VDA ISA 6.0.2

TISAX® Kapitel 4.1.3
Inwieweit werden Benutzerkonten und Anmeldeinformationen sicher verwaltet und angewendet?

Erschlagen von den Anforderungen? Sie wissen nicht, wie ausführlich Sie bestimmte Anforderungen erfüllen müssen?

Testen Sie jetzt kostenlos & unverbindlich unser TISAX®-Komplettpaket.

Ziel

Der Zugang zu Informationen und IT-Systemen erfolgt über validierte Benutzerkonten, welche einer Person zugeordnet sind. Es ist wichtig, dass Anmeldeinformationen geschützt werden und die Rückverfolgbarkeit von Transaktionen und Zugriffen sichergestellt wird.

Anforderungen

Muss
Die Erstellung, Änderung und Löschung von Benutzerkonten wird durchgeführt.
Muss
Es werden eindeutige und personalisierte Benutzerkonten verwendet.
Muss
Die Nutzung von „Sammel-Konten“ ist geregelt (z.B. auf Fälle beschränkt, bei denen die Rückverfolgbarkeit von Aktionen verzichtbar ist).
Muss
Benutzerkonten werden unmittelbar nachdem der Benutzer aus der Organisation ausgeschieden ist oder diese verlassen hat (z.B. bei Beendigung des Arbeitsverhältnisses) gesperrt.
Muss
Benutzerkonten werden in regelmäßigen Abständen überprüft.
Muss
Es erfolgt eine sichere Zustellung der Anmeldeinformationen an den Benutzer.
Muss
Eine Richtlinie zum Umgang mit Anmeldeinformationen ist definiert und umgesetzt. Die folgenden Aspekte werden berücksichtigt:
Muss
keine Weitergabe von Anmeldeinformationen an Dritte, auch nicht an Autoritätspersonen unter Beachtung gesetzlicher Rahmenbedingungen
Muss
kein Notieren von Anmeldeinformationen oder unverschlüsselte Speicherung
Muss
sofortige Änderung der Anmeldeinformation bei Verdacht auf mögliche Kompromittierung
Muss
keine Verwendung von identischen Anmeldeinformationen für geschäftliche und nicht-geschäftliche Nutzung
Muss
Änderung von temporären oder Initial-Anmeldeinformationen nach dem 1. Login
Muss
Vorgaben für die Qualität von Anmeldeinformationen (z.B. Passwort-Länge, zu verwendende Zeichenarten).
Muss
Die Anmeldeinformationen (z. B. Passwörter) eines personalisierten Benutzerkontos dürfen nur dem zugeordneten Benutzer bekannt sein.
Sollte
Ein Basis-Benutzerprofil mit minimalen Zugriffsrechten und Funktionalitäten ist vorhanden und wird angewendet.
Sollte
Herstellerseitig vorgegebene Standardkonten und -Passwörter werden deaktiviert (z.B. durch Sperrung oder Änderung des Passworts).
Sollte
Die Einrichtung von Benutzerkonten erfolgt durch die verantwortliche Stelle oder wird durch diese autorisiert.
Sollte
Die Einrichtung von Benutzerkonten unterliegt einem Genehmigungsprozess (4-Augen-Grundsatz).
Sollte
Benutzerkonten von Dienstleistern werden nach Abschluss von deren Aufgabe gesperrt.
Sollte
Sperr
Sollte
und Löschfristen für Benutzerkonten sind definiert.
Sollte
Die Verwendung von Standard-Passworten wird technisch verhindert.
Sollte
Beim Einsatz einer starken Authentifizierung wird das Medium (z.B. Faktor Besitz) sicher verwendet.
Sollte
Es findet eine Überprüfung der Benutzerkonten in regelmäßigen Abständen statt. Dazu gehören auch Benutzerkonten in IT-Systemen von Kunden.
Sollte
Die interaktive Anmeldung bei Dienstkonten (technischen Konten) wird technisch verhindert.

Umsetzung

Management von Benutzerkonten und Anmeldeinformationen

Um den Anforderungen von TISAX gemäß Kapitel 4.1.3 gerecht zu werden, müssen Organisationen eine strukturierte Vorgehensweise zur Verwaltung von Benutzerkonten und Anmeldeinformationen implementieren. Dies beginnt bei der sorgfältigen Erstellung, Anpassung und Löschung von Benutzerkonten. Jedes Benutzerkonto sollte eindeutig und personalisiert sein, um die Identität des Nutzers eindeutig nachvollziehbar zu machen und die Sicherheit zu maximieren.

Es ist essentiell, Benutzerkonten unmittelbar zu sperren, sobald ein Mitarbeiter die Organisation verlässt. Weiterhin ist eine regelmäßige Überprüfung aller Benutzerkonten notwendig, um sicherzustellen, dass nur berechtigte Nutzer Zugang haben. Sammelkonten, bei denen eine Zuordnung von Aktionen zu einzelnen Nutzern nicht möglich ist, sind nur in genau definierten Ausnahmefällen zulässig und müssen speziellen Kontrollen unterliegen.

Die Zustellung von Anmeldeinformationen wie Passwörtern muss sicher erfolgen, idealerweise über verschlüsselte Kanäle. Organisationen müssen klare Richtlinien zum Umgang mit Anmeldeinformationen festlegen und durchsetzen. Dazu gehört das Verbot der Weitergabe von Anmeldeinformationen an Dritte, das sofortige Ändern von Anmeldeinformationen bei Verdacht auf Kompromittierung und das Erfordernis, dass Anmeldeinformationen nach dem ersten Login geändert werden müssen. Passwörter dürfen nie unverschlüsselt gespeichert oder notiert werden und sollten zudem eine hohe Komplexität aufweisen, um die Sicherheit zu maximieren.

Zusätzliche Maßnahmen für gesteigerte Sicherheitsbedürfnisse

Für Organisationen, die eine weitergehende Kontrolle wünschen, wird empfohlen, ein Basis-Benutzerprofil mit minimalen Zugriffsrechten zu implementieren und herstellerseitige Standardkonten und -passwörter sofort zu deaktivieren oder zu ändern. Die Einrichtung und Änderung von Benutzerkonten sollte immer einem Genehmigungsprozess unterliegen, idealerweise nach dem Vier-Augen-Prinzip, und von einer dafür autorisierten Stelle durchgeführt werden.

Es ist auch ratsam, technische Maßnahmen zu ergreifen, um die Nutzung von Standardpasswörtern zu verhindern und eine starke Authentifizierung zu fördern. Zugriffe über Dienstkonten sollten durch technische Restriktionen streng reguliert und auf das notwendige Minimum beschränkt werden, insbesondere die interaktive Anmeldung sollte weitgehend unterbunden werden. Zusätzlich sollten Richtlinien für das Sperren und Löschen von Benutzerkonten externer Dienstleister nach Beendigung ihrer Aufgaben definiert werden.

Durch die Implementierung dieser Richtlinien und Technologien kann eine Organisation nicht nur den spezifischen Anforderungen von TISAX gerecht werden, sondern auch ein hohes Maß an Sicherheit und Compliance in der Verwaltung von Benutzerkonten und Anmeldeinformationen gewährleisten.

Jetzt Vorlagenpaket verwenden!

122 Unternehmen und 122 erfolgreiche Audits sprechen eine eindeutige Sprache.

Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde
Bild von DeltaSecure's Kunde