M 4.133 Geeignete Auswahl von Authentikationsmechanismen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Identifikations- und Authentikationsmechanismen von IT-Systemen bzw. IT-Anwendungen müssen so gestaltet sein, dass Benutzer eindeutig identifiziert und authentisiert werden. Die Identifikation und Authentisierung muss vor jeder anderen Interaktion zwischen IT-System und Benutzer erfolgen. Weitere Interaktionen dürfen nur nach der erfolgreichen Identifikation und Authentisierung möglich sein. Die Authentisierungsinformationen müssen so gespeichert sein, dass nur autorisierte Benutzer darauf Zugriff haben (sie prüfen oder ändern können). Bei jeder Interaktion muss das IT-System die Identität des Benutzers feststellen können.

Vor der Übertragung von Nutzerdaten muss der Kommunikationspartner (Rechner, Prozess oder Benutzer) eindeutig identifiziert und authentisiert sein. Erst nach der erfolgreichen Identifikation und Authentisierung darf eine Übertragung von Nutzdaten erfolgen. Beim Empfang von Daten muss deren Absender eindeutig identifiziert und authentisiert werden können. Alle Authentisierungsdaten müssen vor unbefugtem Zugriff und vor Fälschung geschützt sein.

Es gibt verschiedene Techniken, über die die Authentizität eines Benutzers nachgewiesen werden kann. Die bekanntesten sind:

Für sicherheitskritische Anwendungsbereiche sollte starke Authentisierung verwendet werden, hierbei werden zwei Authentisierungstechniken kombiniert, wie Passwort plus Transaktionsnummern (Einmalpasswörter) oder plus Chipkarte. Daher wird dies auch häufig als Zwei-Faktor-Authentisierung bezeichnet. Beide eingesetzten Authentisierungstechniken müssen sich auf dem Stand der Technik befinden.

Im Folgenden werden verschiedene Kriterien aufgezeigt, die bei der Auswahl von Identifikations- und Authentikationsmechanismen beachtet werden sollten. Nicht alle marktgängigen Systeme erfüllen alle Kriterien, diese sollten aber bei der Auswahl entsprechend berücksichtigt werden. Viele IT-Produkte beinhalten bereits neben ihrer eigentlichen Funktionalität Authentikationsmechanismen, beispielsweise Betriebssysteme. Hier ist zu überprüfen, ob diese den Ansprüchen genügen oder ob sie um zusätzliche Funktionalitäten erweitert werden müssen. Auch dazu eignen sich die folgenden Kriterien.

Administration der Authentikationsdaten

Es müssen Sicherheitsfunktionen bereitstehen, um Authentikationsdaten für Benutzer anlegen und verändern zu können. Diese Funktionen sollten nur von autorisierten Administratoren ausgeführt werden können. Bei der Verwendung von Passwörtern sollten autorisierte Benutzer ihre eigenen Authentikationsdaten innerhalb festgesetzter Grenzen verändern können. Das IT-System sollte einen geschützten Mechanismus zur Verfügung stellen, damit Benutzer ihre Passwörter selbstständig verändern können. Dabei sollte es möglich sein, eine Mindestlebensdauer für Passwörter vorzugeben.

Nach einer erfolgreichen Anmeldung sollte den Benutzern Zeit und Ort seines letzten erfolgreichen Zugriffs angezeigt werden.

Schutz der Authentikationsdaten gegen Veränderung

Das IT-System muss die Authentikationsdaten bei der Verarbeitung jederzeit gegen Ausspähung, Veränderung und Zerstörung schützen. Dies kann beispielsweise durch Verschlüsselung der Passwortdateien und durch Nicht-Anzeigen der eingegebenen Passwörter geschehen. Die Authentikationsdaten sind getrennt von Applikationsdaten zu speichern.

Systemunterstützung

Beim Einsatz von organisationsweiten Authentikationsverfahren sollten diese nur auf Servern betrieben werden, deren Betriebssystem einen adäquaten Schutz gegen Manipulationen bietet. Bei der Auswahl von Authentikationsverfahren sollte darauf geachtet werden, dass diese möglichst plattformübergreifend eingesetzt werden können.

Fehlerbehandlung bei der Authentikation

Das IT-System sollte Anmeldevorgänge nach einer vorgegeben Anzahl erfolgloser Authentikationsversuche beenden können. Nach Ende eines erfolglosen Anmeldevorgangs muss das IT-System den Benutzer-Account bzw. das Terminal sperren können bzw. die Verbindung unterbrechen. Nach erfolglosen Authentikationsversuchen sollte das IT-System jeden weiteren Anmeldeversuch zunehmend verzögern (Time-delay). Die Gesamtdauer eines Anmeldeversuchs sollte begrenzt werden können.

