RiLi-Authentifizierung: Unterschied zwischen den Versionen
Dirk (Diskussion | Beiträge) |
Dirk (Diskussion | Beiträge) |
||
Zeile 109: | Zeile 109: | ||
* Die PIN sollte mindestens jährlich geändert werden. | * Die PIN sollte mindestens jährlich geändert werden. | ||
* Bei Missbrauchsverdacht ist die PIN unverzüglich zu ändern oder der Zugang zu sperren. | * Bei Missbrauchsverdacht ist die PIN unverzüglich zu ändern oder der Zugang zu sperren. | ||
* Spätestens nach fünf Fehlversuchen (bei weniger als | * Spätestens nach fünf Fehlversuchen (bei weniger als 6 Ziffern, spätestens nach drei Fehlversuchen) ist der Zugriff zu sperren. | ||
* Admin- oder System-PIN's sind sicher zu hinterlegen. | * Admin- oder System-PIN's sind sicher zu hinterlegen. | ||
* PINs dürfen nicht wiederverwendet werden und müssen regelmäßig geändert werden, wenn sie als Fallback genutzt werden. | * PINs dürfen nicht wiederverwendet werden und müssen regelmäßig geändert werden, wenn sie als Fallback genutzt werden. |
Aktuelle Version vom 9. Oktober 2024, 16:44 Uhr
Diese Seite ist derzeit noch ein Entwurf. Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite. |
Die Authentifizierungsrichtlinie beschreibt Sicherheitsanforderungen für die Authentifizierung von Benutzern und Systemen. Sie umfasst Regeln für eine weitgehende moderne (passwortlose) Authentifizierung und spezifische Anforderungen für Benutzer-, Admin- und System-Accounts.
Einleitung
Ziel der Authentifizierungsrichtlinie
Diese Authentifizierungsrichtlinie hat das Ziel, die Sicherheit der Zugangskontrolle zu IT-Systemen der Organisation zu gewährleisten. Sie ersetzt die bisherige Passwortrichtlinie und fokussiert sich auf moderne, sichere Authentifizierungsmethoden, insbesondere Passkeys und Multi-Faktor-Authentifizierung (MFA). Die Richtlinie soll das Risiko von Identitätsdiebstahl und unautorisiertem Zugriff minimieren, indem sie sichere und benutzerfreundliche Authentifizierungsverfahren implementiert, die dem Stand der Technik entsprechen.
Wechsel auf passwortlose Verfahren
Traditionelle Passwort-basierte Authentifizierung ist anfällig für Sicherheitsrisiken wie Phishing, Brute-Force-Angriffe und das Wiederverwenden von Passwörtern. Moderne passwortlose Verfahren wie Passkeys bieten einen höheren Schutz, da sie auf Public-Key-Kryptographie basieren und die Sicherheit nicht von der Geheimhaltung eines Passworts abhängt. Passkeys sind weniger anfällig für klassische Angriffe und bieten eine verbesserte Benutzerfreundlichkeit, da sie den Aufwand für Passwortmanagement eliminieren. Diese Richtlinie unterstützt die schrittweise Einführung passwortloser Verfahren, um die Sicherheit der IT-Systeme der Organisation zu erhöhen.
Definition wichtiger Begriffe
- Passkey: Ein kryptografisch sicheres Authentifizierungsverfahren, das auf Public-Key-Kryptographie basiert. Passkeys werden auf Geräten der Benutzenden gespeichert und ermöglichen eine Authentifizierung ohne Passwort.
- Multi-Faktor-Authentifizierung (MFA): Ein Verfahren, bei dem mindestens zwei unterschiedliche Authentifizierungsfaktoren verwendet werden, um die Identität eines Benutzenden zu bestätigen. Dies kann eine Kombination aus Wissen (z. B. PIN), Besitz (z. B. Smartphone) und Biometrie (z. B. Fingerabdruck) sein.
- Public-Key-Kryptographie: Ein kryptografisches Verfahren, bei dem ein Schlüsselpaar aus einem privaten und einem öffentlichen Schlüssel verwendet wird. Der private Schlüssel bleibt geheim, während der öffentliche Schlüssel frei verteilt werden kann.
