7. KONZEPTE UND VERFAHREN ZUR BEWERTUNG DER WIRKSAMKEIT VON RISIKOMANAGEMENTMAßNAHMEN IM BEREICH DER CYBERSICHERHEIT
8. GRUNDLEGENDE VERFAHREN IM BEREICH DER CYBERHYGIENE UND SCHULUNGEN IM BEREICH DER CYBERSICHERHEIT
9. KRYPTOGRAFIE

11.6. Authentifizierung

11.6.1. Die betreffenden Einrichtungen verwenden sichere Authentifizierungsverfahren und -techniken auf der Grundlage von Zugangsbeschränkungen und des Konzepts für die Zugriffskontrolle.


11.6.2. Für diese Zwecke müssen die betreffenden Einrichtungen

a) sicherstellen, dass die Stärke der Authentifizierung für die Klassifizierung der Anlage bzw. des Werts, auf die zugegriffen werden soll, angemessen ist;

b) die Verwaltung geheimer Authentifizierungsinformationen und deren Zuweisung an die Nutzer durch ein Verfahren kontrollieren, das die Vertraulichkeit der Informationen gewährleistet, einschließlich Anweisungen an das Personal in Bezug auf den angemessenen Umgang mit Authentifizierungsinformationen;

c) die Änderung von Authentifizierungsdaten zu Beginn, sodann in vorab festgelegten Zeitabständen und immer dann verlangen, wenn der Verdacht besteht, dass die Authentifizierungsdaten beeinträchtigt wurden;

d) das Zurücksetzen der Authentifizierungsdaten und die Sperrung von Nutzern nach einer vorab festgelegten Anzahl erfolgloser Anmeldeversuche verlangen;

e) inaktive Sitzungen nach einem im Voraus festgelegten Zeitraum der Inaktivität beenden und

f) für den Zugriff auf privilegierte Konten oder Verwaltungskonten gesonderte Authentifizierungsdaten verlangen.


11.6.3. Die betreffenden Einrichtungen verwenden – soweit durchführbar – modernste Authentifizierungsmethoden, die dem damit verbundenen bewerteten Risiko und der Klassifizierung der Anlage bzw. des Werts, auf die zugegriffen werden soll, entsprechen, sowie eindeutige Authentifizierungsinformationen.


11.6.4. Die betreffenden Einrichtungen überprüfen die Authentifizierungsverfahren und -techniken in geplanten Zeitabständen.


 

Stand: 17.10.2024

 

 

11.6. Authentifizierung

11.6.1. Die betreffenden Einrichtungen verwenden sichere Authentifizierungsverfahren und -techniken auf der Grundlage von Zugangsbeschränkungen und des Konzepts für die Zugriffskontrolle.


11.6.2. Für diese Zwecke müssen die betreffenden Einrichtungen

a) sicherstellen, dass die Stärke der Authentifizierung für die Klassifizierung der Anlage bzw. des Werts, auf die zugegriffen werden soll, angemessen ist;

b) die Verwaltung geheimer Authentifizierungsinformationen und deren Zuweisung an die Nutzer durch ein Verfahren kontrollieren, das die Vertraulichkeit der Informationen gewährleistet, einschließlich Anweisungen an das Personal in Bezug auf den angemessenen Umgang mit Authentifizierungsinformationen;

c) die Änderung von Authentifizierungsdaten zu Beginn, sodann in vorab festgelegten Zeitabständen und immer dann verlangen, wenn der Verdacht besteht, dass die Authentifizierungsdaten beeinträchtigt wurden;

d) das Zurücksetzen der Authentifizierungsdaten und die Sperrung von Nutzern nach einer vorab festgelegten Anzahl erfolgloser Anmeldeversuche verlangen;

e) inaktive Sitzungen nach einem im Voraus festgelegten Zeitraum der Inaktivität beenden und

f) für den Zugriff auf privilegierte Konten oder Verwaltungskonten gesonderte Authentifizierungsdaten verlangen.


