7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

11.4. Systemverwaltungssysteme

11.4.1. Die betreffenden Einrichtungen beschränken und kontrollieren die Nutzung von Systemverwaltungskonten im Einklang mit dem in Nummer 11.1 genannten Konzept für die Zugriffskontrolle.


11.4.2. Für diese Zwecke müssen die betreffenden Einrichtungen

a) Systemverwaltungssysteme ausschließlich für die Zwecke der Systemverwaltung und nicht für andere Vorgänge verwenden;

b) solche Systeme logisch von Anwendungssoftware, die nicht für Systemverwaltungszwecke verwendet wird, trennen;

c) den Zugang zu Systemverwaltungssystemen durch Authentifizierung und Verschlüsselung schützen.


 

Stand: 17.10.2024

Systemverwaltungssysteme müssen klar von anderen Systemen getrennt und ausschließlich für administrative Zwecke genutzt werden. Durch Authentifizierung und Verschlüsselung wird sichergestellt, dass nur berechtigte Personen Zugriff erhalten. Diese Maßnahmen stärken die Cybersicherheit und erfüllen die Anforderungen der NIS2-Richtlinie.

Vereinfachte Erklärung der Anforderungen aus 11.4: Systemverwaltungssysteme

11.4.1 Kontrolle von Systemverwaltungskonten

Organisationen müssen die Nutzung von Systemverwaltungskonten im Einklang mit ihrem Zugriffskontrollkonzept (gemäß 11.1) einschränken und kontrollieren.


11.4.2 Anforderungen an Systemverwaltungssysteme

Die Nutzung und Sicherheit von Systemverwaltungssystemen muss folgenden Anforderungen entsprechen:

a) Exklusive Nutzung:

  • Systemverwaltungssysteme dürfen ausschließlich für Systemverwaltungsaufgaben verwendet werden, nicht für andere Vorgänge.

b) Logische Trennung:

  • Diese Systeme müssen von Anwendungssoftware, die nicht für Systemverwaltungszwecke genutzt wird, logisch getrennt sein.

c) Zugangsschutz:

  • Zugang zu Systemverwaltungssystemen muss durch:
    • Authentifizierung: Sichere Identifizierung der Nutzer (z. B. durch Passwort oder Multifaktor-Authentifizierung).
    • Verschlüsselung: Schutz der Datenübertragung vor unbefugtem Zugriff.

Fragenkatalog: Systemverwaltungssysteme

1. Kontrolle und Einschränkung der Nutzung von Systemverwaltungskonten

  • Wie wird sichergestellt, dass die Nutzung von Systemverwaltungskonten gemäß dem in Nummer 11.1 genannten Konzept für die Zugriffskontrolle beschränkt und kontrolliert wird? (Bezug zu 11.4.1)
  • Sind die Kontrollmechanismen dokumentiert und regelmäßig überprüft? (Bezug zu 11.4.1)

  • 2. Nutzung von Systemverwaltungssystemen
  1. Werden Systemverwaltungssysteme ausschließlich für Systemverwaltungszwecke genutzt? (Bezug zu 11.4.2a)
  2. Wie wird sichergestellt, dass Systemverwaltungssysteme nicht für andere Vorgänge verwendet werden? (Bezug zu 11.4.2a)

3. Trennung von Anwendungssoftware

  • Sind Systemverwaltungssysteme logisch von Anwendungssoftware getrennt, die nicht für Systemverwaltungszwecke genutzt wird? (Bezug zu 11.4.2b)
  • Wie wird diese Trennung technisch umgesetzt und dokumentiert? (Bezug zu 11.4.2b)
  • Gibt es regelmäßige Überprüfungen, um sicherzustellen, dass die Trennung eingehalten wird? (Bezug zu 11.4.2b)

4. Schutz von Systemverwaltungssystemen

  • Wird der Zugang zu Systemverwaltungssystemen durch Authentifizierung und Verschlüsselung geschützt? (Bezug zu 11.4.2c)
  • Welche Authentifizierungsmechanismen (z. B. Multifaktor-Authentifizierung) und Verschlüsselungsverfahren werden eingesetzt? (Bezug zu 11.4.2c)
  • Wie wird die Wirksamkeit der Authentifizierung und Verschlüsselung regelmäßig überprüft? (Bezug zu 11.4.2c)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!