Geltungsbereich und Zielgruppe
Anwendungsbereich der Richtlinie innerhalb der Organisation
Diese Richtlinie gilt für alle IT-Systeme und Anwendungen, die von der Organisation betrieben oder verwaltet werden. Sie betrifft alle Benutzenden, einschließlich normaler Benutzender, Benutzender mit privilegierten Rechten (Administrierende), Systemkonten und technische Benutzerkonten. Die Richtlinie legt die Rahmenbedingungen für die Implementierung und Nutzung passwortloser Authentifizierungsmethoden fest.
Zielgruppen
normale Benutzende, Benutzende mit privilegierten Rechten, Systemaccounts, externe Dienstleistende
Passkey-basierte Authentifizierung
Grundlegendes Prinzip und Funktionsweise
Passkeys basieren auf dem FIDO2-Standard und der Public-Key-Kryptographie. Beim Anlegen eines Passkeys wird ein Schlüsselpaar generiert: ein öffentlicher und ein privater Schlüssel. Der öffentliche Schlüssel wird an den Authentifizierungsserver der Organisation übermittelt, während der private Schlüssel sicher auf dem Gerät des Benutzenden gespeichert wird, z. B. in einer sicheren Hardware-Umgebung (Secure Enclave oder TPM). Bei der Authentifizierung wird eine kryptografische Challenge an das Gerät des Benutzenden gesendet, die mit dem privaten Schlüssel signiert wird. Der Server validiert die Signatur anhand des öffentlichen Schlüssels, wodurch die Identität des Benutzenden bestätigt wird. Da der private Schlüssel das Gerät niemals verlässt, ist das Verfahren besonders sicher gegen Angriffe wie Phishing oder Brute-Force-Attacken.
Erstellung und Verwaltung von Passkeys
Passkeys werden für alle Benutzenden verpflichtend eingeführt, um die Authentifizierungssicherheit zu erhöhen. Folgende Grundsätze gelten bei der Erstellung und Verwaltung von Passkeys:
- Erstellung: Benutzende müssen Passkeys auf einem persönlichen oder von der Organisation bereitgestellten Gerät erstellen. Das Gerät muss die Mindestanforderungen an Sicherheit (z. B. sichere Speicherung des privaten Schlüssels) erfüllen. Die Erstellung eines Passkeys erfolgt nach einem standardisierten Verfahren, das von der IT-Abteilung überwacht wird.
- Registrierung und Bindung: Der öffentliche Schlüssel wird sicher auf dem Authentifizierungsserver der Organisation hinterlegt. Das Gerät des Benutzenden wird als vertrauenswürdiges Authentifizierungsgerät registriert.
- Sicherheitsanforderungen: Nur Geräte, die eine sichere Hardware-Umgebung zur Speicherung des privaten Schlüssels bieten, dürfen verwendet werden. Beispiele sind TPM (Trusted Platform Module) oder Secure Enclave bei mobilen Geräten.
- Verwaltung: Die Verwaltung der Passkeys obliegt der IT-Abteilung, die sicherstellt, dass alte oder unsichere Geräte und Passkeys rechtzeitig aus dem System entfernt werden. Der Benutzende wird darüber informiert, wenn eine Erneuerung des Passkeys erforderlich ist.
Anforderungen an Authentifizierungsgeräte
Für die Nutzung von Passkeys müssen Authentifizierungsgeräte den folgenden Anforderungen entsprechen:
- Hardware-Sicherheit: Das Gerät muss über eine vertrauenswürdige Hardwarekomponente wie TPM oder Secure Enclave verfügen, um den privaten Schlüssel sicher zu speichern.
- Biometrische Authentifizierung: Wenn möglich, sollte das Gerät eine biometrische Authentifizierung (z. B. Fingerabdruck, Gesichtserkennung) unterstützen, um die Sicherheit und Benutzerfreundlichkeit zu maximieren.
- Unterstützung von FIDO2/WebAuthn: Das Gerät und die verwendeten Anwendungen müssen den FIDO2-Standard und WebAuthn unterstützen, um eine sichere Kommunikation mit dem Authentifizierungsserver zu gewährleisten.
- Backups und Wiederherstellung: Authentifizierungsgeräte sollten eine sichere Möglichkeit bieten, Passkeys zu sichern und wiederherzustellen, falls das Gerät verloren geht oder beschädigt wird. Es müssen Prozesse definiert werden, wie Benutzende in einem solchen Fall wieder Zugang zu ihrem Konto erhalten können.
