CompliantDesk

A.5 Organisatorische Maßnahmen

A.5.17

Authentisierungsinformationen

ISO 27001NIS2TISAXBSI

Die Zuteilung und Verwaltung von Authentisierungsinformationen müssen durch einen Managementprozess gesteuert werden, einschließlich der Beratung der Beschäftigten zum sachgemäßen Umgang.

Was fordert dieses Control?

Die Zuteilung und Verwaltung von Authentisierungsinformationen müssen durch einen Managementprozess gesteuert werden, einschließlich der Beratung der Beschäftigten zum sachgemäßen Umgang.

Warum ist das wichtig?

Passwörter und andere Authentisierungsmittel sind ein Hauptziel von Angriffen. Sicherer Umgang, MFA und gute Verwaltung sind entscheidend gegen Kontoübernahmen.

Cross-Standard-Mapping

StandardControl-IDRelevanz
NIS2Art. 21 (2)Direkt
TISAX4.1.2Direkt
BSIORP.4.A8Direkt

Was der Auditor erwartet

  1. 1Sichere Vergabe und Verwaltung von Zugangsdaten
  2. 2Einsatz von MFA für kritische Zugänge
  3. 3Sensibilisierung zum Umgang mit Passwörtern

Audit-Checkliste

Dokumente

  • Passwort-/Authentisierungsrichtlinie

    Anforderungen an Komplexität, MFA und Verwahrung

Nachweise

  • MFA-Abdeckung

    Aktivierung für Admin- und Remote-Zugänge

Interviews

  • Mitarbeiter

    Umgang mit Passwörtern und Passwortmanager-Nutzung

Technisch

  • Authentisierungseinstellungen

    Erzwungene MFA und Passwortrichtlinie im IdP

Praxis-Tipps zur Umsetzung

1

MFA überall

Multi-Faktor für alle externen und privilegierten Zugänge erzwingen.

2

Passwortmanager

Statt erzwungenem häufigem Wechsel lieber lange Passphrasen plus Passwortmanager.

3

Initialpasswörter sicher

Erstpasswörter sicher übergeben und sofortigen Wechsel erzwingen.

Häufige Fehler

Keine MFA

Kritische Zugänge hängen allein am Passwort.

Passwörter im Klartext

Zugangsdaten in Tabellen oder Mails statt im Passwortmanager.

Häufig gestellte Fragen

Muss man Passwörter regelmäßig wechseln?

Moderne Empfehlungen raten von erzwungenem Routinewechsel ab, solange MFA aktiv ist und kein Verdacht besteht.

Ist MFA Pflicht?

Unter NIS2 faktisch ja. Für kritische und externe Zugänge ist MFA Stand der Technik.

Wo unterscheidet sich das von A.8.5?

A.5.17 regelt die Verwaltung der Authentisierungsinformationen, A.8.5 die sichere technische Authentisierung.

So hilft CompliantDesk bei A.5.17

CompliantDesk erzwingt MFA für Owner und Admins mit Grace-Period und weist über die M365-Integration die MFA-Abdeckung im Tenant nach.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.16

Identitätsmanagement

A.8.5

Sichere Authentisierung

A.5.15

Zugangssteuerung