alle wichtigen Ereignisse im Zusammenhang mit der Nutzung und Verwaltung von Nutzeridentitäten und Authentifizierungsinformationen aufzeichnen und diese Dokumentation aufbewahren. Dies kann dazu beitragen, potenzielle Sicherheitsvorfälle zu untersuchen, Unregelmäßigkeiten zu erkennen und die Einhaltung von Richtlinien zu überprüfen.

Weitere Aspekte der Identitätskontrolle

Zusätzlich zu diesen organisatorischen Lösungen sollte eine Organisation auch einen unterstützenden Prozess für Änderungen an Informationen in Bezug auf Benutzeridentitäten haben. Dies kann beispielsweise eine erneute Überprüfung von vertrauenswürdigen Dokumenten in Bezug auf die Person beinhalten.

Zudem ist es wichtig, sicherzustellen, dass Identitäten, die von Dritten bereitgestellt oder ausgestellt werden, das erforderliche Vertrauensniveau bieten und alle damit verbundenen Risiken bekannt sind und auch ausreichend behandelt werden. Dies kann sowohl Kontrollen in Bezug auf die Dritten als auch Kontrollen der zugehörigen Authentifizierungsinformationen beinhalten.

Durch die Umsetzung dieser organisatorischen Lösungen können Unternehmen und Organisationen Identitätsdiebstahl, unbefugten Zugriff und andere Sicherheitsvorfälle verhindern oder frühzeitig zu erkennen. Das Identitätsmanagement spielt eine entscheidende Rolle in der Gesamtsicherheitsstrategie einer Organisation und sollte entsprechend sehr sorgfältig geplant, implementiert und überwacht werden.