Multi-Faktor-Authentifizierung (MFA)
Pflicht zur MFA: Definition der Rollen, für die MFA verpflichtend ist
Die Multi-Faktor-Authentifizierung (MFA) wird in der gesamten Organisation eingesetzt, um den Zugang zu kritischen Systemen und sensiblen Daten besser abzusichern. MFA ist für folgende Benutzergruppen verpflichtend:
- Benutzende mit privilegierten Rechten (z. B. Administratoren) müssen stets MFA verwenden, um zusätzliche Sicherheitsebene zu gewährleisten.
- Normale Benutzende müssen MFA verwenden, wenn sie auf Systeme zugreifen, die vertrauliche Informationen enthalten oder geschäftskritische Funktionen bereitstellen.
- Für externe Dienstleistende ist MFA obligatorisch, wenn sie auf interne IT-Systeme zugreifen.
Die Organisation implementiert MFA standardmäßig als Kombination aus Passkeys und einem zweiten Authentifizierungsfaktor, um die Sicherheit zu maximieren. Bei der Auswahl der zweiten Faktoren (z. B. Biometrie, SMS-basierte Einmalcodes oder Authenticator-Apps) wird auf deren Benutzerfreundlichkeit und Sicherheit geachtet.
Kombination von Authentifizierungsverfahren
Die Organisation verwendet eine schrittweise Authentifizierung, bei der Passkeys als primärer Faktor verwendet werden. In Kombination dazu wird ein zweiter Faktor zur zusätzlichen Absicherung genutzt, wenn:
- der Zugriff auf besonders sensible Daten erfolgt,
- Benutzende von einem neuen oder nicht vertrauenswürdigen Gerät auf ein System zugreifen,
- eine ungewöhnliche oder verdächtige Aktivität erkannt wird (z. B. Anmeldeversuche aus unbekannten geografischen Regionen).
Mögliche zusätzliche Faktoren umfassen:
- Biometrische Authentifizierung (z. B. Fingerabdruck, Gesichtserkennung),
- Hardware-Token (z. B. YubiKey),
- Einmal-Passwörter (OTP) über Authenticator-Apps (z. B. Google Authenticator),
- Push-Benachrichtigungen zur Bestätigung auf einem vertrauenswürdigen Gerät.
Ersatz-Authentifizierungsmethoden
Falls die Nutzung von Passkeys temporär nicht möglich ist (z. B. Verlust des Authentifizierungsgeräts), gelten die folgenden Ersatzmethoden:
- Authentifizierung per Einmal-Passwörtern (OTP), die durch eine Authenticator-App generiert werden,
- temporärer Zugang über SMS-basierte Einmalcodes, wobei dies als weniger sicher angesehen wird und nur als letzte Option gilt,
- Nutzung eines Hardware-Tokens als Ersatz für den Passkey.
Diese Ersatzmethoden sind nur vorübergehend und dürfen nicht als langfristige Lösung dienen. Die Benutzenden sind verpflichtet, den Passkey so schnell wie möglich wiederherzustellen oder ein neues Authentifizierungsgerät zu registrieren.
Spezifische Anforderungen nach Benutzerkategorien
Normale Benutzende
Für normale Benutzende gilt die Verpflichtung, Passkeys als primäre Authentifizierungsmethode zu nutzen. Der Prozess für normale Benutzende sieht wie folgt aus:
- Benutzende erstellen bei der ersten Nutzung einen Passkey auf einem vertrauenswürdigen Gerät.
- Ein zusätzliches Sicherheitsmerkmal, wie Biometrie oder eine Authenticator-App, wird eingerichtet, um die Sicherheit zu erhöhen.
- Bei Änderungen am Authentifizierungsgerät müssen Benutzende den Passkey auf einem neuen Gerät registrieren und die IT-Abteilung darüber informieren.
- Regelmäßige Überprüfungen durch die IT-Abteilung stellen sicher, dass alle Authentifizierungsgeräte den Sicherheitsstandards entsprechen.
Normale Benutzende haben Zugriff auf zentrale Systeme, Anwendungen und Datenbanken, die durch die MFA- und Passkey-Authentifizierung geschützt sind. Sie müssen sicherstellen, dass sie keine Sicherheitslücken schaffen, indem sie ihre Authentifizierungsgeräte ungeschützt lassen oder Passkeys auf unsicheren Geräten registrieren.
Benutzende mit privilegierten Rechten
Für Benutzende mit privilegierten Rechten (z. B. Administratoren, Systembetreibende) gelten strengere Sicherheitsanforderungen:
- Die Nutzung von Passkeys und mindestens einem zweiten Authentifizierungsfaktor (z. B. Biometrie oder Hardware-Token) ist verpflichtend.
- Administratoren müssen regelmäßig ihre Geräte und Zugangsdaten überprüfen und bei Änderungen sofort die IT-Abteilung informieren.
- Der Zugriff auf kritische Systeme und die Ausführung administrativer Aufgaben sind nur über vertrauenswürdige Geräte erlaubt, die über eine sichere Hardware-Komponente (TPM oder Secure Enclave) verfügen.
- Bei jedem Zugriff auf administrative Funktionen wird die Aktivität protokolliert und einer kontinuierlichen Überwachung unterzogen, um mögliche Angriffe frühzeitig zu erkennen.
Zusätzlich werden regelmäßige Schulungen durchgeführt, um Benutzende mit privilegierten Rechten über aktuelle Bedrohungen und Best Practices im Umgang mit Authentifizierung und Systemzugriff zu informieren.
Systemaccounts und technische Benutzerkonten
Systemaccounts und technische Benutzerkonten, die in automatisierten Prozessen verwendet werden, benötigen keine Passkeys oder MFA, sondern müssen durch alternative Authentifizierungsmechanismen wie API-Schlüssel oder Zertifikats-basierte Authentifizierung gesichert werden. Diese Accounts unterliegen den folgenden Best Practices:
- Der Zugriff auf Systemaccounts muss durch das Prinzip der minimalen Rechtevergabe eingeschränkt werden.
- Authentifizierungsdaten für Systemaccounts (z. B. API-Schlüssel) müssen verschlüsselt und sicher gespeichert werden (z. B. in einem Secret Management System).
- Regelmäßige Überprüfungen und Audits der verwendeten Systemaccounts gewährleisten, dass ungenutzte Accounts deaktiviert und ungenutzte Schlüssel widerrufen werden.
PIN-Richtlinie für numerische PINs
Numerische PINs werden nur noch in Ausnahmefällen eingesetzt, z. B. als Fallback-Option oder für Systeme, die keine Unterstützung für Passkeys bieten. Folgende Anforderungen gelten für die PIN-Nutzung:
- Mindestlänge der PIN beträgt 12 Ziffern oder falls technisch weniger möglich sind, soviele wie möglich.
- PIN's mit weniger als 4 Ziffern sind grundsätzlich nicht erlaubt.
- Keine Ziffernwiederholung von mehr als zwei (z.B. 111234, 0007, 110011).
- Keine Wiederholung von Zifferngruppen (z.B. 0101, 343434, 5757).
- Keine Ziffernfolgen von mehr als drei Ziffern (z.B. 1234, 098765).
- Keine Datumsdaten oder Jahrenszahlen wie Geurtsdatum, Hochzeitstag o.ä.
- Mindestens eine Ziffer aus dem unteren Ziffernbereich (12345) und eine Ziffer aus dem oberen Ziffernbereich (67890), d.h die Ziffern dürfen nicht nur aus dem unteren oder nur aus dem oberen Bereich bestehen (z.B. 132421, 687098).
- Die PIN sollte mindestens jährlich geändert werden.
- Bei Missbrauchsverdacht ist die PIN unverzüglich zu ändern oder der Zugang zu sperren.
- Spätestens nach fünf Fehlversuchen (bei weniger als 6 Ziffern, spätestens nach drei Fehlversuchen) ist der Zugriff zu sperren.
- Admin- oder System-PIN's sind sicher zu hinterlegen.
- PINs dürfen nicht wiederverwendet werden und müssen regelmäßig geändert werden, wenn sie als Fallback genutzt werden.
- Die PIN-Nutzung sollte, wo immer möglich, durch andere sicherere Methoden (z. B. biometrische Authentifizierung) ersetzt werden.
Verwaltung und Schutz von Authentifizierungsdaten
Sicherung von privaten Schlüsseln
Private Schlüssel, die für die Passkey-basierte Authentifizierung verwendet werden, müssen sicher auf den Geräten der Benutzenden gespeichert werden. Folgende Grundsätze gelten:
- Private Schlüssel dürfen nie das Gerät verlassen, auf dem sie erzeugt wurden. Sie müssen in einer sicheren Umgebung gespeichert werden, wie z. B. einem Trusted Platform Module (TPM) oder einer Secure Enclave.
