Inhaltsverzeichnis
11.6.2 Authentifizierungsinformationen sicher verwalten
Quelle / Referenzanforderung
| Feld | Eintrag |
|---|---|
| Referenz | Durchführungsverordnung (EU) 2024/2690, Anhang, Nummer 11.6.2 |
| Quelltitel | Authentifizierung |
| Kontrolltyp | Physical Security |
| Rechtscharakter im Katalog | Referenzanforderung; konkrete Anwendbarkeit kundenseitig zu bewerten |
Für diese Zwecke müssen die betreffenden Einrichtungen a) sicherstellen, dass die Stärke der Authentifizierung für die Klassifizierung der Anlage bzw. des Werts, auf die zugegriffen werden soll, angemessen ist; b) die Verwaltung geheimer Authentifizierungsinformationen und deren Zuweisung an die Nutzer durch ein Verfahren kontrollieren, das die Vertraulichkeit der Informationen gewährleistet, einschließlich Anweisungen an das Personal in Bezug auf den angemessenen Umgang mit Authentifizierungsinformationen; c) die Änderung von Authentifizierungsdaten zu Beginn, sodann in vorab festgelegten Zeitabständen und immer dann verlangen, wenn der Verdacht besteht, dass die Authentifizierungsdaten beeinträchtigt wurden; d) das Zurücksetzen der Authentifizierungsdaten und die Sperrung von Nutzern nach einer vorab festgelegten Anzahl erfolgloser Anmeldeversuche verlangen; e) inaktive Sitzungen nach einem im Voraus festgelegten Zeitraum der Inaktivität beenden und f) für den Zugriff auf privilegierte Konten oder Verwaltungskonten gesonderte Authentifizierungsdaten verlangen.
Allgemeine Erläuterung der Maßnahme
Diese Maßnahme konkretisiert die Unterkategorie Authentifizierung. Sie verlangt, dass die oben beschriebene Referenzanforderung für die jeweilige Einrichtung angemessen umgesetzt, dokumentiert und überprüft wird. Die konkrete Ausgestaltung ist aus Organisationsstruktur, Betriebsumfeld, Risiken und rechtlicher Anwendbarkeit abzuleiten.
Allgemeine SOLL-Ableitung
| Anforderung | Erwartetes Ergebnis |
|---|---|
| Anwendbarkeit klären | Rechtliche, vertragliche und risikobezogene Relevanz ist nachvollziehbar bewertet. |
| Umsetzung festlegen | Die Referenzanforderung ist in geeignete organisatorische oder technische Regelungen überführt. |
| Verantwortung zuordnen | Verantwortliche und mitwirkende Rollen sind festgelegt. |
| Nachweisbarkeit herstellen | Umsetzung, Entscheidungen und Ergebnisse sind nachvollziehbar dokumentiert. |
| Wirksamkeit überprüfen | Angemessenheit und Wirksamkeit werden risikobasiert oder in vorgegebenen Intervallen überprüft. |
Fachliche Vorbelegung aus dem Katalog
Die folgenden Werte sind Startvorschläge. Sie sind bei der kundenspezifischen Bearbeitung zu bestätigen oder begründet anzupassen.
| Feld | Vorbelegung |
|---|---|
| Priorität | mittel |
| Verantwortliche Rolle | Facility/Haustechnik |
| Kontrollfrequenz | jährlich |
| Allgemeiner Nachweishinweis | Zutrittskontrolle, Besucherbuch, Schlüsselverwaltung, Video/Alarme |
Kundenspezifische Bearbeitung
| Umsetzungsfortschritt |
 |
| Feld | Aktueller Eintrag |
|---|---|
| Anwendbarkeit / Relevanz | offen; kundenseitig zu bewerten |
| Erwartungshaltung | offen; aus der allgemeinen SOLL-Ableitung kundenspezifisch zu bestimmen |
| Betroffene Bereiche | aus Unternehmens- und Leistungsstruktur abzuleiten |
| Verantwortlichkeit | Facility/Haustechnik; Vorbelegung, zu bestätigen |
| Mitwirkende | kundenspezifisch zu bestimmen |
| Priorität | mittel; Vorbelegung, zu bestätigen |
| Zieltermin | offen |
| Kontrollfrequenz | jährlich; Vorbelegung, zu bestätigen |
| Aktueller Stand | noch nicht erhoben |
| Kommentar | keine kundenspezifische Bewertung vorgenommen |
| bearbeitet am | offen |
| bearbeitet von | offen |
Offene Punkte / nächste Schritte
| Erwartetes Ergebnis | Aktueller Stand | Nächster Schritt | Verantwortlich | Status |
|---|---|---|---|---|
| Anwendbarkeit ist bewertet. | nicht erhoben | Relevanz und Geltungsbereich mit der Einrichtung klären. | festzulegen |  offen |
| Erwartungshaltung ist festgelegt. | nicht erhoben | Referenzanforderung in ein kundenspezifisches Ergebnis überführen. | festzulegen | offen |
| Aktueller Stand ist erhoben. | nicht erhoben | Vorhandene Regelungen, Verfahren, Systeme und Nachweise aufnehmen. | festzulegen | offen |
| Abweichungen und Maßnahmen sind bestimmt. | nicht erhoben | Offene Punkte priorisieren und nächste Schritte festlegen. | festzulegen | offen |
| Wirksamkeit ist nachweisbar. | nicht erhoben | Prüfkriterien und geeignete Nachweise festlegen. | festzulegen | offen |
Nachweise
| Nachweisart | Erwarteter Nachweis / Standort | Status |
|---|---|---|
| Kataloghinweis | Zutrittskontrolle, Besucherbuch, Schlüsselverwaltung, Video/Alarme; konkreter Nachweis und Ablageort sind kundenspezifisch festzulegen | offen |
| Umsetzungsnachweis | geeignete Richtlinie, Verfahrensbeschreibung, Konfiguration, Protokollierung oder sonstiger Umsetzungsbeleg | offen |
| Wirksamkeitsnachweis | dokumentierte Prüfung, Kennzahl, Bericht oder nachvollziehbares Prüfergebnis | offen |
Verknüpfungen
- Kategorie: 11 Zugriffskontrolle
- Unterkategorie: Authentifizierung
- Erläuterungen: Status, Vorbelegungen und Bearbeitung
Änderungshistorie
Die redaktionellen Änderungen dieser Maßnahmenseite werden automatisch von DokuWiki geführt.
Die Wiki-Historie ersetzt nicht den fachlichen Umsetzungs- oder Wirksamkeitsnachweis.