Administration der Benutzerdaten

Das IT-System sollte die Möglichkeit bieten, den Benutzern verschiedene Voreinstellungen zuweisen zu können. Diese sollten angezeigt und verändert werden können. Die Möglichkeit, Benutzerdaten zu verändern, muss auf den autorisierten Administrator beschränkt sein. Wenn die Administration der Benutzerdaten über eine Kommunikationsverbindung erfolgen soll, muss diese ausreichend kryptographisch gesichert sein.

Definition der Benutzereinträge

Das IT-System muss die Umsetzung der Sicherheitsrichtlinie ermöglichen, indem für jeden Benutzer die entsprechenden Sicherheitseinstellungen gewählt werden können.

Ein Authentikationsverfahren sollte auch erweiterbar sein, z. B. um die Unterstützung starker Authentikationstechniken wie dem Einsatz von Token oder Chipkarten (siehe auch M 5.34 Einsatz von Einmalpasswörtern ).

Umfang der Benutzerdaten

Neben Benutzernamen und Rechteprofil sollten noch weitere Informationen über jeden Benutzer hinterlegt werden (siehe auch M 2.30 Regelung für die Einrichtung von Benutzern / Benutzergruppen ):

Passwortgüte

Wenn Passwörter zur Authentikation eingesetzt werden, sollte das IT-System Mechanismen bieten, die folgende Bedingungen erfüllen (siehe M 2.11 Regelung des Passwortgebrauchs ):

Biometrie

Unter Biometrie im hier verwendeten Sinn ist die automatisierte Erkennung von Personen anhand ihrer körperlichen Merkmale zu verstehen. Um biometrische Verfahren für die Authentisierung einsetzen zu können, werden zusätzliche Peripherie-Geräte benötigt, die die Benutzer auf Grundlage besonderer Merkmale eindeutig authentisieren können. Eine oder mehrere der folgenden biometrischen Merkmale können beispielsweise für eine Authentisierung verwendet werden:

Neben einer Vielzahl von biometrischen Merkmalen und darauf basierenden biometrischen Verfahren bestehen darüber hinaus auch große Unterschiede zwischen den verfügbaren konkreten biometrischen Systemen und Produkten. Die Leistungsfähigkeit von biometrischen Verifikationssystemen ist sehr unterschiedlich. Bei einem Einsatz in sicherheitskritischen Bereichen muss darauf geachtet werden, dass das biometrische System eine akzeptable Erkennungsleistung und eine hohe Sicherheit bietet. Es darf nicht möglich sein, dass dieses mit Hilfe von Nachbildungen (z. B. einer Gesichtsmaske, Wachsnachbildung des Fingers, Kontaktlinsen mit Irismuster...) überlistet werden kann.

Authentisierung mit Token

Eine weitere Alternative bieten Authentikationstoken, also handliche Datenträger, die als sicherer Speicherplatz für die für die Authentikation benötigten Informationen wie z. B. kryptographischer Schlüssel dienen. Typische Beispiele für Authentikationstoken sind Chipkarten, USB-Sticks oder taschenrechnerähnliche Geräte zur Erzeugung von Einmal-Passwörtern.

Anforderungen an Authentikationsmechanismen für Benutzer

Das IT-System muss vor jeder anderen Benutzertransaktion die Benutzeridentität überprüfen. Das IT-System sollte darüber hinaus das Wiedereinspielen von Authentikationsdaten für Benutzer oder das Einspielen gefälschter oder kopierter Benutzerauthentikationsdaten erkennen und verhindern können. Das IT-System darf die Authentikationsdaten erst dann überprüfen, wenn sie vollständig eingegeben wurden.

Es sollte für jeden Benutzer individuell einstellbar sein, wann und von wo er auf das IT-System zugreifen darf.

Protokollierung der Authentisierungsmechanismen

Authentisierungsvorgänge sind in einem sinnvollen Umfang zu protokollieren. Die Protokolldateien sollten in regelmäßigen Abständen von den Administratoren überprüft werden. Das IT-System muss die folgenden Ereignisse protokollieren können:

Jeder Protokollierungseintrag sollte Datum, Uhrzeit, Art des Ereignisses, Bezeichnung des Subjektes sowie Erfolg bzw. Misserfolg der Aktion enthalten.

Prüffragen: