ManagementberatungAm 03. Februar 2020 hat das Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) sein neues IT-Grun­d­­schutz-Kom­­pen­­di­um veröffentlicht.
Die Edition 2020 des IT-Grun­d­­schutz-Kom­­pen­­di­ums enthält ins­ge­samt 96 IT-Grun­d­­schutz-Bau­s­tei­­ne. Dar­un­ter sind zwei neue IT-Grun­d­­schutz-Bau­s­tei­­ne sowie die 94 Bau­stei­ne aus der Edition 2019.

Alle Bau­stei­ne der Edition 2019 wurden für die Edition 2020 sprach­lich und teil­wei­se in­halt­lich über­ar­bei­tet. Au­ßer­dem wurden zahl­rei­che struk­tu­rel­le An­pas­sun­gen an den IT-Grun­d­­schutz-Bau­s­tei­­nen vor­ge­nom­men, die es den An­wen­dern er­mög­li­chen, die Bau­stei­ne noch ge­ziel­ter ein­zu­set­zen, sowohl bei der An­wen­dung ein­zel­ner Bau­stei­ne als auch in Kombination.

Mit der vor­lie­gen­den Ausgabe des IT-Grun­d­­schutz-Kom­­pen­­di­ums steht Ver­ant­wort­li­chen in Un­ter­neh­men wieder ein fun­dier­tes Werk­zeug zur Ver­fü­gung, um die re­le­van­ten Fragen zur In­for­ma­ti­ons­si­cher­heit an­zu­ge­hen. Grund­le­gen­de Be­rei­che wie Netz­si­cher­heit werden um Schutz­maß­nah­men gegen Cyber-An­­grif­­fe ergänzt.      Die An­ge­bo­te des IT-Grun­d­­schu­t­­zes eignen sich auch für kleine und mit­tel­stän­di­sche Un­ter­neh­men sowie Un­ter­neh­men aus den un­ter­schied­lichs­ten Branchen.

In unseren Da­ten­schutz­schu­lun­gen hören wir immer wieder „wie soll ich mir bei dieser ewigen Pass­wor­t­än­de­rei, die Pass­wör­ter merken……“ Eine diesem Umstand ent­ge­gen­kom­men­de An­pas­sung ist unter Pkt. SYS 2.1 All­ge­mei­ner Client, konkret Seite SYS.2.1.M1 Be­nut­zer­au­then­ti­fi­zie­rung (Auszug) zu finden:

Pass­wör­ter
Werden in einem Client Pass­wör­ter zur Au­then­ti­sie­rung ver­wen­det, so ist die Si­cher­heit der Zugangs- und Zu­griffs­rech­te­ver­wal­tung des IT-Systems ent­schei­dend davon ab­hän­gig, dass die Pass­wör­ter korrekt ge­braucht werden. Dafür sollte eine Richt­li­nie zum Pass­wort­ge­brauch er­stellt und ver­öf­fent­licht werden. Au­ßer­dem sollten die IT-Be­­nu­t­­zer re­gel­mä­ßig, z.B. bei Team-Mee­­tings, darauf hin­ge­wie­sen werden.

Wenn Pass­wör­ter zur Au­then­ti­ka­ti­on ein­ge­setzt werden, sollte das IT-System Me­cha­nis­men bieten, die fol­gen­de Be­din­gun­gen erfüllen:

  • Es wird ge­währ­leis­tet, dass jeder Be­nut­zer in­di­vi­du­el­le Pass­wör­ter benutzt (und diese auch selbst aus­wäh­len kann).
  • Es wird über­prüft, dass alle Pass­wör­ter den de­fi­nier­ten Vor­ga­ben genügen (z. B. Min­dest­län­ge, keine Tri­vi­al­pass­wör­ter). Die Prüfung der Pass­wort­gü­te sollte in­di­vi­du­ell re­gel­bar sein. Bei­spiels­wei­se sollten vor­ge­ge­ben werden können, dass die Pass­wör­ter min­des­tens ein Son­der­zei­chen ent­hal­ten müssen oder be­stimm­te Zei­chen­kom­bi­na­tio­nen ver­bo­ten werden.
  • Das IT-System ge­ne­riert Pass­wör­ter, die den de­fi­nier­ten Vor­ga­ben genügen. Das IT-System muss die so er­zeug­ten Pass­wör­ter dem Be­nut­zer anbieten.
  • Der Pass­wort­wech­sel sollte von den IT-Sys­­te­­men re­gel­mä­ßig in­iti­iert werden. Die Le­bens­dau­er eines Pass­wor­tes sollte ein­stell­bar sein.
  • Die Wie­der­ho­lung alter Pass­wör­ter beim Pass­wort­wech­sel sollte vom IT-System ver­hin­dert werden (Pas­s­­wort-His­­to­rie).
  • Bei der Eingabe sollte das Pass­wort nicht auf dem Bild­schirm an­ge­zeigt werden.
  • Nach der In­stal­la­ti­on bzw. der Neu­ein­rich­tung von Be­nut­zern sollte das Pas­s­­wort-System einen Pas­s­­wort-Wechsel nach der Erst-An­­mel­­dung erzwingen.

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/umsetzungshinweise/SYS/Umsetzungshinweise_zum_Baustein_SYS_2_1_Allgemeiner_Client.html?nn=10027602#Start 

Ver­tie­fen­de In­for­ma­tio­nen zur Au­then­ti­sie­rung sind in ORP.4 Iden­­ti­­täts- und Be­rech­ti­gungs­ma­nage­ment zu finden.

 

Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de. 

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!