.png)
Wussten Sie schon, dass die Multi-Faktor-Authentifizierung über 99,9 % der Angriffe auf Konten abwehren kann?? Da diese Statistik einfach nicht ignoriert werden sollte, wollen wir uns heute mit diesem Thema befassen und mehr über die Multi-Faktor-Authentifizierung (MFA) und ihren Zusammenhang mit der Zugriffskontrolle lesen.
Insgesamt kann die Bedeutung der Implementierung robuster Zugangskontrollmaßnahmen in Übereinstimmung mit ISO 27001 und NIS2 nicht hoch genug eingeschätzt werden. Sie tragen nicht nur dazu bei, sensible Informationen vor unbefugtem Zugriff zu schützen, sondern stellen auch sicher, dass nur befugte Personen auf bestimmte Ressourcen zugreifen können, wodurch das Risiko von Datenschutzverletzungen verringert wird. In diesem Blog-Beitrag werden wir uns mit genau diesen Fragen befassen und die Grundlagen der Zugriffskontrolle und MFA untersuchen.
In den folgenden Abschnitten werden wir einen Blick auf die genauen Kontrollen sowohl der NIS2-Richtlinie als auch der ISO 27001-Norm werfen, die die Anforderungen an die Zugangskontrolle und MFA abdecken.
Die Abschnitte 21.2.i und 21.2.j der Richtlinie beziehen sich speziell auf die Zugangskontrolle und die Multi-Faktor-Authentifizierung (MFA) und die Notwendigkeit, geeignete Maßnahmen zu ergreifen.
In Teil 21.2.i der NIS2-Richtlinie wird betont, dass die Stellen Maßnahmen ergreifen müssen, um den unbefugten Zugang zu Netz- und Informationssystemen zu verhindern. Dazu gehört der Einsatz sicherer und robuster Zugangskontrollmechanismen. Die Richtlinie ermutigt die Stellen, einen "Least Privilege"-Ansatz zu verfolgen, bei dem den Benutzern nur die für die Erfüllung ihrer Aufgaben erforderlichen Mindestzugriffsrechte gewährt werden.
Teil 21.2.j der NIS2-Richtlinie befasst sich mit der Verwendung der Multi-Faktor-Authentifizierung (MFA) als Mittel zur Überprüfung der Identität von Benutzern. MFA ist eine Authentifizierungsmethode, bei der Benutzer zwei oder mehr Überprüfungsfaktoren angeben müssen, um Zugang zu einer Ressource wie einer Anwendung, einem Online-Konto oder einem VPN zu erhalten.
Zusammenfassend lässt sich sagen, dass die Abschnitte 21.2.i und 21.2.j der NIS2-Richtlinie die Bedeutung einer robusten Zugangskontrolle und des Einsatzes einer Mehrfaktoren-Authentifizierung für den Schutz von Netz- und Informationssystemen hervorheben. Diese Maßnahmen werden als entscheidend angesehen , um unbefugten Zugang zu verhindern und die Sicherheit sensibler Informationen zu gewährleisten. Allerdings sind die Vorgaben der NIS2-Richtlinie im Vergleich zu den Anforderungen anderer Rahmenwerke wie der ISO 27001 eher schwach. Daher können die bewährten Verfahren der ISO 27001 verwendet werden, um die Anforderungen der NIS2-Richtlinie zu erfüllen.
Die folgenden Kontrollen aus den Kapiteln 5 (Organisatorische Kontrollen) und 8 (Technologische Kontrollen) beziehen sich auf die Zugangsverwaltung:
Im Wesentlichen geht es bei der ISO 27001-Kontrolle "5.15 Zugriffskontrolle" um die Umsetzung wirksamer Maßnahmen zur Verwaltung und Einschränkung des Zugriffs auf Informationen, wodurch das Risiko eines unbefugten Zugriffs und möglicher Datenverletzungen verringert wird. Sie ist in zwei Hauptabschnitte unterteilt: 'User Access Management' und 'User Responsibilities'. User Access Management" umfasst den Prozess der Gewährung oder des Entzugs von Zugriffsrechten für Benutzer auf der Grundlage ihrer Rollen und Verantwortlichkeiten innerhalb der Organisation. Dazu gehören die Verwaltung von privilegierten Zugriffsrechten, die Überprüfung von Benutzerzugriffsrechten und die Aufhebung oder Anpassung von Zugriffsrechten.
Bei den "Benutzerpflichten" unter "5.15 Zugriffskontrolle" geht es darum, den Benutzern ihre Verantwortung beim Zugriff auf die Informationssysteme der Organisation bewusst zu machen. Dazu gehört, dass sichergestellt wird, dass die Benutzer die Zugriffskontrollpolitik der Organisation befolgen und dass sie die Konsequenzen einer Nichteinhaltung verstehen.
Darüber hinaus wird in "5.15 Zugangskontrolle" die Bedeutung sicherer Anmeldeverfahren, einer effektiven Verwaltung von Passwörtern und der Beschränkung der Verwendung von Hilfsprogrammen, die System- und Anwendungskontrollen umgehen könnten, hervorgehoben. Diese Kontrolle ist von entscheidender Bedeutung für die Wahrung der Integrität, Vertraulichkeit und Verfügbarkeit der Informationen einer Organisation.
Die Kontrolle "5.16 Identitätsmanagement" verpflichtet Organisationen, ein gründliches Identitätsmanagementsystem zu schaffen, das eine formelle Methode zur Registrierung und De-Registrierung von Benutzern umfasst. Ziel ist es, eine sorgfältige Zuweisung von Zugriffsrechten zu ermöglichen, um den Zugang zu verschiedenen Informationen und Systemen innerhalb Ihres Unternehmens zu kontrollieren. Regelmäßige Aktualisierungen und Überprüfungen der Benutzerzugriffsrechte sind eine Notwendigkeit, um ihre kontinuierliche Relevanz zu gewährleisten, insbesondere in Situationen wie Rollenwechsel oder Ausscheiden von Mitarbeitern.
Die Verwaltung spezieller Zugriffsrechte wie die für Systemadministratoren ist ebenfalls von entscheidender Bedeutung, wobei der Schwerpunkt auf einer eingeschränkten Nutzung und einer konsequenten Überwachung liegt. All dies dient dazu, unbefugten Zugriff und potenziellen Missbrauch zu vermeiden. Darüber hinaus unterstreicht dieses Kontrollelement die wichtige Rolle der Benutzer bei der Aufrechterhaltung der Sicherheit ihrer Authentifizierungsdaten und betont die Bedeutung der Vertraulichkeit von Passwörtern und der unverzüglichen Meldung von mutmaßlichen Verstößen.
Die Kontrolle unterstreicht im Wesentlichen die Bedeutung einer aufmerksamen Verwaltung von Authentifizierungsinformationen. Sie verlangt, dass sich die Benutzer ihrer Rolle bei der Wahrung der Vertraulichkeit und Sicherheit ihrer jeweiligen Authentifizierungsdaten bewusst sind. Automatisierte Prozesse sollten die Zuweisung von Passwörtern effektiv handhaben, und diese Passwörter sollten vor der Verwendung auf ihre Richtigkeit überprüft werden, um das Risiko eines unbefugten Zugriffs zu mindern.
Die Kontrolle erfordert auch die Einbeziehung fester Sicherheitsmaßnahmen wie robuster Passwörter und Zwei-Faktor-Authentifizierung zusammen mit sicheren Anmeldeverfahren, wodurch der Sicherheitsquotient erhöht wird. Außerdem müssen die Authentifizierungsdaten bei Anzeichen einer möglichen Gefährdung rechtzeitig geändert werden, um sicherzustellen, dass ein unbefugter Zugriff vereitelt wird, selbst wenn die Authentifizierungsdaten gefährdet sind.
Die ISO 27001-Kontrolle "5.1.8 Zugriffsrechte" beschreibt wichtige Aspekte der Verwaltung von Zugriffsrechten. Er beschreibt die Notwendigkeit einer Zugriffskontrollpolitik, skizziert Prozesse für die Registrierung und Abmeldung von Benutzern und die Bereitstellung von Zugriffsrechten und legt den Schwerpunkt auf die Verwaltung privilegierter Zugriffsrechte und geheimer Authentifizierungsinformationen.
