Am 03. Februar 2020 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein neues IT-Grundschutz-Kompendium veröffentlicht.
Die Edition 2020 des IT-Grundschutz-Kompendiums enthält insgesamt 96 IT-Grundschutz-Bausteine. Darunter sind zwei neue IT-Grundschutz-Bausteine sowie die 94 Bausteine aus der Edition 2019.
Alle Bausteine der Edition 2019 wurden für die Edition 2020 sprachlich und teilweise inhaltlich überarbeitet. Außerdem wurden zahlreiche strukturelle Anpassungen an den IT-Grundschutz-Bausteinen vorgenommen, die es den Anwendern ermöglichen, die Bausteine noch gezielter einzusetzen, sowohl bei der Anwendung einzelner Bausteine als auch in Kombination.
Mit der vorliegenden Ausgabe des IT-Grundschutz-Kompendiums steht Verantwortlichen in Unternehmen wieder ein fundiertes Werkzeug zur Verfügung, um die relevanten Fragen zur Informationssicherheit anzugehen. Grundlegende Bereiche wie Netzsicherheit werden um Schutzmaßnahmen gegen Cyber-Angriffe ergänzt. Die Angebote des IT-Grundschutzes eignen sich auch für kleine und mittelständische Unternehmen sowie Unternehmen aus den unterschiedlichsten Branchen.
In unseren Datenschutzschulungen hören wir immer wieder „wie soll ich mir bei dieser ewigen Passwortänderei, die Passwörter merken……“ Eine diesem Umstand entgegenkommende Anpassung ist unter Pkt. SYS 2.1 Allgemeiner Client, konkret Seite SYS.2.1.M1 Benutzerauthentifizierung (Auszug) zu finden:
Passwörter
Werden in einem Client Passwörter zur Authentisierung verwendet, so ist die Sicherheit der Zugangs- und Zugriffsrechteverwaltung des IT-Systems entscheidend davon abhängig, dass die Passwörter korrekt gebraucht werden. Dafür sollte eine Richtlinie zum Passwortgebrauch erstellt und veröffentlicht werden. Außerdem sollten die IT-Benutzer regelmäßig, z.B. bei Team-Meetings, darauf hingewiesen werden.
Wenn Passwörter zur Authentikation eingesetzt werden, sollte das IT-System Mechanismen bieten, die folgende Bedingungen erfüllen:
- Es wird gewährleistet, dass jeder Benutzer individuelle Passwörter benutzt (und diese auch selbst auswählen kann).
- Es wird überprüft, dass alle Passwörter den definierten Vorgaben genügen (z. B. Mindestlänge, keine Trivialpasswörter). Die Prüfung der Passwortgüte sollte individuell regelbar sein. Beispielsweise sollten vorgegeben werden können, dass die Passwörter mindestens ein Sonderzeichen enthalten müssen oder bestimmte Zeichenkombinationen verboten werden.
- Das IT-System generiert Passwörter, die den definierten Vorgaben genügen. Das IT-System muss die so erzeugten Passwörter dem Benutzer anbieten.
- Der Passwortwechsel sollte von den IT-Systemen regelmäßig initiiert werden. Die Lebensdauer eines Passwortes sollte einstellbar sein.
- Die Wiederholung alter Passwörter beim Passwortwechsel sollte vom IT-System verhindert werden (Passwort-Historie).
- Bei der Eingabe sollte das Passwort nicht auf dem Bildschirm angezeigt werden.
- Nach der Installation bzw. der Neueinrichtung von Benutzern sollte das Passwort-System einen Passwort-Wechsel nach der Erst-Anmeldung erzwingen.
Vertiefende Informationen zur Authentisierung sind in ORP.4 Identitäts- und Berechtigungsmanagement zu finden.
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.