DV Konzept - Passwortmanagementkonzept

In den Bereichen der modernen Wirtschaft werden heutzutage die unterschiedlichsten Applikationen eingesetzt.

Allen Unternehmen Gemeinsam ist das Bedürfnis im operativen Geschäft bei der Nutzung der Software einen optimalen Schutz vor unbefugten Missbrauch und somit vor dem Erleiden -meist nicht unerheblichen- finanziellen Schaden zu erzielen.


Ein wesentlicher und wichtiger Punkt ist hierbei die Definition und Vergabe von Berechtigungen. Ein Passwortverfahren sollte auf alle IT Nutzer (intern und extern) anwendbar sein, die auf Arbeitsstationen, Anwendungen oder Daten zugreifen.

Dadurch kann das Risiko von Fehlern oder böswilligen Tätigkeiten (Betrug, Offenlegung vertraulicher Daten, Beschädigung von Informationswerten, usw.) eingedämmt und auch eine Prüfungsintegrität gewährleistet werden.

Das Benutzerpasswort ist eine angewandte Lösung zur Authentifizierung von IT Nutzern. Mit der Einhaltung von definierten Grundsätzen können meistens IT Sicherheitsprobleme verhindert werden.

Identifikation und Passwortwahl des Nutzers

Ein Passwort ist der einfachste Weg, um die Person zu authentifizieren. Hierzu wird ein Passwort gewählt, welches nur dem Eigentümer bekannt sein darf.

Grundsätzliche Passwortregeln

»

Nutzer sollten ihr Passwort nie mitteilen

»

Nutzer sollten ihr Passwort nie aufschreiben

»

Nutzer sollten ihr Passwort regelmäßig, jedes Mal ändern, wenn sie über ihre Vertraulichkeit zweifeln

»

Passworte sollten nach heutigen Standards (je nach erforderlicher Sicherheitsstufe, jedoch) mindestens 8 Zeichen aber keine persönliche Informationen wie z.B. User- ID, Login, Name, Geburtsdatum, Telefonnummer usw. enthalten

»

Passworte sollten nicht aus einem Wörterbuch stammen

»

Passworte sollten mindestens 3 der 4 folgenden Zeichenarten kombinieren: Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen

»

Ein Passwort sollte sich mindestens von den letzten 5 verwendeten Passworten unterscheiden

Passwortübergabe

Passwörter sollten den Endbenutzern über andere Medien als bei der Übergabe der Nutzer ID (USER ID) mitgeteilt werden.

Authentifizierungsversuche

Nach der Aufeinanderfolge von (maximal) 3 erfolglosen Authentifizierungsversuchen „wegen Anwendung eines falschen Passwortes“ sollte ein Benutzerkonto gesperrt werden.

Passwortänderung

Passwörter sollten regelmäßig geändert werden, mindestens jedoch alle 90 Tage. Für Nutzerkonten, bei denen das Passwort nach 90 Tagen nicht geändert wird, kann ein abzuwartender Toleranzzeitraum von X Tagen definiert werden, bevor ein Nutzerkonto deaktiviert wird.

Für Zahlungssysteme ist es empfehlenswert, wenn die Passworte bereits schon nach 30 Tagen ablaufen.

Offenlegung des Passwortes

Anfängliche Passworte oder von Administratoren re- initialisierte Passworte dürfen grundsätzlich nur einmalig und nur für wenige (z.B. maximal 7) Tage gültig sowie nur einmal benutzbar sein. Die Nutzer müssen bei ihrer ersten Sitzung für sich ein eigenes Passwort einrichten.

Ein Passwort darf nicht gemeinsam genutzt werden (Kollege, Vorgesetzter, IT Administratoren, Partner usw.). Wenn ein Passwort zufällig gemeinsam genutzt oder offen gelegt worden ist, muss es geändert werden. Ein Passwort darf nicht niedergeschrieben oder auf eine zugänglichen Klartextdatei oder Papier aufgezeichnet werden.

Passwortregistrierungsmerkmale (z.B. im Internet Explorer eingebettet) sollten aus Sicherheitsgründen nicht verwendet werden. Gleiches gilt für automatische Authentifizierungstools (Makros, selbst geschriebene Skripte, usw.).

Absicherungen von User Zugängen

Die Nutzer sollten die Sitzungen über angemessene Abschaltflächen an den Software Schnittstellen am Sitzungsende ordnungsgemäß und systematisch beenden. Arbeitsstationen sollten jedes Mal verriegelt werden, wenn der Nutzer das Büro verlässt wie auch nach einem festgelegten Zeitrahmen einer Untätigkeit.

Vergessene Passworte

Die Passwortwiederherstellungsverfahren bzw. Re- Initialisierungsverfahren müssen für eine Mitteilung an einen Nutzer fachlich wie auch technisch organisiert und dokumentiert werden.

Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH

Hettwer UnternehmensBeratung

Hettwer UnternehmensBeratung GmbH - Spezialisierte Beratung - Umsetzungsdienstleistungen im Finanzdienstleistungssektor – Experte im Projekt- und Interimsauftragsgeschäft - www.hettwer-beratung.de

H-UB ERFOLGSGESCHICHTE

Auszeichnung:

Gold-Partner-Zertifikat

Hettwer UnternehmensBeratung GmbH wurde aufgrund der erbrachten Beraterleistungen in den exklusiven Kreis der etengo Gold-Partner aufgenommen.

H-UB EXPERTENWISSEN

Hettwer UnternehmensBeratung GmbH – Expertenprofil Klaus Georg Hettwer (Geschäftsführer): Beratungskompetenz, Fachliche Kompetenz, Methodische Kompetenz, Soziale Kompetenz, Kommunikationskompetenz; Sonderthemen: SEPA, EMIR, TARGET2, MiFID, T2S

- Eine Beratung mit PROFIL -

H-UB Leistungskatalog

H-UB Leistungskatalog.pdf
Adobe Acrobat Dokument 89.4 KB

Projekt:

Hanseatische Container Logistik GmbH

Spedition, Logistik

Projekt:

WERDER BAU Bremen GmbH

Bauunternehmen

Projekt: Vino Bello

„La Dolce Vita“

 

H-UB SOCIAL MEDIA PRÄSENZ

© 2010-2024 Hettwer UnternehmensBeratung GmbH