ISO 27002 - Kapitel 5.17 Informationen zur Authentifizierung
Ein wichtiger Aspekt der Norm ISO 27002 ist die sichere Verwaltung von Authentifizierungsinformationen, um den Zugriff auf sensible Systeme und Daten zu schützen. Im Abschnitt 5.17 werden spezifische Anforderungen an diesen Prozess aufgestellt, unter anderem hinsichtlich der Zuweisung von Authentifizierungsinformationen, der Verantwortlichkeiten der Nutzer und die Implementierung eines Systems zur Passwortverwaltung.
Folgend erläutern wir diese Anforderungen und führen Möglichkeiten zur organisatorischen Umsetzungen auf.
Zuweisung von Authentifizierungsinformationen
Die Zuweisung von Authentifizierungsinformationen bezieht sich auf den Prozess der Vergabe von Benutzernamen, Kennwörtern, Zertifikaten oder anderen Identifikationsmerkmalen an Benutzer. Die folgenden organisatorischen Lösungen können dabei helfen, eine sichere und effektive Zuweisung von Authentifizierungsinformationen zu gewährleisten:
Richtlinien für die Zuweisung
Eine klare und umfassende Richtlinie sollte festlegen, welche Authentifizierungsinformationen Benutzern zugewiesen werden und unter welchen Bedingungen sowie auf welchem Wege dies geschehen darf. Es sollten auch entsprechende Verfahren für die Aktualisierung von Authentifizierungsinformationen festgelegt werden, sowie auch für die Änderung von solchen Informationen, gerade etwa, falls diese vom Hersteller voreingestellt sind.
Identitäts- und Berechtigungsmanagement
Ein zentrales System zur Verwaltung von Benutzeridentitäten und Berechtigungen kann zur effizienten Verwaltung von Authentifizierungsinformationen beitragen. Es ermöglicht die automatische Vergabe und Aktualisierung von Benutzerinformationen auf Basis definierter Rollen und Zuständigkeiten.
Mehrstufige Authentifizierung
Die Implementierung mehrstufiger Authentifizierungsverfahren, wie z.B. der Verwendung von Passwörtern in Kombination mit Einmalpasswörtern oder biometrischen Merkmalen, erhöht die Sicherheit deutlich. Der Einsatz von Multifaktor-Authentifizierung kann den Schutz vor unbefugtem Zugriff auf sensible Systeme spürbar verbessern.
Verantwortlichkeiten der Nutzer
Die Verantwortlichkeiten der Nutzer beziehen sich auf die Aufgaben und Pflichten, die Benutzer im Zusammenhang mit der Verwaltung ihrer Authentifizierungsinformationen haben. Hier sind einige organisatorische Lösungen, um die Verantwortlichkeiten der Nutzer zu fördern:
Schulungen und Sensibilisierung
Regelmäßige Schulungen und Awareness-Programme sollten durchgeführt werden, um Benutzer über die Bedeutung der sicheren Verwaltung von Authentifizierungsinformationen aufzuklären. Dies umfasst neben dem allgemein strikt vertraulichen Umgang mit Authentifizierungsinformationen auch die Sensibilisierung für Phishing-Angriffe, den sicheren Einsatz von Passwörtern und die Meldung verdächtiger Aktivitäten.
Richtlinien und Vereinbarungen
Es sollten klare Richtlinien und Vereinbarungen festgelegt werden, welche die Verantwortlichkeiten der Nutzer hinsichtlich der sicheren Verwaltung ihrer Authentifizierungsinformationen definieren. Dies kann die Verpflichtung zur Verwendung starker Passwörter, zur regelmäßigen Aktualisierung von Passwörtern und zum Schutz von Authentifizierungsinformationen vor unbefugtem Zugriff beinhalten.
Authentifizierungsprotokolle
Die Nutzung sicherer Authentifizierungsprotokolle, wie beispielsweise Single Sign-On (SSO), kann Benutzer unterstützen, da sie sich nur einmal sicher anmelden müssen, um auf mehrere Systeme oder Anwendungen zuzugreifen.
System zur Passwortverwaltung
Ein System zur Passwortverwaltung kann bei der Verwaltung und sicheren Aufbewahrung von Passwörtern helfen. Hier sind einige organisatorische Lösungen für die Implementierung eines solchen Systems:
Passwortrichtlinien
Klare Passwortrichtlinien sollten festgelegt werden, um die Verwendung starker Passwörter zu erzwingen. Diese Richtlinien sollten die Mindestanforderungen für Passwortlänge, Komplexität und erforderliche Aktualisierung umfassen.
Passwortmanager
Die Verwendung eines Passwortmanagers kann die Passwortverwaltung vereinfachen und die Sicherheit verbessern. Ein Passwortmanager ermöglicht es Benutzern, starke und eindeutige Passwörter für verschiedene Konten zu generieren und sicher zu speichern.
Verschlüsselung
Passwortdatenbanken sollten verschlüsselt werden, um sicherzustellen, dass Passwörter nicht von unbefugten Personen abgerufen werden können. Es sollten bewährte Verschlüsselungsstandards und -algorithmen angewendet werden, um eine angemessene Sicherheitsstufe zu gewährleisten.
Authentifizierung in der ISO 27002
Die sichere Verwaltung von Authentifizierungsinformationen ist von entscheidender Bedeutung, um unbefugten Zugriff auf sensible Systeme und Daten zu verhindern. Durch die Umsetzung organisatorischer Maßnahmen können Unternehmen dazu beitragen, die Informationssicherheit zu stärken und das Risiko von Sicherheitsvorfällen zu minimieren.