- Authentifizierungsgeräte müssen so konfiguriert sein, dass nur der berechtigte Benutzende oder die berechtigte Benutzende auf den privaten Schlüssel zugreifen kann (z. B. durch biometrische Authentifizierung).
- Regelmäßige Überprüfungen der Integrität der Geräte und der sicheren Speicherorte müssen durch die IT-Abteilung durchgeführt werden, um sicherzustellen, dass private Schlüssel nicht kompromittiert wurden.
- Backups der privaten Schlüssel sind grundsätzlich untersagt. Stattdessen muss die IT-Abteilung Verfahren für die sichere Erneuerung und Wiederherstellung von Passkeys im Falle eines Geräteverlustes implementieren.
Verlust und Wiederherstellung von Authentifizierungsinformationen
Für den Fall, dass Benutzende den Zugriff auf ihr Authentifizierungsgerät (z. B. durch Verlust oder Beschädigung) verlieren, muss ein sicheres Wiederherstellungsverfahren implementiert werden. Die folgenden Schritte gelten als Best Practice:
- Der Benutzende muss unverzüglich den Verlust an die IT-Abteilung melden.
- Die IT-Abteilung deaktiviert sofort den betroffenen Passkey und initiiert ein Identitätsverifikationsverfahren, um sicherzustellen, dass der Zugriff auf das Konto nur durch den rechtmäßigen Benutzenden wiederhergestellt wird.
- Nach erfolgreicher Identitätsprüfung wird der Benutzende angewiesen, einen neuen Passkey zu registrieren.
- Alle Wiederherstellungsvorgänge werden protokolliert und regelmäßig überprüft, um Missbrauch vorzubeugen.
Regelungen für die Beendigung von Zugriffsrechten
Wenn Benutzende die Organisation verlassen oder ihre Rolle wechseln, müssen ihre Authentifizierungsdaten (einschließlich Passkeys) zeitnah deaktiviert werden:
- Die IT-Abteilung muss bei Beendigung des Arbeitsverhältnisses sofort alle zugehörigen Passkeys und Zugangsberechtigungen deaktivieren.
- Für den Fall, dass ein Benutzender auf andere Weise nicht mehr berechtigt ist, auf bestimmte Systeme zuzugreifen (z. B. durch Funktionswechsel), müssen Zugriffsrechte und Passkeys unmittelbar angepasst oder entzogen werden.
- Alle deaktivierten Zugänge müssen dokumentiert und regelmäßig im Rahmen von Zugriffs-Audits überprüft werden.
Compliance und Monitoring
Überwachung der Authentifizierungsverfahren
Die Organisation muss sicherstellen, dass alle Authentifizierungsverfahren kontinuierlich überwacht werden, um potenzielle Sicherheitslücken frühzeitig zu erkennen. Die Überwachung umfasst folgende Maßnahmen:
- Protokollierung sämtlicher Anmeldeversuche, sowohl erfolgreicher als auch fehlgeschlagener. Ungewöhnliche oder verdächtige Aktivitäten müssen in Echtzeit erkannt und gemeldet werden.
- Implementierung eines Systems zur Erkennung von Anomalien, z. B. mehrfach fehlgeschlagene Anmeldeversuche oder Zugriffsversuche aus ungewöhnlichen geografischen Regionen.
- Regelmäßige Sicherheits-Scans und Penetrationstests der Authentifizierungsinfrastruktur, um potenzielle Schwachstellen zu identifizieren und zu beheben.
Protokollierung und Audits
Die Authentifizierungsvorgänge müssen umfassend dokumentiert werden, um Nachvollziehbarkeit und Verantwortlichkeit zu gewährleisten. Folgende Protokolle müssen erstellt und regelmäßig auditiert werden:
- Detaillierte Logs über alle Authentifizierungsversuche, einschließlich Datum, Uhrzeit, Ort und verwendetem Gerät.
- Protokollierung von Änderungen an Authentifizierungsdaten (z. B. Registrierung neuer Passkeys, Deaktivierung von Zugängen).
- Jährliche Audits der Zugriffsrechte und Authentifizierungsverfahren durch die interne Revision oder eine externe Prüfungseinheit, um sicherzustellen, dass die Richtlinie den aktuellen Anforderungen entspricht.
