- Anzeigen -

Sie sind hier: Home » Markt » Hintergrund

Passwort-Management & Compliance


Compliance-Vorgaben erfordern striktes Passwort-Management
Gibt es bei einem Unternehmen Admins mit uneingeschränkten privilegierten Rechten und keine Implementierung von rollenbasierten Zugriffs- und Kontrollsystemen, verstößt das gegen aktuell gültige gesetzliche und aufsichtsrechtliche Bestimmungen

(07.06.13) - Privilegierte Benutzerkonten, wie sie Administratoren besitzen, werden zunehmend als Einfallstor für Datensabotage oder -diebstahl genutzt. Unternehmen stehen hier in der Pflicht, ihre Sicherungsmaßnahmen deutlich auszuweiten und eine Lösung im Bereich Privileged Identity Management zu implementieren – allein schon im Hinblick auf gesetzliche und aufsichtsrechtliche Vorgaben, sagt Cyber-Ark. In zahlreichen international gültigen Bestimmungen und Compliance-Vorschriften finden sich Richtlinien und Vorgaben für das Passwort-Management. Beispiele hierfür sind ISO 27001 und ISO 27002, der Sarbanes-Oxley Act (SOX-Compliance), SAS70/SSAE16 oder Basel II. Aber auch in nationalen Gesetzestexten wie dem KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich), dem BDSG (Bundesdatenschutzgesetz) und dem KWG (Kreditwesengesetz) oder den GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) finden sich entsprechende Regelungen für IT-Verantwortliche.

Konkrete Vorgaben zum Thema Passwort-Management sind zudem in Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik), in den Bestimmungen der Kreditkartenindustrie PCI-DSS (Payment Card Industry Data Security Standard) und in den MaRisk (Mindestanforderungen an das Risikomanagement) für Kreditinstitute enthalten.

In den IT-Grundschutz-Katalogen des BSI heißt es zum Thema "Passwortschutz für IT-Systeme" etwa: "Der Passwortschutz eines IT-Systems soll gewährleisten, dass nur solche Benutzer einen Zugriff auf die Daten und IT-Anwendungen erhalten, die eine entsprechende Berechtigung nachweisen." Im Eckpunktepapier "Sicherheitsempfehlungen für Cloud Computing Anbieter" hat das BSI diesen Aspekt im Hinblick auf das ID- und Rechtemanagement weiter präzisiert: "Das Rechtemanagement muss gewährleisten, dass jede Rolle nur die Daten (auch Metadaten) sehen darf, die zur Erfüllung der Aufgabe notwendig sind."

Auch das Datenschutz-Regelwerk der Kreditkartenindustrie, der Payment Card Industry Data Security Standard, fordert von allen Unternehmen, die Kreditkarten-Transaktionen tätigen, ein striktes Passwort-Management. Es wird unter anderem verlangt, dass keine Konten und Kennwörter für Gruppen beziehungsweise mehrere Personen genutzt werden, um sicherzustellen, dass jeder Benutzer identifizierbar ist. Deshalb seien Prozesse oder Systeme zu implementieren, die es ermöglichen, den Zugriff auf Systemkomponenten – insbesondere von Benutzern mit Administratorrechten – einem individuellen User zuzuordnen.

In den für Finanzdienstleister gültigen Richtlinien MaRisk (Mindestanforderungen an das Risikomanagement), die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlicht werden, sind die Zugriffsrechte auf IT-Systeme ebenfalls geregelt. Hierzu wird ausgeführt: "Die eingerichteten Berechtigungen dürfen nicht im Widerspruch zur organisatorischen Zuordnung von Mitarbeitern stehen. Insbesondere bei Berechtigungsvergaben im Rahmen von Rollenmodellen ist darauf zu achten, dass Funktionstrennungen beibehalten beziehungsweise Interessenkonflikte vermieden werden."

"Eines zeigen die skizzierten Compliance-Vorgaben ganz klar: Gibt es bei einem Unternehmen Admins mit uneingeschränkten privilegierten Rechten und keine Implementierung von rollenbasierten Zugriffs- und Kontrollsystemen, verstößt das gegen aktuell gültige gesetzliche und aufsichtsrechtliche Bestimmungen", sagt Jochen Koehler, Regional Director DACH & Middle East bei Cyber-Ark in Heilbronn. "Hinsichtlich einer Erfüllung von Compliance-Anforderungen, einer Erhöhung der Sicherheit und auch einer Reduzierung des Administrationsaufwandes sollte somit jedes Unternehmen über ein zuverlässiges Privileged Identity Management verfügen, mit dem administrative Accounts automatisch verwaltet, regelmäßig geändert und überwacht werden können." (Cyber-Ark: ra)

Cyber-Ark: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Europäische Kommission

  • Bewältigung der wirtschaftlichen Auswirkungen

    Die Europäische Kommission hat Leitlinien zum Datenschutz im Zusammenhang mit der Entwicklung neuer Apps zur Unterstützung der Bekämpfung des Coronavirus veröffentlicht. Die Entwicklung solcher Apps und ihre Nutzung durch die Bürger können einen erheblichen Beitrag zur Eindämmung des Virus leisten und somit, in Ergänzung zu anderen Maßnahmen wie der Erhöhung der Testkapazitäten, eine wichtige Rolle im Hinblick auf die Strategie zur Lockerung der Ausgangsbeschränkungen spielen. Es muss jedoch sichergestellt werden, dass die Bürgerinnen und Bürger der EU solchen innovativen digitalen Lösungen uneingeschränkt vertrauen und sie ohne Bedenken verwenden können. Das Potenzial von Apps zur Kontaktnachverfolgung kann nur dann voll ausgeschöpft werden, wenn sie von einem Großteil der Bürgerinnen und Bürger genutzt werden. Die EU-Vorschriften, insbesondere die Datenschutz-Grundverordnung (DSGVO) und die e-Datenschutzrichtlinie, bieten die besten Garantien für Vertrauenswürdigkeit (freiwillige Verwendung, Datenminimierung und Befristung), auf deren Grundlage solche Apps umfassend und zweckmäßig verwendet werden können. Mit den neuen Leitlinien soll der erforderliche Rahmen geschaffen werden, um sicherzustellen, dass die personenbezogenen Daten der betroffenen Bürger bei Verwendung solcher Apps hinreichend geschützt werden und der Eingriff in ihre Privatsphäre beschränkt bleibt. Zu dem Leitlinienentwurf wurde eine Stellungnahme des Europäischen Datenschutzausschusses eingeholt. Durch die Erfüllung dieser Standards können die volle Wirksamkeit und Einhaltung der Vorschriften auch in Krisenzeiten gewährleistet werden.

  • Datenschutzvorschriften der EU und Corona-Apps

    Die Europäische Kommission hat Leitlinien zum Datenschutz im Zusammenhang mit der Entwicklung neuer Apps zur Unterstützung der Bekämpfung des Coronavirus veröffentlicht. Die Entwicklung solcher Apps und ihre Nutzung durch die Bürger können einen erheblichen Beitrag zur Eindämmung des Virus leisten und somit, in Ergänzung zu anderen Maßnahmen wie der Erhöhung der Testkapazitäten, eine wichtige Rolle im Hinblick auf die Strategie zur Lockerung der Ausgangsbeschränkungen spielen. Es muss jedoch sichergestellt werden, dass die Bürgerinnen und Bürger der EU solchen innovativen digitalen Lösungen uneingeschränkt vertrauen und sie ohne Bedenken verwenden können. Das Potenzial von Apps zur Kontaktnachverfolgung kann nur dann voll ausgeschöpft werden, wenn sie von einem Großteil der Bürgerinnen und Bürger genutzt werden. Die EU-Vorschriften, insbesondere die Datenschutz-Grundverordnung (DSGVO) und die e-Datenschutzrichtlinie, bieten die besten Garantien für Vertrauenswürdigkeit (freiwillige Verwendung, Datenminimierung und Befristung), auf deren Grundlage solche Apps umfassend und zweckmäßig verwendet werden können. Mit den neuen Leitlinien soll der erforderliche Rahmen geschaffen werden, um sicherzustellen, dass die personenbezogenen Daten der betroffenen Bürger bei Verwendung solcher Apps hinreichend geschützt werden und der Eingriff in ihre Privatsphäre beschränkt bleibt. Zu dem Leitlinienentwurf wurde eine Stellungnahme des Europäischen Datenschutzausschusses eingeholt. Durch die Erfüllung dieser Standards können die volle Wirksamkeit und Einhaltung der Vorschriften auch in Krisenzeiten gewährleistet werden.

