RiLi-Authentifizierung - Versionsgeschichte

Dirk am 7. Februar 2025 um 15:26 Uhr

2025-02-07T15:26:22Z

← Nächstältere Version		Version vom 7. Februar 2025, 17:26 Uhr
Zeile 1:		Zeile 1:
	~~{{Entwurf}}~~
	{{#seo:		{{#seo:
	\|title=Authentifizierungsrichtlinie		\|title=Authentifizierungsrichtlinie (Passkey-Richtlinie)
	\|keywords=ISMS,Richtlinie,Passworte,Authentifizierung,Passkey,Authentifizierungsrichtlinie,Muster		\|keywords=ISMS,Richtlinie,Passworte,Authentifizierung,Passkey,Authentifizierungsrichtlinie,Muster
	\|description=Authentifizierungsrichtlinie auf Basis moderner Verfahren (z. B. Passkeys).		\|description=Authentifizierungsrichtlinie auf Basis moderner Verfahren (z.B. Passkeys).
	}}{{SHORTDESC:Authentifizierungsrichtlinie auf Basis moderner Verfahren (z. B. Passkeys).}}		}}{{SHORTDESC:Authentifizierungsrichtlinie auf Basis moderner Verfahren (z.B. Passkeys).}}
	''Die Authentifizierungsrichtlinie beschreibt Sicherheitsanforderungen für die Authentifizierung von Benutzern und Systemen. Sie umfasst Regeln für eine weitgehende moderne (passwortlose) Authentifizierung und spezifische Anforderungen für Benutzer-, Admin- und System-Accounts.''		''Die Authentifizierungsrichtlinie beschreibt Sicherheitsanforderungen für die Authentifizierung von Benutzern und Systemen. Sie umfasst Regeln für eine weitgehende moderne (passwortlose) Authentifizierung und spezifische Anforderungen für Benutzer-, Admin- und System-Accounts.''

Dirk: /* PIN-Richtlinie für numerische PINs */

2024-10-09T15:44:03Z

PIN-Richtlinie für numerische PINs

← Nächstältere Version		Version vom 9. Oktober 2024, 17:44 Uhr
Zeile 109:		Zeile 109:
	* Die PIN sollte mindestens jährlich geändert werden.		* Die PIN sollte mindestens jährlich geändert werden.
	* Bei Missbrauchsverdacht ist die PIN unverzüglich zu ändern oder der Zugang zu sperren.		* Bei Missbrauchsverdacht ist die PIN unverzüglich zu ändern oder der Zugang zu sperren.
	* Spätestens nach fünf Fehlversuchen (bei weniger als 10 Ziffern, spätestens nach drei Fehlversuchen) ist der Zugriff zu sperren.		* Spätestens nach fünf Fehlversuchen (bei weniger als 6 Ziffern, spätestens nach drei Fehlversuchen) ist der Zugriff zu sperren.
	* Admin- oder System-PIN's sind sicher zu hinterlegen.		* Admin- oder System-PIN's sind sicher zu hinterlegen.
	* PINs dürfen nicht wiederverwendet werden und müssen regelmäßig geändert werden, wenn sie als Fallback genutzt werden.		* PINs dürfen nicht wiederverwendet werden und müssen regelmäßig geändert werden, wenn sie als Fallback genutzt werden.

