Informationen zur Authentifizierung, wie Passwörter, kryptografische Schlüssel, Tokens oder biometrische Merkmale, sind besonders schützenswerte Informationen. Ein unzureichender Umgang mit diesen Informationen kann zu unbefugten Zugriffen, Identitätsmissbrauch und schwerwiegenden Sicherheitsvorfällen führen. Dieses Control stellt sicher, dass Informationen zur Authentifizierung über ihren gesamten Lebenszyklus hinweg angemessen geschützt, verwaltet und verwendet werden.
Zweck des Controls
A 5.17 soll gewährleisten, dass Informationen zur Authentifizierung vertraulich behandelt und vor unbefugtem Zugriff, Offenlegung oder Manipulation geschützt werden. Ziel ist es, sicherzustellen, dass Authentifizierungsmechanismen zuverlässig funktionieren und nicht durch unsachgemäße Verwaltung oder Nutzung unterlaufen werden. Das Control unterstützt damit unmittelbar die Wirksamkeit von Identitäts- und Zugangskontrollen.
Anforderungen und Maßnahmen
1. Festlegung von Regeln für Authentifizierungsinformationen
Organisationen müssen verbindliche Regeln für den Umgang mit Authentifizierungsinformationen definieren, insbesondere für:
Erstellung und Vergabe von Passwörtern oder Geheimnissen
Nutzung von Tokens, Zertifikaten oder Schlüsseln
Einsatz biometrischer Verfahren
Speicherung, Übertragung und Aufbewahrung von Authentifizierungsinformationen
Die Regeln müssen dokumentiert, verständlich und organisationsweit bekannt sein.
2. Schutz der Vertraulichkeit
Authentifizierungsinformationen müssen besonders geschützt werden:
Verbot der Offenlegung an unbefugte Personen
sichere Speicherung (z. B. Hashing, Verschlüsselung)
Schutz vor unbefugtem Zugriff oder Auslesen
Einschränkung des Zugriffs auf das notwendige Maß
So wird verhindert, dass Authentifizierungsinformationen kompromittiert werden.
3. Sichere Erstellung und Vergabe
Die Erstellung und Vergabe von Authentifizierungsinformationen muss sicher erfolgen:
Nutzung starker und geeigneter Authentifizierungsverfahren
sichere Initialvergabe und -übermittlung
Vermeidung vordefinierter oder gemeinsamer Geheimnisse
Vorgaben zur Erneuerung bei Erstnutzung
Dies reduziert das Risiko von Missbrauch von Beginn an.
4. Verwaltung über den Lebenszyklus
Authentifizierungsinformationen müssen über ihren gesamten Lebenszyklus hinweg verwaltet werden:
regelmäßige Aktualisierung oder Erneuerung
Widerruf oder Sperrung bei Kompromittierung
Entzug bei Rollenwechsel oder Ausscheiden
sichere Löschung oder Vernichtung
Alle Maßnahmen müssen zeitnah und nachvollziehbar umgesetzt werden.
So wird die Sicherheit der Authentifizierung erhöht.
6. Schutz bei Speicherung und Übertragung
Authentifizierungsinformationen müssen bei Speicherung und Übertragung geschützt sein:
Verschlüsselung bei Übertragung
sichere Speicherung in Systemen oder Verzeichnissen
Schutz vor Protokollierung oder unbeabsichtigter Offenlegung
Vermeidung unsicherer Übertragungswege
Dies verhindert Abfangen oder Manipulation.
7. Überwachung und Reaktion auf Missbrauch
Organisationen müssen Maßnahmen zur Erkennung und Behandlung von Missbrauch umsetzen:
Überwachung von Anmeldeversuchen
Erkennung ungewöhnlicher oder verdächtiger Aktivitäten
Sperrung betroffener Konten bei Verdacht auf Kompromittierung
Einbindung in Incident-Management-Prozesse
Eine schnelle Reaktion reduziert potenzielle Schäden.
8. Schulung und Sensibilisierung
Mitarbeitende müssen für den sicheren Umgang mit Authentifizierungsinformationen sensibilisiert werden:
Schulungen zu Passwortsicherheit und sicherer Nutzung
Sensibilisierung für Phishing und Social Engineering
klare Vorgaben zum Umgang mit Tokens oder Zertifikaten
regelmäßige Awareness-Maßnahmen
Dies unterstützt die sichere Anwendung im Alltag.
Zusammenfassung
A 5.17 fordert, dass Informationen zur Authentifizierung besonders geschützt und systematisch verwaltet werden. Durch klare Regeln, sichere Erstellung und Vergabe, Schutz der Vertraulichkeit, geeignete Authentifizierungsmechanismen sowie regelmäßige Überprüfung wird sichergestellt, dass Authentifizierungsinformationen nicht kompromittiert werden. Das Control ist eine wesentliche Voraussetzung für eine wirksame Zugangskontrolle und den Schutz vor unbefugten Zugriffen im Informationssicherheitsmanagementsystem.
Leave a comment