  • Mobil-Apps zur Kontaktnachverfolgung

    Die EU-Mitgliedstaaten haben mit Unterstützung der Kommission ein EU-Instrumentarium für die Nutzung von Mobil-Apps zur Kontaktnachverfolgung und Warnung bei der Bekämpfung der Coronavirus-Pandemie entwickelt. Es ist Teil eines gemeinsamen koordinierten Konzepts, mit dem die schrittweise Aufhebung der Ausgangsbeschränkungen unterstützt werden soll, wie vergangene Woche in einer Empfehlung der Kommission dargelegt. Zusammen mit dem Instrumentarium werden für solche Mobil-Apps außerdem Leitlinien für den Datenschutz veröffentlicht. Seit dem Ausbruch der Coronavirus-Pandemie bewerten die Mitgliedstaaten mit Unterstützung der Kommission digitale Lösungen zur Bewältigung der Krise im Hinblick auf ihre Wirksamkeit und Sicherheit sowie die Wahrung der Privatsphäre und den Datenschutz. Sofern sie vollständig den EU-Vorschriften entsprechen und gut koordiniert sind, können Mobil-Apps zur Kontaktnachverfolgung eine Schlüsselrolle in allen Phasen des Krisenmanagements spielen, insbesondere sobald die Zeit reif ist, die Maßnahmen zur sozialen Distanzierung schrittweise aufzuheben.

  • Auswirkungen auf Fluggesellschaften abmildern

    Die EU wird die Regeln für Zeitnischen, aufgrund derer die Fluggesellschaften dazu verpflichtet sind, mindestens 80 Prozent ihrer Zeitnischen für Starts und Landungen zu bedienen, um sie für das folgende Jahr zu behalten, bis zum 24. Oktober 2020 aussetzen. Die vom Rat angenommene Ausnahmeregelung soll die Fluggesellschaften dabei unterstützen, mit dem drastischen Einbruch des Luftverkehrs aufgrund der Coronavirus-Krise zurechtzukommen. Es ist nun deutlich, dass die Krise so bald nicht beendet sein wird. Die Aussetzung der "use it or lose it"-Regel bis Oktober wird dazu beitragen, die erheblichen wirtschaftlichen Auswirkungen auf die Fluggesellschaften abzumildern und ihnen während der gesamten Sommersaison Sicherheit zu geben.

  • Arbeitskräfte mit systemrelevanten Aufgaben

    Die EU-Kommission neue praktische Hinweise vorgelegt, wie sichergestellt werden kann, dass mobile Arbeitskräfte in der EU und insbesondere diejenigen, die in systemrelevanten Funktionen gegen die Coronavirus-Pandemie kämpfen, an ihren Arbeitsplatz gelangen können. Dazu gehören unter anderem Arbeitskräfte im Gesundheitsbereich und in der Lebensmittelbranche sowie in anderen wesentlichen Dienstleistungsbereichen wie Kinderbetreuung oder Altenpflege, aber auch systemrelevantes Personal in Versorgungsunternehmen. Zusammen mit den ebenfalls heute veröffentlichten Hinweisen zur Umsetzung der vorübergehenden Beschränkung nicht unbedingt notwendiger Reisen in die EU reagiert die Kommission damit auf die Forderungen der EU-Führungsspitzen vom 26. März und geht auf die praktischen Bedenken einerseits der Bürger und Unternehmen ein, die von den Maßnahmen zur Eindämmung der Ausbreitung des Coronavirus betroffen sind, und andererseits der nationalen Behörden, die die Maßnahmen umsetzen.