Dirk: /* PIN-Richtlinie für numerische PINs */

2024-10-09T15:39:20Z

PIN-Richtlinie für numerische PINs

← Nächstältere Version		Version vom 9. Oktober 2024, 17:39 Uhr
Zeile 100:		Zeile 100:
	=== PIN-Richtlinie für numerische PINs ===		=== PIN-Richtlinie für numerische PINs ===
	Numerische PINs werden nur noch in Ausnahmefällen eingesetzt, z. B. als Fallback-Option oder für Systeme, die keine Unterstützung für Passkeys bieten. Folgende Anforderungen gelten für die PIN-Nutzung:		Numerische PINs werden nur noch in Ausnahmefällen eingesetzt, z. B. als Fallback-Option oder für Systeme, die keine Unterstützung für Passkeys bieten. Folgende Anforderungen gelten für die PIN-Nutzung:
	* ~~PINs müssen mindestens 6~~ Ziffern ~~lang sein~~ und dürfen ~~keine einfachen Muster~~ (z. B. ~~123456~~ oder ~~000000~~) ~~enthalten~~.		* Mindestlänge der PIN beträgt 12 Ziffern oder falls technisch weniger möglich sind, soviele wie möglich.
			* PIN's mit weniger als 4 Ziffern sind grundsätzlich nicht erlaubt.
			* Keine Ziffernwiederholung von mehr als zwei (z.B. '''111'''234, '''000'''7, '''11'''00'''11''').
			* Keine Wiederholung von Zifferngruppen (z.B. 0101, 343434, 5757).
			* Keine Ziffernfolgen von mehr als drei Ziffern (z.B. 1234, 098765).
			* Keine Datumsdaten oder Jahrenszahlen wie Geurtsdatum, Hochzeitstag o.ä.
			* Mindestens eine Ziffer aus dem unteren Ziffernbereich (12345) und eine Ziffer aus dem oberen Ziffernbereich (67890), d.h die Ziffern dürfen nicht nur aus dem unteren oder nur aus dem oberen Bereich bestehen (z.B. 132421, 687098).
			* Die PIN sollte mindestens jährlich geändert werden.
			* Bei Missbrauchsverdacht ist die PIN unverzüglich zu ändern oder der Zugang zu sperren.
			* Spätestens nach fünf Fehlversuchen (bei weniger als 10 Ziffern, spätestens nach drei Fehlversuchen) ist der Zugriff zu sperren.
			* Admin- oder System-PIN's sind sicher zu hinterlegen.
	* PINs dürfen nicht wiederverwendet werden und müssen regelmäßig geändert werden, wenn sie als Fallback genutzt werden.		* PINs dürfen nicht wiederverwendet werden und müssen regelmäßig geändert werden, wenn sie als Fallback genutzt werden.
	* Die PIN-Nutzung sollte, wo immer möglich, durch andere sicherere Methoden (z. B. biometrische Authentifizierung) ersetzt werden.		* Die PIN-Nutzung sollte, wo immer möglich, durch andere sicherere Methoden (z. B. biometrische Authentifizierung) ersetzt werden.

Dirk: Die Seite wurde neu angelegt: „{{Entwurf}} {{#seo: |title=Authentifizierungsrichtlinie |keywords=ISMS,Richtlinie,Passworte,Authentifizierung,Passkey,Authentifizierungsrichtlinie,Muster |description=Authentifizierungsrichtlinie auf Basis moderner Verfahren (z. B. Passkeys). }}{{SHORTDESC:Authentifizierungsrichtlinie auf Basis moderner Verfahren (z. B. Passkeys).}} ''Die Authentifizierungsrichtlinie beschreibt Sicherheitsanforderungen für die Authentifizierung von Benutzern und Systeme…“

2024-10-09T15:33:37Z

Die Seite wurde neu angelegt: „{{Entwurf}} {{#seo: |title=Authentifizierungsrichtlinie |keywords=ISMS,Richtlinie,Passworte,Authentifizierung,Passkey,Authentifizierungsrichtlinie,Muster |description=Authentifizierungsrichtlinie auf Basis moderner Verfahren (z. B. Passkeys). }}{{SHORTDESC:Authentifizierungsrichtlinie auf Basis moderner Verfahren (z. B. Passkeys).}} ''Die Authentifizierungsrichtlinie beschreibt Sicherheitsanforderungen für die Authentifizierung von Benutzern und Systeme…“

Neue Seite

{{Entwurf}}
{{#seo:
|title=Authentifizierungsrichtlinie
|keywords=ISMS,Richtlinie,Passworte,Authentifizierung,Passkey,Authentifizierungsrichtlinie,Muster
|description=Authentifizierungsrichtlinie auf Basis moderner Verfahren (z. B. Passkeys).
}}{{SHORTDESC:Authentifizierungsrichtlinie auf Basis moderner Verfahren (z. B. Passkeys).}}
''Die Authentifizierungsrichtlinie beschreibt Sicherheitsanforderungen für die Authentifizierung von Benutzern und Systemen. Sie umfasst Regeln für eine weitgehende moderne (passwortlose) Authentifizierung und spezifische Anforderungen für Benutzer-, Admin- und System-Accounts.''

== Einleitung ==
=== Ziel der Authentifizierungsrichtlinie ===
Diese Authentifizierungsrichtlinie hat das Ziel, die Sicherheit der Zugangskontrolle zu IT-Systemen der Organisation zu gewährleisten. Sie ersetzt die bisherige Passwortrichtlinie und fokussiert sich auf moderne, sichere Authentifizierungsmethoden, insbesondere Passkeys und Multi-Faktor-Authentifizierung (MFA). Die Richtlinie soll das Risiko von Identitätsdiebstahl und unautorisiertem Zugriff minimieren, indem sie sichere und benutzerfreundliche Authentifizierungsverfahren implementiert, die dem Stand der Technik entsprechen.

