(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Authentifizierungsmechanismen stellen sicher, dass nur berechtigte Personen oder Systeme Zugriff auf Informationen und Informationsverarbeitungssysteme erhalten. Unsichere oder unzureichende Authentifizierungsverfahren erhöhen das Risiko von Identitätsmissbrauch, unbefugtem Zugriff und Sicherheitsvorfällen. Dieses Control stellt sicher, dass Authentifizierung sicher, zuverlässig und angemessen umgesetzt wird.

Zweck des Controls

A 8.5 soll gewährleisten, dass Zugriffe auf Systeme, Anwendungen und Informationen durch geeignete Authentifizierungsmechanismen abgesichert sind. Ziel ist es, Identitäten zuverlässig zu prüfen, Missbrauch zu verhindern und die Vertraulichkeit sowie Integrität von Informationen zu schützen.

Anforderungen und Maßnahmen

1. Festlegung von Authentifizierungsanforderungen

Organisationen müssen Anforderungen an Authentifizierungsverfahren definieren, insbesondere:

• zulässige Authentifizierungsverfahren
• Mindestanforderungen an Passwortstärke
• Einsatz mehrerer Authentifizierungsfaktoren
• Anforderungen für unterschiedliche Schutzbedarfe

Die Anforderungen müssen dokumentiert und bekannt sein.

2. Einsatz starker Authentifizierungsmechanismen

Geeignete Authentifizierungsmechanismen müssen eingesetzt werden:

• starke Passwörter oder Passphrasen
• Mehrfaktor-Authentifizierung, sofern angemessen
• hardware- oder softwarebasierte Authentifizierungsmittel
• sichere Verwaltung von Zugangsdaten

So wird unbefugter Zugriff erschwert.

3. Schutz von Authentifizierungsinformationen

Authentifizierungsinformationen müssen besonders geschützt werden:

• sichere Speicherung von Zugangsdaten
• Schutz vor Offenlegung oder Manipulation
• Vermeidung von Klartextspeicherung
• sichere Übertragung von Authentifizierungsinformationen

Dies verhindert Identitätsmissbrauch.

4. Verwaltung von Authentifizierungsdaten

Authentifizierungsdaten müssen systematisch verwaltet werden:

• regelmäßige Änderung von Zugangsdaten, sofern erforderlich
• Verfahren zur Rücksetzung oder Wiederherstellung
• Deaktivierung bei Kompromittierung
• zeitnahe Sperrung bei Missbrauchsverdacht

So bleibt die Sicherheit aktuell.

5. Authentifizierung von Systemen und Diensten

Auch Systeme und Dienste müssen authentifiziert werden:

• sichere Authentifizierung zwischen Systemen
• Schutz von Servicekonten
• Verwendung eindeutiger Identitäten
• Kontrolle automatisierter Zugriffe

Dies schützt vor unbefugter Systemkommunikation.

6. Überwachung und Erkennung von Missbrauch

Authentifizierungsprozesse müssen überwacht werden:

• Protokollierung von Anmeldeversuchen
• Erkennung ungewöhnlicher oder fehlgeschlagener Anmeldungen
• Alarmierung bei verdächtigen Aktivitäten
• Integration in Incident-Management-Prozesse

So werden Angriffe frühzeitig erkannt.

7. Benutzerfreundlichkeit und Sicherheit

Authentifizierungsverfahren müssen praktikabel sein:

• Balance zwischen Sicherheit und Benutzerfreundlichkeit
• klare Vorgaben für Benutzer
• Unterstützung bei der sicheren Nutzung
• Vermeidung unsicherer Umgehungslösungen

Dies fördert die Akzeptanz.

8. Dokumentation und Integration ins ISMS

Authentifizierungsverfahren müssen dokumentiert sein:

• Richtlinien und Vorgaben
• technische Umsetzungen
• Verantwortlichkeiten
• Integration in Risiko- und Sicherheitsprozesse

Die Dokumentation unterstützt Audits und Nachvollziehbarkeit.

Zusammenfassung

A 8.5 fordert, dass Organisationen sichere Authentifizierungsmechanismen systematisch einsetzen. Durch klare Anforderungen, starke Verfahren, Schutz von Authentifizierungsinformationen, kontinuierliche Überwachung sowie ausgewogene Gestaltung zwischen Sicherheit und Benutzerfreundlichkeit wird sichergestellt, dass Zugriffe auf Informationen und Systeme wirksam geschützt sind. Das Control ist ein zentraler Bestandteil der technischen Sicherheitsmaßnahmen im Informationssicherheitsmanagementsystem.