Logo der activeMind AG

ISO 27002Kapitel 5.17 Informationen zur Authentifizierung

Ein wichtiger Aspekt der Norm ISO 27002 ist die sichere Verwaltung von Authentifizierungsinformationen, um den Zugriff auf sensible Systeme und Daten zu schützen. Im Abschnitt 5.17 werden spezifische Anforderungen an diesen Prozess aufgestellt, unter anderem hinsichtlich der Zuweisung von Authentifizierungsinformationen, der Verantwortlichkeiten der Nutzer und die Implementierung eines Systems zur Passwortverwaltung.

Folgend erläutern wir diese Anforderungen und führen Möglichkeiten zur organisatorischen Umsetzungen auf.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Zuweisung von Authentifizierungsinformationen

Die Zuweisung von Authentifizierungsinformationen bezieht sich auf den Prozess der Vergabe von Benutzernamen, Kennwörtern, Zertifikaten oder anderen Identifikationsmerkmalen an Benutzer. Die folgenden organisatorischen Lösungen können dabei helfen, eine sichere und effektive Zuweisung von Authentifizierungsinformationen zu gewährleisten:

Richtlinien für die Zuweisung

Eine klare und umfassende Richtlinie sollte festlegen, welche Authentifizierungsinformationen Benutzern zugewiesen werden und unter welchen Bedingungen sowie auf welchem Wege dies geschehen darf. Es sollten auch entsprechende Verfahren für die Aktualisierung von Authentifizierungsinformationen festgelegt werden, sowie auch für die Änderung von solchen Informationen, gerade etwa, falls diese vom Hersteller voreingestellt sind.

Identitäts- und Berechtigungsmanagement

Ein zentrales System zur Verwaltung von Benutzeridentitäten und Berechtigungen kann zur effizienten Verwaltung von Authentifizierungsinformationen beitragen. Es ermöglicht die automatische Vergabe und Aktualisierung von Benutzerinformationen auf Basis definierter Rollen und Zuständigkeiten.

Mehrstufige Authentifizierung

Die Implementierung mehrstufiger Authentifizierungsverfahren, wie z.B. der Verwendung von Passwörtern in Kombination mit Einmalpasswörtern oder biometrischen Merkmalen, erhöht die Sicherheit deutlich. Der Einsatz von Multifaktor-Authentifizierung kann den Schutz vor unbefugtem Zugriff auf sensible Systeme spürbar verbessern.

Verantwortlichkeiten der Nutzer

Die Verantwortlichkeiten der Nutzer beziehen sich auf die Aufgaben und Pflichten, die Benutzer im Zusammenhang mit der Verwaltung ihrer Authentifizierungsinformationen haben. Hier sind einige organisatorische Lösungen, um die Verantwortlichkeiten der Nutzer zu fördern:

Schulungen und Sensibilisierung

Regelmäßige Schulungen und Awareness-Programme sollten durchgeführt werden, um Benutzer über die Bedeutung der sicheren Verwaltung von Authentifizierungsinformationen aufzuklären. Dies umfasst neben dem allgemein strikt vertraulichen Umgang mit Authentifizierungsinformationen auch die Sensibilisierung für Phishing-Angriffe, den sicheren Einsatz von Passwörtern und die Meldung verdächtiger Aktivitäten.

Richtlinien und Vereinbarungen

Es sollten klare Richtlinien und Vereinbarungen festgelegt werden, welche die Verantwortlichkeiten der Nutzer hinsichtlich der sicheren Verwaltung ihrer Authentifizierungsinformationen definieren. Dies kann die Verpflichtung zur Verwendung starker Passwörter, zur regelmäßigen Aktualisierung von Passwörtern und zum Schutz von Authentifizierungsinformationen vor unbefugtem Zugriff beinhalten.

Authentifizierungsprotokolle

Die Nutzung sicherer Authentifizierungsprotokolle, wie beispielsweise Single Sign-On (SSO), kann Benutzer unterstützen, da sie sich nur einmal sicher anmelden müssen, um auf mehrere Systeme oder Anwendungen zuzugreifen.

System zur Passwortverwaltung

Ein System zur Passwortverwaltung kann bei der Verwaltung und sicheren Aufbewahrung von Passwörtern helfen. Hier sind einige organisatorische Lösungen für die Implementierung eines solchen Systems:

Passwortrichtlinien

Klare Passwortrichtlinien sollten festgelegt werden, um die Verwendung starker Passwörter zu erzwingen. Diese Richtlinien sollten die Mindestanforderungen für Passwortlänge, Komplexität und erforderliche Aktualisierung umfassen.

Passwortmanager

Die Verwendung eines Passwortmanagers kann die Passwortverwaltung vereinfachen und die Sicherheit verbessern. Ein Passwortmanager ermöglicht es Benutzern, starke und eindeutige Passwörter für verschiedene Konten zu generieren und sicher zu speichern.

Verschlüsselung

Passwortdatenbanken sollten verschlüsselt werden, um sicherzustellen, dass Passwörter nicht von unbefugten Personen abgerufen werden können. Es sollten bewährte Verschlüsselungsstandards und -algorithmen angewendet werden, um eine angemessene Sicherheitsstufe zu gewährleisten.

Authentifizierung in der ISO 27002

  1. Die sichere Verwaltung von Authentifizierungsinformationen ist von entscheidender Bedeutung, um unbefugten Zugriff auf sensible Systeme und Daten zu verhindern. Durch die Umsetzung organisatorischer Maßnahmen können Unternehmen dazu beitragen, die Informationssicherheit zu stärken und das Risiko von Sicherheitsvorfällen zu minimieren.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Die activeMind AG stellt ihren Mandanten ein maßgeschneidertes Berechtigungskonzept, eine IT-Nutzungsrichtlinie und ein Kryptographiekonzept zur Verfügung.

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.