=== Wechsel auf passwortlose Verfahren ===
Traditionelle Passwort-basierte Authentifizierung ist anfällig für Sicherheitsrisiken wie Phishing, Brute-Force-Angriffe und das Wiederverwenden von Passwörtern. Moderne passwortlose Verfahren wie Passkeys bieten einen höheren Schutz, da sie auf Public-Key-Kryptographie basieren und die Sicherheit nicht von der Geheimhaltung eines Passworts abhängt. Passkeys sind weniger anfällig für klassische Angriffe und bieten eine verbesserte Benutzerfreundlichkeit, da sie den Aufwand für Passwortmanagement eliminieren. Diese Richtlinie unterstützt die schrittweise Einführung passwortloser Verfahren, um die Sicherheit der IT-Systeme der Organisation zu erhöhen.

=== Definition wichtiger Begriffe ===
* '''Passkey''': Ein kryptografisch sicheres Authentifizierungsverfahren, das auf Public-Key-Kryptographie basiert. Passkeys werden auf Geräten der Benutzenden gespeichert und ermöglichen eine Authentifizierung ohne Passwort.
* '''Multi-Faktor-Authentifizierung (MFA)''': Ein Verfahren, bei dem mindestens zwei unterschiedliche Authentifizierungsfaktoren verwendet werden, um die Identität eines Benutzenden zu bestätigen. Dies kann eine Kombination aus Wissen (z. B. PIN), Besitz (z. B. Smartphone) und Biometrie (z. B. Fingerabdruck) sein.
* '''Public-Key-Kryptographie''': Ein kryptografisches Verfahren, bei dem ein Schlüsselpaar aus einem privaten und einem öffentlichen Schlüssel verwendet wird. Der private Schlüssel bleibt geheim, während der öffentliche Schlüssel frei verteilt werden kann.

== Geltungsbereich und Zielgruppe ==
=== Anwendungsbereich der Richtlinie innerhalb der Organisation ===
Diese Richtlinie gilt für alle IT-Systeme und Anwendungen, die von der Organisation betrieben oder verwaltet werden. Sie betrifft alle Benutzenden, einschließlich normaler Benutzender, Benutzender mit privilegierten Rechten (Administrierende), Systemkonten und technische Benutzerkonten. Die Richtlinie legt die Rahmenbedingungen für die Implementierung und Nutzung passwortloser Authentifizierungsmethoden fest.

=== Zielgruppen ===
normale Benutzende, Benutzende mit privilegierten Rechten, Systemaccounts, externe Dienstleistende

== Passkey-basierte Authentifizierung ==
=== Grundlegendes Prinzip und Funktionsweise ===
Passkeys basieren auf dem FIDO2-Standard und der Public-Key-Kryptographie. Beim Anlegen eines Passkeys wird ein Schlüsselpaar generiert: ein öffentlicher und ein privater Schlüssel. Der öffentliche Schlüssel wird an den Authentifizierungsserver der Organisation übermittelt, während der private Schlüssel sicher auf dem Gerät des Benutzenden gespeichert wird, z. B. in einer sicheren Hardware-Umgebung (Secure Enclave oder TPM). Bei der Authentifizierung wird eine kryptografische Challenge an das Gerät des Benutzenden gesendet, die mit dem privaten Schlüssel signiert wird. Der Server validiert die Signatur anhand des öffentlichen Schlüssels, wodurch die Identität des Benutzenden bestätigt wird. Da der private Schlüssel das Gerät niemals verlässt, ist das Verfahren besonders sicher gegen Angriffe wie Phishing oder Brute-Force-Attacken.

=== Erstellung und Verwaltung von Passkeys ===
Passkeys werden für alle Benutzenden verpflichtend eingeführt, um die Authentifizierungssicherheit zu erhöhen. Folgende Grundsätze gelten bei der Erstellung und Verwaltung von Passkeys:
* '''Erstellung''': Benutzende müssen Passkeys auf einem persönlichen oder von der Organisation bereitgestellten Gerät erstellen. Das Gerät muss die Mindestanforderungen an Sicherheit (z. B. sichere Speicherung des privaten Schlüssels) erfüllen. Die Erstellung eines Passkeys erfolgt nach einem standardisierten Verfahren, das von der IT-Abteilung überwacht wird.
* '''Registrierung und Bindung''': Der öffentliche Schlüssel wird sicher auf dem Authentifizierungsserver der Organisation hinterlegt. Das Gerät des Benutzenden wird als vertrauenswürdiges Authentifizierungsgerät registriert.
* '''Sicherheitsanforderungen''': Nur Geräte, die eine sichere Hardware-Umgebung zur Speicherung des privaten Schlüssels bieten, dürfen verwendet werden. Beispiele sind TPM (Trusted Platform Module) oder Secure Enclave bei mobilen Geräten.
* '''Verwaltung''': Die Verwaltung der Passkeys obliegt der IT-Abteilung, die sicherstellt, dass alte oder unsichere Geräte und Passkeys rechtzeitig aus dem System entfernt werden. Der Benutzende wird darüber informiert, wenn eine Erneuerung des Passkeys erforderlich ist.

=== Anforderungen an Authentifizierungsgeräte ===
Für die Nutzung von Passkeys müssen Authentifizierungsgeräte den folgenden Anforderungen entsprechen:
* '''Hardware-Sicherheit''': Das Gerät muss über eine vertrauenswürdige Hardwarekomponente wie TPM oder Secure Enclave verfügen, um den privaten Schlüssel sicher zu speichern.
* '''Biometrische Authentifizierung''': Wenn möglich, sollte das Gerät eine biometrische Authentifizierung (z. B. Fingerabdruck, Gesichtserkennung) unterstützen, um die Sicherheit und Benutzerfreundlichkeit zu maximieren.
* '''Unterstützung von FIDO2/WebAuthn''': Das Gerät und die verwendeten Anwendungen müssen den FIDO2-Standard und WebAuthn unterstützen, um eine sichere Kommunikation mit dem Authentifizierungsserver zu gewährleisten.
* '''Backups und Wiederherstellung''': Authentifizierungsgeräte sollten eine sichere Möglichkeit bieten, Passkeys zu sichern und wiederherzustellen, falls das Gerät verloren geht oder beschädigt wird. Es müssen Prozesse definiert werden, wie Benutzende in einem solchen Fall wieder Zugang zu ihrem Konto erhalten können.

== Multi-Faktor-Authentifizierung (MFA) ==
=== Pflicht zur MFA: Definition der Rollen, für die MFA verpflichtend ist ===
Die Multi-Faktor-Authentifizierung (MFA) wird in der gesamten Organisation eingesetzt, um den Zugang zu kritischen Systemen und sensiblen Daten besser abzusichern. MFA ist für folgende Benutzergruppen verpflichtend:
* '''Benutzende mit privilegierten Rechten''' (z. B. Administratoren) müssen stets MFA verwenden, um zusätzliche Sicherheitsebene zu gewährleisten.
* '''Normale Benutzende''' müssen MFA verwenden, wenn sie auf Systeme zugreifen, die vertrauliche Informationen enthalten oder geschäftskritische Funktionen bereitstellen.
* Für '''externe Dienstleistende''' ist MFA obligatorisch, wenn sie auf interne IT-Systeme zugreifen.

Die Organisation implementiert MFA standardmäßig als Kombination aus Passkeys und einem zweiten Authentifizierungsfaktor, um die Sicherheit zu maximieren. Bei der Auswahl der zweiten Faktoren (z. B. Biometrie, SMS-basierte Einmalcodes oder Authenticator-Apps) wird auf deren Benutzerfreundlichkeit und Sicherheit geachtet.

=== Kombination von Authentifizierungsverfahren ===
Die Organisation verwendet eine schrittweise Authentifizierung, bei der Passkeys als primärer Faktor verwendet werden. In Kombination dazu wird ein zweiter Faktor zur zusätzlichen Absicherung genutzt, wenn:
* der Zugriff auf besonders sensible Daten erfolgt,
* Benutzende von einem neuen oder nicht vertrauenswürdigen Gerät auf ein System zugreifen,
* eine ungewöhnliche oder verdächtige Aktivität erkannt wird (z. B. Anmeldeversuche aus unbekannten geografischen Regionen).

Mögliche zusätzliche Faktoren umfassen:
* '''Biometrische Authentifizierung''' (z. B. Fingerabdruck, Gesichtserkennung),
* '''Hardware-Token''' (z. B. YubiKey),
* '''Einmal-Passwörter (OTP)''' über Authenticator-Apps (z. B. Google Authenticator),
* '''Push-Benachrichtigungen''' zur Bestätigung auf einem vertrauenswürdigen Gerät.

=== Ersatz-Authentifizierungsmethoden ===
Falls die Nutzung von Passkeys temporär nicht möglich ist (z. B. Verlust des Authentifizierungsgeräts), gelten die folgenden Ersatzmethoden:
* Authentifizierung per Einmal-Passwörtern (OTP), die durch eine Authenticator-App generiert werden,
* temporärer Zugang über SMS-basierte Einmalcodes, wobei dies als weniger sicher angesehen wird und nur als letzte Option gilt,
* Nutzung eines Hardware-Tokens als Ersatz für den Passkey.

Diese Ersatzmethoden sind nur vorübergehend und dürfen nicht als langfristige Lösung dienen. Die Benutzenden sind verpflichtet, den Passkey so schnell wie möglich wiederherzustellen oder ein neues Authentifizierungsgerät zu registrieren.

== Spezifische Anforderungen nach Benutzerkategorien ==
=== Normale Benutzende ===
Für normale Benutzende gilt die Verpflichtung, Passkeys als primäre Authentifizierungsmethode zu nutzen. Der Prozess für normale Benutzende sieht wie folgt aus:
* Benutzende erstellen bei der ersten Nutzung einen Passkey auf einem vertrauenswürdigen Gerät.
* Ein zusätzliches Sicherheitsmerkmal, wie Biometrie oder eine Authenticator-App, wird eingerichtet, um die Sicherheit zu erhöhen.
* Bei Änderungen am Authentifizierungsgerät müssen Benutzende den Passkey auf einem neuen Gerät registrieren und die IT-Abteilung darüber informieren.
* Regelmäßige Überprüfungen durch die IT-Abteilung stellen sicher, dass alle Authentifizierungsgeräte den Sicherheitsstandards entsprechen.

Normale Benutzende haben Zugriff auf zentrale Systeme, Anwendungen und Datenbanken, die durch die MFA- und Passkey-Authentifizierung geschützt sind. Sie müssen sicherstellen, dass sie keine Sicherheitslücken schaffen, indem sie ihre Authentifizierungsgeräte ungeschützt lassen oder Passkeys auf unsicheren Geräten registrieren.

=== Benutzende mit privilegierten Rechten ===
Für Benutzende mit privilegierten Rechten (z. B. Administratoren, Systembetreibende) gelten strengere Sicherheitsanforderungen:
* Die Nutzung von Passkeys und mindestens einem zweiten Authentifizierungsfaktor (z. B. Biometrie oder Hardware-Token) ist verpflichtend.
* Administratoren müssen regelmäßig ihre Geräte und Zugangsdaten überprüfen und bei Änderungen sofort die IT-Abteilung informieren.
* Der Zugriff auf kritische Systeme und die Ausführung administrativer Aufgaben sind nur über vertrauenswürdige Geräte erlaubt, die über eine sichere Hardware-Komponente (TPM oder Secure Enclave) verfügen.
* Bei jedem Zugriff auf administrative Funktionen wird die Aktivität protokolliert und einer kontinuierlichen Überwachung unterzogen, um mögliche Angriffe frühzeitig zu erkennen.

Zusätzlich werden regelmäßige Schulungen durchgeführt, um Benutzende mit privilegierten Rechten über aktuelle Bedrohungen und Best Practices im Umgang mit Authentifizierung und Systemzugriff zu informieren.

=== Systemaccounts und technische Benutzerkonten ===
Systemaccounts und technische Benutzerkonten, die in automatisierten Prozessen verwendet werden, benötigen keine Passkeys oder MFA, sondern müssen durch alternative Authentifizierungsmechanismen wie API-Schlüssel oder Zertifikats-basierte Authentifizierung gesichert werden. Diese Accounts unterliegen den folgenden Best Practices:
* Der Zugriff auf Systemaccounts muss durch das Prinzip der minimalen Rechtevergabe eingeschränkt werden.
* Authentifizierungsdaten für Systemaccounts (z. B. API-Schlüssel) müssen verschlüsselt und sicher gespeichert werden (z. B. in einem Secret Management System).
* Regelmäßige Überprüfungen und Audits der verwendeten Systemaccounts gewährleisten, dass ungenutzte Accounts deaktiviert und ungenutzte Schlüssel widerrufen werden.

=== PIN-Richtlinie für numerische PINs ===
Numerische PINs werden nur noch in Ausnahmefällen eingesetzt, z. B. als Fallback-Option oder für Systeme, die keine Unterstützung für Passkeys bieten. Folgende Anforderungen gelten für die PIN-Nutzung:
* PINs müssen mindestens 6 Ziffern lang sein und dürfen keine einfachen Muster (z. B. 123456 oder 000000) enthalten.
* PINs dürfen nicht wiederverwendet werden und müssen regelmäßig geändert werden, wenn sie als Fallback genutzt werden.
* Die PIN-Nutzung sollte, wo immer möglich, durch andere sicherere Methoden (z. B. biometrische Authentifizierung) ersetzt werden.

== Verwaltung und Schutz von Authentifizierungsdaten ==
=== Sicherung von privaten Schlüsseln ===
Private Schlüssel, die für die Passkey-basierte Authentifizierung verwendet werden, müssen sicher auf den Geräten der Benutzenden gespeichert werden. Folgende Grundsätze gelten:
* Private Schlüssel dürfen nie das Gerät verlassen, auf dem sie erzeugt wurden. Sie müssen in einer sicheren Umgebung gespeichert werden, wie z. B. einem Trusted Platform Module (TPM) oder einer Secure Enclave.
* Authentifizierungsgeräte müssen so konfiguriert sein, dass nur der berechtigte Benutzende oder die berechtigte Benutzende auf den privaten Schlüssel zugreifen kann (z. B. durch biometrische Authentifizierung).
* Regelmäßige Überprüfungen der Integrität der Geräte und der sicheren Speicherorte müssen durch die IT-Abteilung durchgeführt werden, um sicherzustellen, dass private Schlüssel nicht kompromittiert wurden.
* Backups der privaten Schlüssel sind grundsätzlich untersagt. Stattdessen muss die IT-Abteilung Verfahren für die sichere Erneuerung und Wiederherstellung von Passkeys im Falle eines Geräteverlustes implementieren.

=== Verlust und Wiederherstellung von Authentifizierungsinformationen ===
Für den Fall, dass Benutzende den Zugriff auf ihr Authentifizierungsgerät (z. B. durch Verlust oder Beschädigung) verlieren, muss ein sicheres Wiederherstellungsverfahren implementiert werden. Die folgenden Schritte gelten als Best Practice:
* Der Benutzende muss unverzüglich den Verlust an die IT-Abteilung melden.
* Die IT-Abteilung deaktiviert sofort den betroffenen Passkey und initiiert ein Identitätsverifikationsverfahren, um sicherzustellen, dass der Zugriff auf das Konto nur durch den rechtmäßigen Benutzenden wiederhergestellt wird.
* Nach erfolgreicher Identitätsprüfung wird der Benutzende angewiesen, einen neuen Passkey zu registrieren.
* Alle Wiederherstellungsvorgänge werden protokolliert und regelmäßig überprüft, um Missbrauch vorzubeugen.

=== Regelungen für die Beendigung von Zugriffsrechten ===
Wenn Benutzende die Organisation verlassen oder ihre Rolle wechseln, müssen ihre Authentifizierungsdaten (einschließlich Passkeys) zeitnah deaktiviert werden:
* Die IT-Abteilung muss bei Beendigung des Arbeitsverhältnisses sofort alle zugehörigen Passkeys und Zugangsberechtigungen deaktivieren.
* Für den Fall, dass ein Benutzender auf andere Weise nicht mehr berechtigt ist, auf bestimmte Systeme zuzugreifen (z. B. durch Funktionswechsel), müssen Zugriffsrechte und Passkeys unmittelbar angepasst oder entzogen werden.
* Alle deaktivierten Zugänge müssen dokumentiert und regelmäßig im Rahmen von Zugriffs-Audits überprüft werden.

== Compliance und Monitoring ==
=== Überwachung der Authentifizierungsverfahren ===
Die Organisation muss sicherstellen, dass alle Authentifizierungsverfahren kontinuierlich überwacht werden, um potenzielle Sicherheitslücken frühzeitig zu erkennen. Die Überwachung umfasst folgende Maßnahmen:
* Protokollierung sämtlicher Anmeldeversuche, sowohl erfolgreicher als auch fehlgeschlagener. Ungewöhnliche oder verdächtige Aktivitäten müssen in Echtzeit erkannt und gemeldet werden.
* Implementierung eines Systems zur Erkennung von Anomalien, z. B. mehrfach fehlgeschlagene Anmeldeversuche oder Zugriffsversuche aus ungewöhnlichen geografischen Regionen.
* Regelmäßige Sicherheits-Scans und Penetrationstests der Authentifizierungsinfrastruktur, um potenzielle Schwachstellen zu identifizieren und zu beheben.

=== Protokollierung und Audits ===
Die Authentifizierungsvorgänge müssen umfassend dokumentiert werden, um Nachvollziehbarkeit und Verantwortlichkeit zu gewährleisten. Folgende Protokolle müssen erstellt und regelmäßig auditiert werden:
* Detaillierte Logs über alle Authentifizierungsversuche, einschließlich Datum, Uhrzeit, Ort und verwendetem Gerät.
* Protokollierung von Änderungen an Authentifizierungsdaten (z. B. Registrierung neuer Passkeys, Deaktivierung von Zugängen).
* Jährliche Audits der Zugriffsrechte und Authentifizierungsverfahren durch die interne Revision oder eine externe Prüfungseinheit, um sicherzustellen, dass die Richtlinie den aktuellen Anforderungen entspricht.

