Sie sind hier: Home » Markt » Hintergrund

Passwort-Management & Compliance


Compliance-Vorgaben erfordern striktes Passwort-Management
Gibt es bei einem Unternehmen Admins mit uneingeschränkten privilegierten Rechten und keine Implementierung von rollenbasierten Zugriffs- und Kontrollsystemen, verstößt das gegen aktuell gültige gesetzliche und aufsichtsrechtliche Bestimmungen

(07.06.13) - Privilegierte Benutzerkonten, wie sie Administratoren besitzen, werden zunehmend als Einfallstor für Datensabotage oder -diebstahl genutzt. Unternehmen stehen hier in der Pflicht, ihre Sicherungsmaßnahmen deutlich auszuweiten und eine Lösung im Bereich Privileged Identity Management zu implementieren – allein schon im Hinblick auf gesetzliche und aufsichtsrechtliche Vorgaben, sagt Cyber-Ark. In zahlreichen international gültigen Bestimmungen und Compliance-Vorschriften finden sich Richtlinien und Vorgaben für das Passwort-Management. Beispiele hierfür sind ISO 27001 und ISO 27002, der Sarbanes-Oxley Act (SOX-Compliance), SAS70/SSAE16 oder Basel II. Aber auch in nationalen Gesetzestexten wie dem KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich), dem BDSG (Bundesdatenschutzgesetz) und dem KWG (Kreditwesengesetz) oder den GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) finden sich entsprechende Regelungen für IT-Verantwortliche.

Konkrete Vorgaben zum Thema Passwort-Management sind zudem in Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik), in den Bestimmungen der Kreditkartenindustrie PCI-DSS (Payment Card Industry Data Security Standard) und in den MaRisk (Mindestanforderungen an das Risikomanagement) für Kreditinstitute enthalten.

In den IT-Grundschutz-Katalogen des BSI heißt es zum Thema "Passwortschutz für IT-Systeme" etwa: "Der Passwortschutz eines IT-Systems soll gewährleisten, dass nur solche Benutzer einen Zugriff auf die Daten und IT-Anwendungen erhalten, die eine entsprechende Berechtigung nachweisen." Im Eckpunktepapier "Sicherheitsempfehlungen für Cloud Computing Anbieter" hat das BSI diesen Aspekt im Hinblick auf das ID- und Rechtemanagement weiter präzisiert: "Das Rechtemanagement muss gewährleisten, dass jede Rolle nur die Daten (auch Metadaten) sehen darf, die zur Erfüllung der Aufgabe notwendig sind."

Auch das Datenschutz-Regelwerk der Kreditkartenindustrie, der Payment Card Industry Data Security Standard, fordert von allen Unternehmen, die Kreditkarten-Transaktionen tätigen, ein striktes Passwort-Management. Es wird unter anderem verlangt, dass keine Konten und Kennwörter für Gruppen beziehungsweise mehrere Personen genutzt werden, um sicherzustellen, dass jeder Benutzer identifizierbar ist. Deshalb seien Prozesse oder Systeme zu implementieren, die es ermöglichen, den Zugriff auf Systemkomponenten – insbesondere von Benutzern mit Administratorrechten – einem individuellen User zuzuordnen.

In den für Finanzdienstleister gültigen Richtlinien MaRisk (Mindestanforderungen an das Risikomanagement), die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlicht werden, sind die Zugriffsrechte auf IT-Systeme ebenfalls geregelt. Hierzu wird ausgeführt: "Die eingerichteten Berechtigungen dürfen nicht im Widerspruch zur organisatorischen Zuordnung von Mitarbeitern stehen. Insbesondere bei Berechtigungsvergaben im Rahmen von Rollenmodellen ist darauf zu achten, dass Funktionstrennungen beibehalten beziehungsweise Interessenkonflikte vermieden werden."