Regelmäßige Prüfungen der Benutzerzugriffsrechte und die unverzügliche Aufhebung oder Anpassung der Rechte bei Rollenwechsel oder Beendigung des Beschäftigungsverhältnisses werden ebenfalls befürwortet. Die wirksame Umsetzung von "5.1.8 Zugriffsrechte" fördert die Vertraulichkeit und Integrität von Informationen sowie die Einhaltung von Informationssicherheitsvorschriften.
Im folgenden Screenshot sehen Sie ein Beispiel dafür, wie ein Tool eingesetzt werden kann, um beispielsweise den Aspekt der regelmäßigen Überprüfung der Zugriffsrechte auf das Datensystem sicherzustellen. In dem Tool sind die Zugriffsrollen klar dokumentiert und eine Prozessbeschreibung gibt an, wie die Zugriffsrollen regelmäßig überprüft werden. In diesem Fall ermöglicht das Tool dem Benutzer auch, ein Überprüfungsdatum/einen Überprüfungszyklus festzulegen, um sicherzustellen, dass die Überprüfungen tatsächlich stattfinden.
Bei der Abgrenzung der Zugriffskontrollen ist es wichtig, sich auf den privilegierten Zugriff zu konzentrieren. Durch eine effektive Beschränkung und Verwaltung des Zugriffs stellt ein Unternehmen sicher, dass nur autorisierte Benutzer, Software und Prozesse auf privilegierte Informationen zugreifen können. Die Methode zur Zuweisung privilegierter Zugriffsrechte hängt von einem gut durchdachten Autorisierungssystem ab, das mit der entsprechenden Zugriffskontrollpolitik abgestimmt ist.
Diese Kontrolle schreibt vor, dass die Vergabe und Nutzung von Zugangsrechten eingeschränkt und kontrolliert werden sollte. Das bedeutet, dass nur einer begrenzten Anzahl von vertrauenswürdigen Personen diese Rechte gewährt werden sollten und dass ihre Nutzung überwacht und protokolliert werden sollte. Außerdem sollte die Zuweisung von privilegierten Zugriffsrechten einem formellen Genehmigungsverfahren unterliegen.
Nutzer mit privilegierten Zugriffsrechten sollten eine angemessene Schulung erhalten, d. h. sie sollten sich der Risiken bewusst sein, die mit ihren Rechten verbunden sind, und der Verantwortung, die sie tragen. Sie sollten auch darin geschult werden, wie sie ihre Rechte sicher und effektiv nutzen können. Schließlich sollten diese Rechte in regelmäßigen Abständen überprüft werden. Damit soll sichergestellt werden, dass diese Rechte weiterhin notwendig sind und angemessen genutzt werden.
Die Kontrolle "8.3 Beschränkung des Informationszugangs" umreißt die Regeln für die Gewährung und den Entzug von Zugriffsrechten und schreibt den Schutz von vernetzten Diensten und die Einführung sicherer Anmeldeverfahren vor.
Im Wesentlichen soll es sicherstellen, dass der Zugang zu Informationen nur autorisierten Benutzern vorbehalten ist und dass diese Zugangsrechte verwaltet, überprüft und regelmäßig aktualisiert werden, um die Integrität und Vertraulichkeit der Informationen zu wahren.
Der Hauptzweck dieser Kontrolle besteht darin, sicherzustellen, dass der Zugriff auf den Quellcode nur autorisiertem Personal vorbehalten ist. Damit sollen unbefugte Änderungen verhindert werden, die zu Systemschwachstellen oder böswilligen Aktivitäten führen könnten. Außerdem sollen die Rechte am geistigen Eigentum der Organisation geschützt werden.
Darüber hinaus verlangt die Kontrolle, dass die Zugriffsrechte auf den Quellcode in regelmäßigen Abständen überprüft und bei Bedarf aktualisiert werden. Damit soll sichergestellt werden, dass nur diejenigen Zugang haben, die ihn zur Erfüllung ihrer Aufgaben benötigen, und dass ehemalige Mitarbeiter oder Personen, die ihre Rolle innerhalb der Organisation gewechselt haben, keinen unnötigen Zugang behalten.