=== Verstöße gegen die Authentifizierungsrichtlinie ===
Verstöße gegen die Vorgaben der Authentifizierungsrichtlinie, insbesondere in Bezug auf die Nutzung unsicherer Geräte oder das Umgehen von MFA, werden konsequent geahndet. Mögliche Maßnahmen bei Verstößen umfassen:
* Temporäre Sperrung des Zugangs zu Systemen bis zur Klärung und Behebung des Verstoßes.
* Schulungsmaßnahmen für betroffene Benutzende, um Wiederholungen zu verhindern.
* Bei wiederholten oder gravierenden Verstößen können disziplinarische Maßnahmen ergriffen werden, einschließlich Kündigung des Arbeitsverhältnisses oder Beendigung des Zugangs für externe Dienstleistende.

== Schulungen und Awareness ==
=== Schulungsanforderungen für Benutzende ===
Alle Benutzenden der Organisation müssen regelmäßig in der Nutzung von Passkeys und MFA geschult werden. Schulungen umfassen:
* Grundlegendes Verständnis der Funktionsweise von Passkeys und MFA sowie der Bedeutung von sicherer Authentifizierung.
* Praktische Anleitungen zur Registrierung und Nutzung von Passkeys auf verschiedenen Geräten.
* Schulungen zur Erkennung und Vermeidung von Phishing-Angriffen und anderen gängigen Bedrohungen.
* Spezifische Schulungen für Benutzende mit privilegierten Rechten, um erweiterte Sicherheitsmaßnahmen zu verstehen und korrekt anzuwenden.

Neue Benutzende müssen unmittelbar nach Eintritt in die Organisation eine Schulung durchlaufen. Darüber hinaus sind regelmäßige Auffrischungsschulungen für alle Benutzenden mindestens einmal jährlich verpflichtend.

=== Sensibilisierungsmaßnahmen ===
Neben formalen Schulungen muss die Organisation regelmäßige Sensibilisierungsmaßnahmen durchführen, um Benutzende über aktuelle Bedrohungen und Best Practices zu informieren. Dazu zählen:
* Regelmäßige Informationskampagnen per E-Mail oder Intranet, die über neue Bedrohungen und Sicherheitslücken aufklären.
* Interaktive Awareness-Trainings, die sicherstellen, dass Benutzende die Risiken von unsicherer Authentifizierung verstehen.
* Simulierte Phishing-Angriffe, um das Sicherheitsbewusstsein der Benutzenden zu testen und ihnen zu helfen, echte Bedrohungen besser zu erkennen.

Die Kombination aus Schulungen und Awareness-Kampagnen stellt sicher, dass die Benutzenden sich der Bedeutung sicherer Authentifizierung bewusst sind und die Richtlinie aktiv unterstützen.

== Notfall- und Backup-Verfahren ==
=== Vorgehensweise bei technischen Ausfällen ===
Im Falle technischer Ausfälle, die die Authentifizierungssysteme oder die Authentifizierungsgeräte der Benutzenden betreffen, müssen klare Notfallverfahren implementiert werden. Die folgenden Schritte sind dabei zu beachten:
* Bei Ausfall des primären Authentifizierungssystems muss die IT-Abteilung unverzüglich Maßnahmen ergreifen, um den Zugriff auf kritische Systeme zu sichern und alternative Authentifizierungsmethoden bereitzustellen.
* Die IT-Abteilung muss sicherstellen, dass betroffene Benutzende zeitnah informiert und alternative Authentifizierungsmethoden (z. B. temporäre Nutzung von Einmal-Passwörtern) aktiviert werden.
* Eine klar definierte Eskalationsstrategie muss vorhanden sein, um sicherzustellen, dass technische Probleme schnellstmöglich behoben werden. Dies beinhaltet die Identifikation und Einbindung der zuständigen technischen Expertinnen und Experten.
* Benutzende müssen im Rahmen der Notfallkommunikation über den Verlauf des Vorfalls informiert werden, insbesondere, wenn die Authentifizierungsmethoden für kritische Geschäftsprozesse betroffen sind.

=== Backup-Lösungen für den Zugriff auf kritische Systeme ===
Um den Zugang zu kritischen Systemen auch im Notfall aufrechtzuerhalten, muss die Organisation Backup-Authentifizierungsmethoden implementieren:
* '''Temporäre Nutzung von Einmal-Passwörtern (OTP)''': Für den Fall, dass Passkeys oder MFA nicht genutzt werden können, müssen Benutzende eine zeitlich begrenzte Möglichkeit erhalten, sich mit OTPs zu authentifizieren. Diese Passwörter sollten durch eine vertrauenswürdige Authentifizierungs-App generiert werden.
* '''Feste Backup-Accounts''': Für administrative Aufgaben müssen Backup-Accounts eingerichtet werden, die nur in Notfallsituationen genutzt werden dürfen. Der Zugriff auf diese Accounts muss durch streng überwachte Prozesse und zusätzliche Sicherheitsmechanismen (z. B. versiegelte Umschläge mit Zugangsdaten) abgesichert sein.
* '''Feste Kommunikationskanäle''': Benutzende und IT-Verantwortliche müssen wissen, über welche Kanäle im Notfall kommuniziert wird, um Missverständnisse oder Verzögerungen zu vermeiden.

Alle Backup-Lösungen dürfen nur in absoluten Notfällen eingesetzt werden und müssen regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass sie den aktuellen Sicherheitsstandards entsprechen.

== Fortlaufende Weiterentwicklung der Authentifizierungsmethoden ==
=== Regelmäßige Überprüfung und Anpassung der Richtlinie ===
Die Authentifizierungsrichtlinie muss regelmäßig überprüft werden, um sicherzustellen, dass sie den aktuellen Sicherheitsanforderungen und technologischen Entwicklungen entspricht. Folgende Maßnahmen müssen ergriffen werden:
* '''Jährliche Überprüfung''': Einmal jährlich muss eine formale Überprüfung der Richtlinie durch die IT-Abteilung und das Informationssicherheitsmanagement durchgeführt werden. Dabei wird analysiert, ob neue Bedrohungen oder technologische Entwicklungen eine Anpassung erfordern.
* '''Reaktion auf Sicherheitsvorfälle''': Nach jedem sicherheitsrelevanten Vorfall oder bei der Einführung neuer Technologien muss die Richtlinie überprüft und gegebenenfalls angepasst werden.
* '''Einbindung von Expertinnen und Experten''': Externe Sicherheitsberatende oder interne Fachkräfte müssen regelmäßig einbezogen werden, um sicherzustellen, dass die Richtlinie den aktuellen Best Practices entspricht.

Alle Anpassungen der Richtlinie müssen klar dokumentiert und an alle betroffenen Benutzenden kommuniziert werden.

=== Prozesse zur Einführung neuer Technologien ===
Die Organisation muss sicherstellen, dass neue Authentifizierungstechnologien nur nach sorgfältiger Prüfung und Implementierung etabliert werden. Dazu zählen:
* '''Technologieprüfung''': Neue Authentifizierungsmethoden müssen einer gründlichen technischen und sicherheitstechnischen Bewertung unterzogen werden, um sicherzustellen, dass sie den Anforderungen der Organisation entsprechen.
* '''Pilotprojekte''': Bevor neue Technologien flächendeckend eingeführt werden, müssen sie im Rahmen eines Pilotprojekts in einer kontrollierten Umgebung getestet werden. Das Feedback der Pilotanwender muss in die endgültige Implementierung einfließen.
* '''Schulung und Unterstützung''': Neue Authentifizierungstechnologien müssen von umfassenden Schulungen begleitet werden, um sicherzustellen, dass Benutzende die neuen Verfahren verstehen und korrekt anwenden können. Zudem muss der technische Support entsprechend vorbereitet werden.

Durch diese Prozesse wird gewährleistet, dass neue Authentifizierungsmethoden sicher und effizient in den laufenden Betrieb integriert werden können.

== Schlussbestimmungen ==

=== Übergangsregelung ===
Übergangsfristen und spezifische Umstellungsmaßnahmen, insbesondere für Systeme, die noch keine Passkey- oder MFA-Unterstützung haben, werden in separaten Dokumenten festgelegt und den Benutzenden rechtzeitig zur Verfügung gestellt.

Bis zur vollständigen Umstellung gilt für alle Systeme, die Passwörter verwenden, weiterhin die Passwortrichtlinie der Organisation.

===Behandlung von Ausnahmen===
Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des [[RiLi-Ausnahmemanagement|Ausnahmemanagements]] möglich.
===Revision===
Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.
== Inkrafttreten ==

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung
[[Kategorie:Richtlinie]]
[[Kategorie:Mustervorlage]]