TISAX® Kapitel 4.1.2
Inwieweit wird der Zugang von Benutzern zu IT-Diensten und IT-Systemen gesichert?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Vorlagenpaket.
Ziel
Nur sicher identifizierte (authentifizierte) Bentuzer sollen Zugang zu IT-Systemen erhalten. Dafür wird die Identität eines Benutzers durch geeignete Verfahren sicher festgestellt.
Anforderungen
- Muss
- Die Auswahl der Verfahren zur Benutzerauthentifizierung wurde auf Basis einer Risikobewertung getroffen. Mögliche Angriffsszenarien wurden berücksichtigt (z.B. direkte Zugänglichkeit über das Internet).
- Muss
- Für die Benutzerauthentifiierung werden Verfahren auf dem aktuellen Stand der Technik angewendet.
- Sollte
- Die Verfahren zur Benutzerauthentifizierung werden auf der Grundlage der geschäftsbezogenen und sicherheitsrelevanten Anforderungen festgelegt und umgesetzt:
- Sollte
- Benutzer werden mindestens mittels starker Passwörter entsprechend dem aktuellen Stand der Technik authentifiziert.
- Sollte
- Es werden höherwertige Verfahren zur Authentifizierung von privilegierten Benutzerkonten angewendet (z.B. Privilegiertes Zugangsmanagement, 2-Faktor-Authentifizierung).
- Schutzbedarf hoch
- Abhängig von der Risikobewertung wurden das Authentifizierungsverfahren und die Zugriffskontrolle durch ergänzende Maßnahmen verstärkt (z.B. dauerhafte Zugriffsüberwachung hinsichtlich Unregelmäßigkeiten oder Einsatz einer starken Authentifizierung, automatische Abmeldung, Sperrung bei Inaktivität oder Schutz vor Brute-Force-Angriffen). (C, I, A)
- Bei Sehr Hoch
- Bevor Benutzer Zugriff auf Daten mit sehr hohem Schutzbedarf erhalten, werden sie durch starke Authentifizierung nach dem Stand der Technik (z.B. 2-Faktor-Authentifizierung) authentifiziert. (C, I)
Umsetzung
Erfüllung der Muss-Anforderungen
Beginnen Sie mit einer Risikobewertung, um das geeignete Verfahren zur Benutzerauthentifizierung zu wählen. Berücksichtigen Sie dabei mögliche Angriffsszenarien, die sich aus der direkten Zugänglichkeit über das Internet ergeben können. Implementieren Sie Authentifizierungsverfahren, die dem aktuellen Stand der Technik entsprechen, um die Sicherheit der Benutzerzugänge zu gewährleisten.
Erfüllung der Sollte-Anforderungen
Setzen Sie Authentifizierungsverfahren ein, die auf den geschäftsbezogenen und sicherheitsrelevanten Anforderungen basieren. Nutzen Sie starke Passwörter für alle Benutzer und führen Sie für privilegierte Konten höherwertige Verfahren wie 2-Faktor-Authentifizierung oder Privilegiertes Zugangsmanagement ein. Diese Maßnahmen erhöhen die Sicherheit gegen unbefugten Zugriff erheblich.
Erfüllung der Anforderungen bei hohem Schutzbedarf
Verstärken Sie das Authentifizierungsverfahren und die Zugriffskontrolle durch zusätzliche Maßnahmen wie dauerhafte Zugriffsüberwachung, automatische Abmeldung und Sperrung bei Inaktivität. Implementieren Sie Schutzmechanismen gegen Brute-Force-Angriffe und nutzen Sie starke Authentifizierungen, um die Sicherheit weiter zu erhöhen.
Erfüllung der Anforderungen bei sehr hohem Schutzbedarf
Für den Zugang zu Daten mit sehr hohem Schutzbedarf implementieren Sie starke Authentifizierungsverfahren, wie die 2-Faktor-Authentifizierung, die dem aktuellen Stand der Technik entsprechen. Dies stellt sicher, dass nur autorisierte Benutzer Zugriff auf diese kritischen Daten erhalten.