11.6.3. Die betreffenden Einrichtungen verwenden – soweit durchführbar – modernste Authentifizierungsmethoden, die dem damit verbundenen bewerteten Risiko und der Klassifizierung der Anlage bzw. des Werts, auf die zugegriffen werden soll, entsprechen, sowie eindeutige Authentifizierungsinformationen.


11.6.4. Die betreffenden Einrichtungen überprüfen die Authentifizierungsverfahren und -techniken in geplanten Zeitabständen.

Fragenkatalog: Authentifizierung

1. Sichere Authentifizierungsverfahren

  • Werden sichere Authentifizierungsverfahren und -techniken auf Grundlage von Zugangsbeschränkungen und des Konzepts für die Zugriffskontrolle angewendet? (Bezug zu 11.6.1)
  • Wie wird sichergestellt, dass die Authentifizierung den definierten Zugriffskontrollrichtlinien entspricht? (Bezug zu 11.6.1)

2. Angemessenheit der Authentifizierungsstärke

  • Wie wird sichergestellt, dass die Stärke der Authentifizierung der Klassifizierung der Anlagen oder Werte entspricht? (Bezug zu 11.6.2a)
  • Wer bewertet und genehmigt die Angemessenheit der Authentifizierungsstärke? (Bezug zu 11.6.2a)

3. Verwaltung geheimer Authentifizierungsinformationen

  • Gibt es Verfahren zur Verwaltung und Zuweisung geheimer Authentifizierungsinformationen? (Bezug zu 11.6.2b)
  • Wie wird die Vertraulichkeit der Authentifizierungsinformationen gewährleistet? (Bezug zu 11.6.2b)
  • Werden Mitarbeitende im Umgang mit Authentifizierungsinformationen geschult? (Bezug zu 11.6.2b)

4. Änderung und Zurücksetzen von Authentifizierungsdaten

  • Gibt es Vorgaben für die regelmäßige Änderung von Authentifizierungsdaten? (Bezug zu 11.6.2c)
  • Wie wird der Verdacht auf kompromittierte Authentifizierungsdaten gehandhabt? (Bezug zu 11.6.2c)
  • Gibt es Prozesse für das Zurücksetzen von Authentifizierungsdaten nach einer festgelegten Anzahl fehlgeschlagener Anmeldeversuche? (Bezug zu 11.6.2d)
  • Werden Benutzer nach einer vorab festgelegten Anzahl erfolgloser Anmeldeversuche gesperrt? (Bezug zu 11.6.2d)

5. Verwaltung inaktiver Sitzungen

  • Werden inaktive Sitzungen nach einem festgelegten Zeitraum automatisch beendet? (Bezug zu 11.6.2e)
  • Wie wird die Dauer der Inaktivitätszeit definiert und dokumentiert? (Bezug zu 11.6.2e)

6. Besondere Anforderungen für privilegierte Konten

  • Werden für privilegierte und Verwaltungskonten separate Authentifizierungsdaten verlangt? (Bezug zu 11.6.2f)
  • Wie wird der Zugriff auf privilegierte Konten kontrolliert und dokumentiert? (Bezug zu 11.6.2f)

7. Verwendung modernster Authentifizierungsmethoden

  • Welche Authentifizierungsmethoden werden angewandt, und wie wird ihre Aktualität sichergestellt? (Bezug zu 11.6.3)
  • Wie wird geprüft, ob die eingesetzten Methoden dem bewerteten Risiko und der Klassifizierung der Anlage bzw. des Werts entsprechen? (Bezug zu 11.6.3)

8. Überprüfung und Aktualisierung

  • Wie oft werden die Authentifizierungsverfahren und -techniken überprüft? (Bezug zu 11.6.4)
  • Wer ist für die regelmäßige Überprüfung und Aktualisierung der Authentifizierungsmechanismen verantwortlich? (Bezug zu 11.6.4)
  • Werden die Ergebnisse der Überprüfung dokumentiert, und wie wird darauf basierend gehandelt? (Bezug zu 11.6.4)

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!