G 4.33 Schlechte oder fehlende Authentikation
Authentikationsmechanismen können zur Authentikation von Benutzern oder Komponenten oder zur Bestimmung des Datenursprungs eingesetzt werden. Wenn Authentikationsmechanismen fehlen oder zu schlecht sind, besteht die Gefahr, dass
- Unbefugte auf IT-Systeme oder Daten Zugriff nehmen können,
- die Verursacher von Problemen nicht identifiziert werden können oder
- die Herkunft von Daten nicht bestimmt werden kann.
Sicherheitslücken entstehen
- bei der Benutzerauthentikation, wenn z. B. Benutzer Passwörter wählen, die einfach zu erraten sind, oder wenn sie die Passwörter nie wechseln,
- bei der Komponentenauthentikation, wenn z. B. nach Inbetriebnahme eines IT-Systems Default-Passwörter nicht durch individuell gewählte ersetzt werden, wenn die Passwörter, die bei vielen IT-Systemen fest eingegeben werden, nie wieder geändert werden oder wenn die Passwörter nicht sicher hinterlegt werden und sich nach einem Systemabsturz herausstellt, dass das jetzt dringend benötigte Passwort vergessen wurde,
- bei der Wahl der Verfahren, wenn diese z. B. völlig untauglich sind oder Sicherheitslücken bekannt werden, auf die im laufenden Betrieb aber nicht reagiert wird.