Verstöße gegen die Authentifizierungsrichtlinie
Verstöße gegen die Vorgaben der Authentifizierungsrichtlinie, insbesondere in Bezug auf die Nutzung unsicherer Geräte oder das Umgehen von MFA, werden konsequent geahndet. Mögliche Maßnahmen bei Verstößen umfassen:
- Temporäre Sperrung des Zugangs zu Systemen bis zur Klärung und Behebung des Verstoßes.
- Schulungsmaßnahmen für betroffene Benutzende, um Wiederholungen zu verhindern.
- Bei wiederholten oder gravierenden Verstößen können disziplinarische Maßnahmen ergriffen werden, einschließlich Kündigung des Arbeitsverhältnisses oder Beendigung des Zugangs für externe Dienstleistende.
Schulungen und Awareness
Schulungsanforderungen für Benutzende
Alle Benutzenden der Organisation müssen regelmäßig in der Nutzung von Passkeys und MFA geschult werden. Schulungen umfassen:
- Grundlegendes Verständnis der Funktionsweise von Passkeys und MFA sowie der Bedeutung von sicherer Authentifizierung.
- Praktische Anleitungen zur Registrierung und Nutzung von Passkeys auf verschiedenen Geräten.
- Schulungen zur Erkennung und Vermeidung von Phishing-Angriffen und anderen gängigen Bedrohungen.
- Spezifische Schulungen für Benutzende mit privilegierten Rechten, um erweiterte Sicherheitsmaßnahmen zu verstehen und korrekt anzuwenden.
Neue Benutzende müssen unmittelbar nach Eintritt in die Organisation eine Schulung durchlaufen. Darüber hinaus sind regelmäßige Auffrischungsschulungen für alle Benutzenden mindestens einmal jährlich verpflichtend.
Sensibilisierungsmaßnahmen
Neben formalen Schulungen muss die Organisation regelmäßige Sensibilisierungsmaßnahmen durchführen, um Benutzende über aktuelle Bedrohungen und Best Practices zu informieren. Dazu zählen:
- Regelmäßige Informationskampagnen per E-Mail oder Intranet, die über neue Bedrohungen und Sicherheitslücken aufklären.
- Interaktive Awareness-Trainings, die sicherstellen, dass Benutzende die Risiken von unsicherer Authentifizierung verstehen.
- Simulierte Phishing-Angriffe, um das Sicherheitsbewusstsein der Benutzenden zu testen und ihnen zu helfen, echte Bedrohungen besser zu erkennen.
Die Kombination aus Schulungen und Awareness-Kampagnen stellt sicher, dass die Benutzenden sich der Bedeutung sicherer Authentifizierung bewusst sind und die Richtlinie aktiv unterstützen.
Notfall- und Backup-Verfahren
Vorgehensweise bei technischen Ausfällen
Im Falle technischer Ausfälle, die die Authentifizierungssysteme oder die Authentifizierungsgeräte der Benutzenden betreffen, müssen klare Notfallverfahren implementiert werden. Die folgenden Schritte sind dabei zu beachten:
- Bei Ausfall des primären Authentifizierungssystems muss die IT-Abteilung unverzüglich Maßnahmen ergreifen, um den Zugriff auf kritische Systeme zu sichern und alternative Authentifizierungsmethoden bereitzustellen.
- Die IT-Abteilung muss sicherstellen, dass betroffene Benutzende zeitnah informiert und alternative Authentifizierungsmethoden (z. B. temporäre Nutzung von Einmal-Passwörtern) aktiviert werden.
- Eine klar definierte Eskalationsstrategie muss vorhanden sein, um sicherzustellen, dass technische Probleme schnellstmöglich behoben werden. Dies beinhaltet die Identifikation und Einbindung der zuständigen technischen Expertinnen und Experten.
- Benutzende müssen im Rahmen der Notfallkommunikation über den Verlauf des Vorfalls informiert werden, insbesondere, wenn die Authentifizierungsmethoden für kritische Geschäftsprozesse betroffen sind.
