Logo der activeMind AG

ISO 27002Kapitel 5.16 Identitätskontrolle

Geregeltes und korrekt umgesetztes Identitätsmanagement spielt eine entscheidende Rolle für die Informationssicherheit einer Organisation. Es befasst sich mit der Verwaltung und Kontrolle von Identitäten, sowohl von Personen als auch von nicht-menschlichen Einheiten, sowie deren Zugriffsrechten auf Informationen und Systeme.

Die ISO 27002 stellt in Abschnitt 5.16 spezifische Anforderungen für das Identitätsmanagement auf und gibt einige Empfehlungen.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Organisatorische Maßnahmen zur Identitätskontrolle

Eindeutige und exklusive Zuordnung von Identitäten zu Personen

Personen sollte immer eine eindeutige Identität zugeordnet werden. Dadurch wird sichergestellt, dass Handlungen, die mit dieser Identität durchgeführt werden, einer bestimmten Person zugeordnet werden können. Beispielsweise kann dies durch die Verwendung von eindeutigen Benutzerkonten und Authentifizierungsmethoden wie Benutzername und Passwort erreicht werden.

Geteilte Identitäten nur aus geschäftlichen Gründen

Geteilte Identitäten, die mehreren Personen zugewiesen sind, sollten nur aus konkreten und dringenden Gründen im Einzelfall verwendet werden. Eine spezielle Genehmigung und Dokumentation sollten erforderlich sein, um Missbrauch oder unbefugten Zugriff zu verhindern. Ein Beispiel dafür ist eine Notfall-Kennung, die genutzt werden kann, um im Ernstfall noch auf bestimmte Dienste zuzugreifen.

Genehmigung und Überwachung von Identitäten für technische Dienste

Identitäten, die technischen Diensten zugewiesen sind, sollten einer speziellen Genehmigung und einer unabhängigen Überwachung unterliegen. Dies ist wichtig, um sicherzustellen, dass technischen Diensten nur auf die erforderlichen Ressourcen zugreifen können und potenzielle Sicherheitsrisiken minimiert werden. Zum Beispiel könnte ein Dienst (Anti-Malware) eine eigene Identität erhalten, um auf bestimmte Daten (alle potentiell schädlichen) oder Anwendungen (lokales Anti-Virusprogramm, Updates) zugreifen zu können.

Rechtzeitige Deaktivierung oder Entfernung nicht mehr benötigter Identitäten

Identitäten sollten deaktiviert oder entfernt werden, sobald sie nicht mehr benötigt werden. Dies kann etwa der Fall sein, wenn die zugehörigen Entitäten/die unterstützten Dienste gelöscht oder nicht mehr verwendet werden oder wenn eine Person die Organisation verlässt. Eine regelmäßige Überprüfung und Aktualisierung der Identitäten sind entscheidend um sicherzustellen, dass nur autorisierte Personen und Einheiten Zugriff haben.

Vermeidung von doppelten Identitäten

Innerhalb eines bestimmten Bereichs sollte immer nur eine Identität einer einzigen Entität zugeordnet werden. Dies hilft, Verwirrung und potenzielle Sicherheitsprobleme zu vermeiden. Zum Beispiel sollte eine Person nicht mehrere Benutzerkonten mit unterschiedlichen Berechtigungen für denselben Einsatzweck haben.

Aufbewahrung von Aufzeichnungen über wichtige Ereignisse

Organisationen sollten alle wichtigen Ereignisse im Zusammenhang mit der Nutzung und Verwaltung von Nutzeridentitäten und Authentifizierungsinformationen aufzeichnen und diese Dokumentation aufbewahren. Dies kann dazu beitragen, potenzielle Sicherheitsvorfälle zu untersuchen, Unregelmäßigkeiten zu erkennen und die Einhaltung von Richtlinien zu überprüfen.

Weitere Aspekte der Identitätskontrolle

Zusätzlich zu diesen organisatorischen Lösungen sollte eine Organisation auch einen unterstützenden Prozess für Änderungen an Informationen in Bezug auf Benutzeridentitäten haben. Dies kann beispielsweise eine erneute Überprüfung von vertrauenswürdigen Dokumenten in Bezug auf die Person beinhalten.

Zudem ist es wichtig, sicherzustellen, dass Identitäten, die von Dritten bereitgestellt oder ausgestellt werden, das erforderliche Vertrauensniveau bieten und alle damit verbundenen Risiken bekannt sind und auch ausreichend behandelt werden. Dies kann sowohl Kontrollen in Bezug auf die Dritten als auch Kontrollen der zugehörigen Authentifizierungsinformationen beinhalten.

Durch die Umsetzung dieser organisatorischen Lösungen können Unternehmen und Organisationen Identitätsdiebstahl, unbefugten Zugriff und andere Sicherheitsvorfälle verhindern oder frühzeitig zu erkennen. Das Identitätsmanagement spielt eine entscheidende Rolle in der Gesamtsicherheitsstrategie einer Organisation und sollte entsprechend sehr sorgfältig geplant, implementiert und überwacht werden.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Die activeMind AG stellt ihren Mandanten ein maßgeschneidertes Berechtigungskonzept zur Verfügung, in dem organisatorische und technische Maßnahmen für die Berechtigungsprozess festgelegt werden.

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.