Sichere Authentifizierung bedeutet im Zusammenhang mit ISO 27001, dass die Identität eines Benutzers, eines Systems oder einer Anwendung überprüft wird, bevor der Zugriff auf Informationen oder Ressourcen gewährt wird. Dies wird in der Regel durch die Verwendung von Passwörtern, biometrischen Daten oder anderen Formen von Berechtigungsnachweisen erreicht.
Die Kontrolle verlangt, dass Organisationen ein sicheres Authentifizierungsverfahren einführen , das für die Art des Systems oder der Anwendung geeignet ist. Dies könnte eine Multi-Faktor-Authentifizierung (MFA) beinhalten, die zwei oder mehr verschiedene Arten von Anmeldeinformationen für zusätzliche Sicherheit verwendet.
Darüber hinaus sieht die Kontrolle vor, dass die Authentifizierungsdaten geschützt werden sollten, um ihre Offenlegung gegenüber Unbefugten zu verhindern . Dies könnte die Verschlüsselung der Daten, die regelmäßige Aktualisierung von Passwörtern oder die Verwendung sicherer Kanäle für die Übertragung von Authentifizierungsinformationen beinhalten.
Wie bereits erwähnt, schreibt ISO 27001 die Kontrolle des Zugangs zu Netzdiensten vor. Dies beinhaltet die Verwendung von MFA, um sicherzustellen, dass nur autorisierte Benutzer auf das Netzwerk zugreifen können. Dies ist besonders wichtig für den Fernzugriff, bei dem das Risiko eines unbefugten Zugriffs höher ist.
Die Multi-Faktor-Authentifizierung (MFA) ist ein wichtiges Sicherheitsprotokoll, das von den Benutzern verlangt, ihre Identität durch zwei oder mehr Formen der Authentifizierung zu verifizieren, bevor sie auf sensible Daten zugreifen. Zu den Methoden der MFA gehören die folgenden:
Biometrische Authentifizierung, One-Time-Passwörter (OTPs), Push-Benachrichtigungen und Hardware- oder Software-Tokens sind heute gängige MFA-Techniken.
Das Hauptziel von MFA besteht darin, einen mehrschichtigen Schutz zu schaffen, der es Unbefugten erschwert, Zugang zu erhalten, selbst wenn ein Authentifizierungsfaktor gefährdet ist.
Heutzutage gibt es für buchstäblich alles Tools, mit denen Sie Ihre Arbeit effizienter gestalten können. Das kann Ihr Arbeitsleben sehr erleichtern, wenn es um die Einhaltung von Zugriffsrechten und MFA-Anforderungen geht. Schauen wir uns zum Beispiel an, wie Sie den Überblick über die Zugriffsrechte für wichtige Datensysteme behalten können. Im folgenden Screenshot sehen Sie eine Aufgabe in einem Tool, das sich auf die "Regelmäßige Überprüfung der Zugriffsrechte von Datensystemen" konzentriert. Zu diesem Zweck sind alle wichtigen Datensysteme als Dokumentation verlinkt.
In diesem Tool können Sie dann einfach zu den dokumentierten Datensystemen springen und Sie finden eine Liste aller Datensysteme, die wie folgt aussehen könnte:
Mit einer solchen Übersicht können Sie nicht nur den Überblick über alle Datensysteme behalten, zu denen Sie das Zugriffsrecht im Auge haben wollen, Sie können auch weitere Informationen verknüpfen. Zum Beispiel gibt es mit Hilfe dieses Tools zu jedem der aufgelisteten Dokumentationsobjekte eine eigene Informationskarte mit allen wichtigen Informationen zu jedem der Datensätze. Im folgenden Screenshot sehen Sie ein Beispiel dafür, wie die Erfassung der Systemberechtigung (mittels MFA) genutzt wird.
Eine der häufigsten Herausforderungen beim Einsatz von Multi-Faktor-Authentifizierung (MFA) oder Zugangskontrollen im Zusammenhang mit der Einhaltung von ISO 27001 ist die Komplexität der Implementierung. MFA- und Zugangskontrollsysteme können kompliziert einzurichten und zu verwalten sein, insbesondere für Organisationen mit einer großen Anzahl von Benutzern oder einer komplexen IT-Infrastruktur. Dies kann zu Fehlern oder Schwachstellen führen, wenn sie nicht ordnungsgemäß verwaltet werden.
Eine weitere Herausforderung ist der Widerstand der Benutzer. MFA fügt dem Anmeldeprozess einen zusätzlichen Schritt hinzu, den einige Nutzer als unangenehm empfinden könnten. Dies kann zu Widerstand gegen die Einführung führen, insbesondere wenn die Vorteile von MFA den Benutzern nicht klar vermittelt werden.
Auch die Kosten stellen eine große Herausforderung dar. Die Implementierung von MFA und robusten Zugangskontrollsystemen kann teuer sein, insbesondere für kleine und mittlere Unternehmen. Die Kosten umfassen nicht nur die Ersteinrichtung, sondern auch die laufende Wartung und Verwaltung.
Darüber hinaus besteht die Herausforderung darin, die Einhaltung der sich weiterentwickelnden Normen zu gewährleisten. ISO 27001 und andere Cybersicherheitsstandards werden regelmäßig aktualisiert, um neue Bedrohungen und bewährte Verfahren zu berücksichtigen. Unternehmen müssen mit diesen Änderungen Schritt halten und sicherstellen, dass ihre Zugangskontroll- und MFA-Systeme konform bleiben. Bestimmte Tools können Ihnen dabei helfen, auf dem Laufenden zu bleiben und Ihnen auf effiziente Weise mitzuteilen, was sich bei einer Aktualisierung eines Rahmens geändert hat und welche zusätzlichen Arbeiten Sie möglicherweise investieren müssen.
Und schließlich besteht die Herausforderung darin, ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit zu finden. Während MFA und robuste Zugangskontrollen die Sicherheit erheblich verbessern können, können sie auch die Nutzung der Systeme erschweren. Unternehmen müssen ein Gleichgewicht finden, das hohe Sicherheit bietet, ohne die Benutzerfreundlichkeit zu beeinträchtigen.
Zusammenfassend lässt sich sagen, dass die Bedeutung robuster Zugangskontroll- und Multifaktor-Authentifizierungsmaßnahmen (MFA) gar nicht hoch genug eingeschätzt werden kann, wenn die Einhaltung der ISO 27001 (oder NIS2) angestrebt wird. Diese Sicherheitsmaßnahmen sind für den Schutz sensibler Informationen und den Schutz vor unbefugtem Zugriff auf Systeme und Daten unerlässlich. Sie bilden das Rückgrat jeder wirksamen Cybersicherheitsstrategie.
Die Normen ISO 27001 und NIS2 bieten Richtlinien für die Umsetzung dieser Maßnahmen und betonen darüber hinaus die Notwendigkeit einer klar definierten Zugriffskontrollpolitik, einer effektiven Benutzerzugriffsverwaltung, klarer Benutzerzuständigkeiten und starker Authentifizierungsmechanismen. Die Einhaltung dieser Standards verbessert nicht nur die Sicherheitslage einer Organisation, sondern zeigt auch ihr Engagement für die Aufrechterhaltung eines hohen Datenschutzniveaus.
Letztlich ist die Beherrschung von Zugangskontrolle und MFA eine kontinuierliche Aufgabe. Es erfordert ständige Anstrengungen, um den sich entwickelnden Bedrohungen voraus zu sein und die Sicherheitsmaßnahmen entsprechend anzupassen. Aber die Belohnungen - verbesserte Sicherheit, Einhaltung internationaler Standards und Seelenfrieden - machen diese Bemühungen lohnenswert. Schauen Sie sich unsere anderen Blog-Beiträge der Academy an, wenn Sie mehr über bewährte Verfahren beim Aufbau Ihres ISMS erfahren möchten.