Backup-Lösungen für den Zugriff auf kritische Systeme
Um den Zugang zu kritischen Systemen auch im Notfall aufrechtzuerhalten, muss die Organisation Backup-Authentifizierungsmethoden implementieren:
- Temporäre Nutzung von Einmal-Passwörtern (OTP): Für den Fall, dass Passkeys oder MFA nicht genutzt werden können, müssen Benutzende eine zeitlich begrenzte Möglichkeit erhalten, sich mit OTPs zu authentifizieren. Diese Passwörter sollten durch eine vertrauenswürdige Authentifizierungs-App generiert werden.
- Feste Backup-Accounts: Für administrative Aufgaben müssen Backup-Accounts eingerichtet werden, die nur in Notfallsituationen genutzt werden dürfen. Der Zugriff auf diese Accounts muss durch streng überwachte Prozesse und zusätzliche Sicherheitsmechanismen (z. B. versiegelte Umschläge mit Zugangsdaten) abgesichert sein.
- Feste Kommunikationskanäle: Benutzende und IT-Verantwortliche müssen wissen, über welche Kanäle im Notfall kommuniziert wird, um Missverständnisse oder Verzögerungen zu vermeiden.
Alle Backup-Lösungen dürfen nur in absoluten Notfällen eingesetzt werden und müssen regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass sie den aktuellen Sicherheitsstandards entsprechen.
Fortlaufende Weiterentwicklung der Authentifizierungsmethoden
Regelmäßige Überprüfung und Anpassung der Richtlinie
Die Authentifizierungsrichtlinie muss regelmäßig überprüft werden, um sicherzustellen, dass sie den aktuellen Sicherheitsanforderungen und technologischen Entwicklungen entspricht. Folgende Maßnahmen müssen ergriffen werden:
- Jährliche Überprüfung: Einmal jährlich muss eine formale Überprüfung der Richtlinie durch die IT-Abteilung und das Informationssicherheitsmanagement durchgeführt werden. Dabei wird analysiert, ob neue Bedrohungen oder technologische Entwicklungen eine Anpassung erfordern.
- Reaktion auf Sicherheitsvorfälle: Nach jedem sicherheitsrelevanten Vorfall oder bei der Einführung neuer Technologien muss die Richtlinie überprüft und gegebenenfalls angepasst werden.
- Einbindung von Expertinnen und Experten: Externe Sicherheitsberatende oder interne Fachkräfte müssen regelmäßig einbezogen werden, um sicherzustellen, dass die Richtlinie den aktuellen Best Practices entspricht.
Alle Anpassungen der Richtlinie müssen klar dokumentiert und an alle betroffenen Benutzenden kommuniziert werden.
Prozesse zur Einführung neuer Technologien
Die Organisation muss sicherstellen, dass neue Authentifizierungstechnologien nur nach sorgfältiger Prüfung und Implementierung etabliert werden. Dazu zählen:
- Technologieprüfung: Neue Authentifizierungsmethoden müssen einer gründlichen technischen und sicherheitstechnischen Bewertung unterzogen werden, um sicherzustellen, dass sie den Anforderungen der Organisation entsprechen.
- Pilotprojekte: Bevor neue Technologien flächendeckend eingeführt werden, müssen sie im Rahmen eines Pilotprojekts in einer kontrollierten Umgebung getestet werden. Das Feedback der Pilotanwender muss in die endgültige Implementierung einfließen.
- Schulung und Unterstützung: Neue Authentifizierungstechnologien müssen von umfassenden Schulungen begleitet werden, um sicherzustellen, dass Benutzende die neuen Verfahren verstehen und korrekt anwenden können. Zudem muss der technische Support entsprechend vorbereitet werden.
Durch diese Prozesse wird gewährleistet, dass neue Authentifizierungsmethoden sicher und effizient in den laufenden Betrieb integriert werden können.
Schlussbestimmungen
Übergangsregelung
Übergangsfristen und spezifische Umstellungsmaßnahmen, insbesondere für Systeme, die noch keine Passkey- oder MFA-Unterstützung haben, werden in separaten Dokumenten festgelegt und den Benutzenden rechtzeitig zur Verfügung gestellt.
Bis zur vollständigen Umstellung gilt für alle Systeme, die Passwörter verwenden, weiterhin die Passwortrichtlinie der Organisation.
Behandlung von Ausnahmen
Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.
Revision
Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.
Inkrafttreten
Diese Richtlinie tritt zum 01.01.2222 in Kraft.
Freigegeben durch: Organisationsleitung
Ort, 01.12.2220,
Unterschrift, Name der Leitung