"Eines zeigen die skizzierten Compliance-Vorgaben ganz klar: Gibt es bei einem Unternehmen Admins mit uneingeschränkten privilegierten Rechten und keine Implementierung von rollenbasierten Zugriffs- und Kontrollsystemen, verstößt das gegen aktuell gültige gesetzliche und aufsichtsrechtliche Bestimmungen", sagt Jochen Koehler, Regional Director DACH & Middle East bei Cyber-Ark in Heilbronn. "Hinsichtlich einer Erfüllung von Compliance-Anforderungen, einer Erhöhung der Sicherheit und auch einer Reduzierung des Administrationsaufwandes sollte somit jedes Unternehmen über ein zuverlässiges Privileged Identity Management verfügen, mit dem administrative Accounts automatisch verwaltet, regelmäßig geändert und überwacht werden können." (Cyber-Ark: ra)

Cyber-Ark: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Europäische Kommission

  • Was sind die Kernelemente der überarbeiteten EPBD?

    Mit der überarbeiteten Richtlinie über die Gesamtenergieeffizienz von Gebäuden (EPBD) wird Europa auf den richtigen Weg gebracht, bis 2050 einen vollständig dekarbonisierten Gebäudebestand zu erreichen, indem Renovierungen in jedem Mitgliedstaat vorangetrieben werden, insbesondere bei Gebäuden mit der schlechtesten Gesamtenergieeffizienz. Der (2018 vereinbarte) bestehende Rechtsrahmen wird aktualisiert, um ehrgeizigeren Klimaschutzzielen in Verbindung mit sozialen Maßnahmen Rechnung zu tragen, und gibt den Mitgliedstaaten die nötige Flexibilität, um den Unterschieden im Gebäudebestand in Europa Rechnung zu tragen.

  • Ein verstärkter industrieller Ansatz

    Die EU-Kommission hat eine Mitteilung angenommen, in der sie zu einer Reihe von Energiewende-Dialogen über die Umwandlung Europas in eine saubere, ressourceneffiziente, gerechte und wettbewerbsfähige Wirtschaft Bilanz zieht. Kommissionspräsidentin Ursula von der Leyen hatte in ihrer Rede zur Lage der Union 2023 die Aufnahme von Energiewende-Dialogen angekündigt. In diesem Rahmen soll zusammen mit der europäischen Industrie und den Sozialpartnern erörtert werden, wie die Umsetzung des europäischen Grünen Deals gestärkt und gefördert werden kann, was wiederum zu einem verstärkten industriellen Ansatz beiträgt.

  • Grünen Wandel beschleunigen

    Die Europäische Kommission hat eine mit 2,2 Mrd. EUR ausgestattete deutsche Beihilferegelung genehmigt, mit der Investitionen in die Dekarbonisierung industrieller Produktionsprozesse gefördert werden sollen, um den Übergang zu einer klimaneutralen Wirtschaft im Einklang mit dem Industrieplan zum Grünen Deal zu unterstützen. Die Regelung wurde auf der Grundlage des von der Kommission am 9. März 2023 angenommenen und am 20. November 2023 geänderten Befristeten Rahmens zur Krisenbewältigung und zur Gestaltung des Wandels genehmigt, um Maßnahmen in Bereichen zu fördern, die für die Beschleunigung des grünen Wandels und die Verringerung der Abhängigkeit von fossilen Brennstoffen von entscheidender Bedeutung sind.

  • Kraftstoffe nicht biogenen Ursprungs

    Die Europäische Kommission hat eine mit 350 Mio. EUR ausgestattete deutsche Regelung zur Förderung der Erzeugung von erneuerbarem Wasserstoff über das Instrument "Auctions-as-a-Service" (" Auktionen als Dienstleistung") der Europäischen Wasserstoffbank nach den EU-Beihilfevorschriften genehmigt.

  • Erfüllung von Umweltschutzauflagen

    Um ihrer Verpflichtung nachzukommen, den Verwaltungsaufwand für Landwirtinnen und Landwirte in der EU zu verringern, hat die Europäische Kommission vorgeschlagen, einige Bestimmungen der Gemeinsamen Agrarpolitik (GAP) zu überarbeiten, um Vereinfachungen zu bewirken und gleichzeitig eine starke, nachhaltige und wettbewerbsfähige Politik für Landwirtschaft und Lebensmittel in der EU aufrechtzuerhalten.

Geschlossene Fonds & Finanzprodukte auf Kredit Compliance bei BYOD

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen