TISAX® Kapitel 4.1.3
Inwieweit werden Benutzerkonten und Anmeldeinformationen sicher verwaltet und angewendet?
Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?
Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Vorlagenpaket.
Ziel
Der Zugang zu Informationen und IT-Systemen erfolgt über validierte Benutzerkonten, welche einer Person zugeordnet sind. Es ist wichtig, dass Anmeldeinformationen geschützt werden und die Rückverfolgbarkeit von Transaktionen und Zugriffen sichergestellt wird.
Anforderungen
- Muss
- Die Erstellung, Änderung und Löschung von Benutzerkonten wird durchgeführt.
- Muss
- Es werden eindeutige und personalisierte Benutzerkonten verwendet.
- Muss
- Die Nutzung von „Sammel-Konten“ ist geregelt (z.B. auf Fälle beschränkt, bei denen die Rückverfolgbarkeit von Aktionen verzichtbar ist).
- Muss
- Benutzerkonten werden unmittelbar nachdem der Benutzer aus der Organisation ausgeschieden ist oder diese verlassen hat (z.B. bei Beendigung des Arbeitsverhältnisses) gesperrt.
- Muss
- Benutzerkonten werden in regelmäßigen Abständen überprüft.
- Muss
- Es erfolgt eine sichere Zustellung der Anmeldeinformationen an den Benutzer.
- Muss
- Eine Richtlinie zum Umgang mit Anmeldeinformationen ist definiert und umgesetzt. Die folgenden Aspekte werden berücksichtigt:
- Muss
- keine Weitergabe von Anmeldeinformationen an Dritte, auch nicht an Autoritätspersonen unter Beachtung gesetzlicher Rahmenbedingungen
- Muss
- kein Notieren von Anmeldeinformationen oder unverschlüsselte Speicherung
- Muss
- sofortige Änderung der Anmeldeinformation bei Verdacht auf mögliche Kompromittierung
- Muss
- keine Verwendung von identischen Anmeldeinformationen für geschäftliche und nicht-geschäftliche Nutzung
- Muss
- Änderung von temporären oder Initial-Anmeldeinformationen nach dem 1. Login
- Muss
- Vorgaben für die Qualität von Anmeldeinformationen (z.B. Passwort-Länge, zu verwendende Zeichenarten).
- Muss
- Die Anmeldeinformationen (z. B. Passwörter) eines personalisierten Benutzerkontos dürfen nur dem zugeordneten Benutzer bekannt sein.
- Sollte
- Ein Basis-Benutzerprofil mit minimalen Zugriffsrechten und Funktionalitäten ist vorhanden und wird angewendet.
- Sollte
- Herstellerseitig vorgegebene Standardkonten und -Passwörter werden deaktiviert (z.B. durch Sperrung oder Änderung des Passworts).
- Sollte
- Die Einrichtung von Benutzerkonten erfolgt durch die verantwortliche Stelle oder wird durch diese autorisiert.
- Sollte
- Die Einrichtung von Benutzerkonten unterliegt einem Genehmigungsprozess (4-Augen-Grundsatz).
- Sollte
- Benutzerkonten von Dienstleistern werden nach Abschluss von deren Aufgabe gesperrt.
- Sollte
- Sperr
- Sollte
- und Löschfristen für Benutzerkonten sind definiert.
- Sollte
- Die Verwendung von Standard-Passworten wird technisch verhindert.
- Sollte
- Beim Einsatz einer starken Authentifizierung wird das Medium (z.B. Faktor Besitz) sicher verwendet.
- Sollte
- Es findet eine Überprüfung der Benutzerkonten in regelmäßigen Abständen statt. Dazu gehören auch Benutzerkonten in IT-Systemen von Kunden.
- Sollte
- Die interaktive Anmeldung bei Dienstkonten (technischen Konten) wird technisch verhindert.
Umsetzung
Management von Benutzerkonten und Anmeldeinformationen
Um den Anforderungen von TISAX gemäß Kapitel 4.1.3 gerecht zu werden, müssen Organisationen eine strukturierte Vorgehensweise zur Verwaltung von Benutzerkonten und Anmeldeinformationen implementieren. Dies beginnt bei der sorgfältigen Erstellung, Anpassung und Löschung von Benutzerkonten. Jedes Benutzerkonto sollte eindeutig und personalisiert sein, um die Identität des Nutzers eindeutig nachvollziehbar zu machen und die Sicherheit zu maximieren.
Es ist essentiell, Benutzerkonten unmittelbar zu sperren, sobald ein Mitarbeiter die Organisation verlässt. Weiterhin ist eine regelmäßige Überprüfung aller Benutzerkonten notwendig, um sicherzustellen, dass nur berechtigte Nutzer Zugang haben. Sammelkonten, bei denen eine Zuordnung von Aktionen zu einzelnen Nutzern nicht möglich ist, sind nur in genau definierten Ausnahmefällen zulässig und müssen speziellen Kontrollen unterliegen.
Die Zustellung von Anmeldeinformationen wie Passwörtern muss sicher erfolgen, idealerweise über verschlüsselte Kanäle. Organisationen müssen klare Richtlinien zum Umgang mit Anmeldeinformationen festlegen und durchsetzen. Dazu gehört das Verbot der Weitergabe von Anmeldeinformationen an Dritte, das sofortige Ändern von Anmeldeinformationen bei Verdacht auf Kompromittierung und das Erfordernis, dass Anmeldeinformationen nach dem ersten Login geändert werden müssen. Passwörter dürfen nie unverschlüsselt gespeichert oder notiert werden und sollten zudem eine hohe Komplexität aufweisen, um die Sicherheit zu maximieren.
Zusätzliche Maßnahmen für gesteigerte Sicherheitsbedürfnisse
Für Organisationen, die eine weitergehende Kontrolle wünschen, wird empfohlen, ein Basis-Benutzerprofil mit minimalen Zugriffsrechten zu implementieren und herstellerseitige Standardkonten und -passwörter sofort zu deaktivieren oder zu ändern. Die Einrichtung und Änderung von Benutzerkonten sollte immer einem Genehmigungsprozess unterliegen, idealerweise nach dem Vier-Augen-Prinzip, und von einer dafür autorisierten Stelle durchgeführt werden.
Es ist auch ratsam, technische Maßnahmen zu ergreifen, um die Nutzung von Standardpasswörtern zu verhindern und eine starke Authentifizierung zu fördern. Zugriffe über Dienstkonten sollten durch technische Restriktionen streng reguliert und auf das notwendige Minimum beschränkt werden, insbesondere die interaktive Anmeldung sollte weitgehend unterbunden werden. Zusätzlich sollten Richtlinien für das Sperren und Löschen von Benutzerkonten externer Dienstleister nach Beendigung ihrer Aufgaben definiert werden.
Durch die Implementierung dieser Richtlinien und Technologien kann eine Organisation nicht nur den spezifischen Anforderungen von TISAX gerecht werden, sondern auch ein hohes Maß an Sicherheit und Compliance in der Verwaltung von Benutzerkonten und Anmeldeinformationen gewährleisten.
