CompliantDesk

A.8 Technologische Maßnahmen

A.8.5

Sichere Authentisierung

ISO 27001NIS2TISAXBSI

Sichere Authentisierungstechnologien und -verfahren müssen auf Basis der Zugriffsbeschränkungen und der Zugriffskontrollrichtlinie umgesetzt werden.

Was fordert dieses Control?

Sichere Authentisierungstechnologien und -verfahren müssen auf Basis der Zugriffsbeschränkungen und der Zugriffskontrollrichtlinie umgesetzt werden.

Warum ist das wichtig?

Starke Authentisierung, insbesondere MFA, ist die wirksamste Einzelmaßnahme gegen Kontoübernahmen und der wichtigste Schutz für Remote- und Cloud-Zugänge.

Cross-Standard-Mapping

StandardControl-IDRelevanz
NIS2Art. 21 (2)Direkt
TISAX4.1.2Direkt
BSIORP.4.A8Direkt

Was der Auditor erwartet

  1. 1MFA für kritische und externe Zugänge
  2. 2Sichere Authentisierungsverfahren je Risiko
  3. 3Schutz vor Brute-Force und Credential-Angriffen

Audit-Checkliste

Dokumente

  • Authentisierungsvorgaben

    Wo welche Authentisierung (MFA, SSO) gefordert ist

Nachweise

  • MFA-Abdeckung

    Aktivierung über Konten und Anwendungen hinweg

Technisch

  • IdP-Konfiguration

    MFA, Conditional Access und Sperrmechanismen

Praxis-Tipps zur Umsetzung

1

MFA priorisieren

Zuerst Admins, Remote- und Cloud-Zugänge absichern.

2

Phishing-resistent

Wo möglich phishing-resistente Verfahren wie FIDO2 nutzen.

3

Brute-Force bremsen

Sperren und Verzögerungen nach Fehlversuchen aktivieren.

Häufige Fehler

MFA nur teilweise

Wichtige Zugänge bleiben ohne zweiten Faktor.

Schwache Faktoren

SMS als alleiniger Faktor trotz bekannter Schwächen.

Häufig gestellte Fragen

Welche MFA-Verfahren sind sicher?

Authenticator-Apps und vor allem phishing-resistente Verfahren wie FIDO2/Passkeys, SMS ist die schwächste Option.

Wo unterscheidet sich das von A.5.17?

A.5.17 regelt die Verwaltung der Zugangsdaten, A.8.5 die sichere technische Authentisierung.

Ist SSO sinnvoll?

Ja, zentrales SSO mit MFA reduziert Passwortmüdigkeit und verbessert Kontrolle und Sicherheit.

So hilft CompliantDesk bei A.8.5

CompliantDesk erzwingt MFA für privilegierte Rollen und weist über die M365-Integration MFA- und Conditional-Access-Abdeckung nach.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.17

Authentisierungsinformationen

A.8.2

Privilegierte Zugangsrechte

A.5.15

Zugangssteuerung