7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

11.3. Privilegierte Konten und Systemverwaltungskonten

11.3.1. Die betreffenden Einrichtungen halten sich an Grundsätze für das Management von privilegierten Konten und Systemverwaltungskonten als Teil des in Nummer 11.1 genannten Konzepts für die Zugriffskontrolle.


11.3.2. Mit den in Nummer 11.3.1 genannten Konzepten

a) müssen starke Verfahren zur Identifizierung, Authentifizierung (z. B. Multifaktor-Authentifizierung) und Genehmigung für privilegierte Konten und Systemverwaltungskonten eingerichtet werden;

b) müssen spezielle Konten eingerichtet werden, die ausschließlich für Systemverwaltungsvorgänge, wie Installation, Konfiguration, Verwaltung oder Wartung, zu verwenden sind;

c) müssen die Systemverwaltungsrechte so weit wie möglich individuell zugeschnitten und einschränkt werden;

d) muss festgelegt werden, dass Systemverwaltungskonten ausschließlich zur Verbindung mit Systemverwaltungssystemen verwendet werden.


11.3.3. Die betreffenden Einrichtungen überprüfen die Zugangs- und Zugriffsrechte für privilegierte Konten und Systemverwaltungskonten in geplanten Zeitabständen, ändern diese bei organisatorischen Änderungen und dokumentieren die Ergebnisse der Überprüfung, einschließlich der erforderlichen Änderungen der Zugriffsrechte.


 

Stand: 17.10.2024

Ein effektives Management von privilegierten und Systemverwaltungskonten schützt kritische Systeme vor unbefugtem Zugriff und Missbrauch. Mit starken Authentifizierungsverfahren, klar definierten Nutzungsrichtlinien und regelmäßigen Überprüfungen erfüllen Organisationen die Anforderungen der NIS2-Richtlinie und gewährleisten ein hohes Sicherheitsniveau.

Vereinfachte Erklärung der Anforderungen aus 11.3: Privilegierte Konten und Systemverwaltungskonten

11.3.1 Management von privilegierten Konten

Organisationen müssen Grundsätze für die Verwaltung von privilegierten Konten und Systemverwaltungskonten als Teil ihres Zugriffskontrollkonzepts (gemäß 11.1) umsetzen.


11.3.2 Anforderungen an privilegierte Konten und Systemverwaltungskonten

Die Konzepte für privilegierte Konten und Systemverwaltungskonten müssen folgende Punkte sicherstellen:

a) Starke Authentifizierung:

  • Verwendung von robusten Verfahren zur Identifizierung, Authentifizierung und Genehmigung, z. B. Multifaktor-Authentifizierung.

b) Spezielle Konten für Systemverwaltung:

  • Konten für Systemverwaltungsvorgänge (z. B. Installation, Konfiguration, Wartung) dürfen ausschließlich für diese Zwecke genutzt werden.

c) Einschränkung der Rechte:

  • Systemverwaltungsrechte müssen individuell angepasst und auf das Nötigste beschränkt werden.

d) Exklusive Verwendung:

  • Systemverwaltungskonten dürfen ausschließlich für Verbindungen mit Systemverwaltungssystemen verwendet werden.

11.3.3 Überprüfung und Aktualisierung

  • Regelmäßige Überprüfung: Zugangs- und Zugriffsrechte für privilegierte Konten müssen in geplanten Zeitabständen überprüft werden.
  • Anpassung bei Änderungen: Rechte müssen bei organisatorischen Änderungen angepasst werden.
  • Dokumentation: Die Ergebnisse der Überprüfungen sowie alle Änderungen der Zugriffsrechte müssen dokumentiert werden.

Fragenkatalog: Privilegierte Konten und Systemverwaltungskonten

1. Einhaltung von Grundsätzen für privilegierte Konten

  • Werden die Grundsätze für das Management von privilegierten Konten und Systemverwaltungskonten gemäß dem Konzept für die Zugriffskontrolle (siehe Nummer 11.1) eingehalten? (Bezug zu 11.3.1)
  • Sind die Verfahren für das Management dieser Konten dokumentiert und den relevanten Personen bekannt? (Bezug zu 11.3.1)

2. Verfahren für Identifizierung, Authentifizierung und Genehmigung

  • Sind für privilegierte Konten und Systemverwaltungskonten starke Verfahren zur Identifizierung und Authentifizierung (z. B. Multifaktor-Authentifizierung) eingerichtet? (Bezug zu 11.3.2a)
  • Wird die Genehmigung für privilegierte Konten und Systemverwaltungskonten dokumentiert und nachvollziehbar erteilt? (Bezug zu 11.3.2a)

3. Einrichtung und Nutzung spezieller Konten

  • Sind spezielle Konten eingerichtet, die ausschließlich für Systemverwaltungsvorgänge wie Installation, Konfiguration, Verwaltung oder Wartung verwendet werden? (Bezug zu 11.3.2b)
  • Wie wird sichergestellt, dass diese Konten nicht für andere Zwecke genutzt werden? (Bezug zu 11.3.2b)

4. Einschränkung von Systemverwaltungsrechten

  • Sind Systemverwaltungsrechte individuell zugeschnitten und auf das notwendige Maß eingeschränkt? (Bezug zu 11.3.2c)
  • Wie wird überwacht, dass diese Einschränkungen eingehalten werden? (Bezug zu 11.3.2c)

5. Nutzung von Systemverwaltungskonten

  • Wird sichergestellt, dass Systemverwaltungskonten ausschließlich zur Verbindung mit Systemverwaltungssystemen verwendet werden? (Bezug zu 11.3.2d)
  • Wie wird die Einhaltung dieser Regelung überprüft? (Bezug zu 11.3.2d)

6. Überprüfung und Anpassung von Zugangsrechten

  • Werden die Zugangs- und Zugriffsrechte für privilegierte Konten und Systemverwaltungskonten in geplanten Zeitabständen überprüft? (Bezug zu 11.3.3)
  • Werden Änderungen der organisatorischen Anforderungen bei der Überprüfung der Zugangsrechte berücksichtigt? (Bezug zu 11.3.3)
  • Wie werden die Ergebnisse der Überprüfung dokumentiert? (Bezug zu 11.3.3)
  • Wird die Dokumentation der Änderungen und Überprüfungen regelmäßig kontrolliert und aktualisiert? (Bezug zu 11.3.3)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!