Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Organisatorische Kontrolle

A.5.17 — Authentifizierungsinformationen

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.5.17 ISO 27001ISO 27002BSI ORP.4

„Passwort123” steht noch immer auf Platz 3 der meistverwendeten Passwörter in Deutschland. Über 80% aller erfolgreichen Angriffe beginnen mit kompromittierten Zugangsdaten — gestohlene Passwörter, wiederverwendete Credentials, fehlende Multi-Faktor-Authentifizierung. A.5.17 fordert organisatorische Regeln für die sichere Vergabe, Verwaltung und Nutzung aller Authentifizierungsinformationen.

Was verlangt die Norm?

  • Vergabeprozess sichern. Initiale Passwörter und Authentifizierungsmittel werden über einen sicheren Kanal übermittelt. Temporäre Passwörter müssen bei der ersten Anmeldung geändert werden.
  • Passwortrichtlinie definieren. Anforderungen an Länge, Komplexität, Einzigartigkeit und Aufbewahrung von Passwörtern werden dokumentiert und technisch durchgesetzt.
  • MFA einsetzen. Multi-Faktor-Authentifizierung wird für kritische Systeme und Remote-Zugänge implementiert.
  • Verantwortung der Nutzenden. Beschäftigte sind verpflichtet, ihre Authentifizierungsinformationen vertraulich zu halten und bei Kompromittierungsverdacht sofort zu melden.
  • Sichere Speicherung. Passwörter werden in Systemen nur als Hash gespeichert, nie im Klartext.

In der Praxis

Passwortrichtlinie an aktuelle Standards anpassen. Weg von der erzwungenen Rotation, hin zu starken Passwörtern mit MFA. Mindestlänge 12 Zeichen, keine Wiederverwendung der letzten 10 Passwörter, Sperrung nach 5 Fehlversuchen. Technisch durchsetzen über Group Policy oder IAM-Konfiguration.

MFA für kritische Zugriffe einführen. Priorisiere: VPN/Remote-Zugang, Admin-Konten, Cloud-Dienste, E-Mail. TOTP-Apps (Authenticator) oder Hardware-Tokens (FIDO2/YubiKey) sind die gängigsten Methoden. SMS-basierte MFA ist besser als keine MFA, aber anfällig für SIM-Swapping.

Initiale Passwortübergabe absichern. Temporäre Passwörter werden persönlich oder über einen separaten, sicheren Kanal übergeben — nie per unverschlüsselter E-Mail zusammen mit dem Benutzernamen. Das System erzwingt die Änderung bei der ersten Anmeldung.

Kompromittierte Passwörter erkennen. Implementiere Prüfungen gegen bekannte Passwort-Leaks (z. B. Have I Been Pwned API-Integration) und blockiere Passwörter, die in Datenlecks aufgetaucht sind.

Typische Audit-Nachweise

Auditoren erwarten bei A.5.17 typischerweise diese Nachweise:

  • Passwortrichtlinie — dokumentierte Anforderungen an Passwörter und Authentifizierung
  • Technische Konfiguration — Group Policy, IAM-Konfiguration, die die Richtlinie durchsetzt
  • MFA-Rollout-Status — Übersicht, welche Systeme und Kontengruppen MFA nutzen
  • Passwort-Manager-Lizenzierung — Nachweis, dass ein Unternehmens-Passwort-Manager bereitgestellt ist
  • Schulungsnachweise — Nachweis, dass Beschäftigte in sicherer Passworthandhabung geschult sind

KPI

% der Konten, die der Richtlinie für Authentifizierungsinformationen entsprechen

Gemessen über technische Compliance-Checks: Wie viele Konten erfüllen die Mindestanforderungen (Passwortlänge, MFA aktiv, letzte Änderung bei Kompromittierung)? Ziel: über 95%. Die letzten Prozent sind oft Dienstkonten und Altlasten.

Ergänzende KPIs:

  • Anteil der Konten mit aktivierter MFA
  • Anzahl der gesperrten Konten durch Brute-Force-Versuche pro Monat
  • Anteil der Beschäftigten, die den Unternehmens-Passwort-Manager nutzen

BSI IT-Grundschutz

A.5.17 mappt auf den BSI-Baustein zum Berechtigungsmanagement:

  • ORP.4 (Identitäts- und Berechtigungsmanagement) — enthält detaillierte Anforderungen an Passwortrichtlinien, sichere Übermittlung von Authentifizierungsinformationen und den Einsatz von MFA. BSI empfiehlt seit 2020 den Verzicht auf erzwungene Passwortrotation bei gleichzeitigem Einsatz starker Passwörter und MFA.

Verwandte Kontrollen

A.5.17 ergänzt den Zugriffskontroll-Block:

Quellen

Häufig gestellte Fragen

Wie lang sollte ein Passwort mindestens sein?

Aktuelle Empfehlungen (BSI, NIST): mindestens 12 Zeichen bei Kombination aus Buchstaben, Zahlen und Sonderzeichen. Bei reinen Passphrasen: mindestens 20 Zeichen. Wichtiger als die Länge allein: Einzigartigkeit pro System und Nutzung eines Passwort-Managers.

Müssen Passwörter regelmäßig geändert werden?

BSI und NIST empfehlen seit 2020 keine erzwungene regelmäßige Änderung mehr, solange starke Passwörter und MFA im Einsatz sind. Änderung ist nur noch bei Kompromittierungsverdacht erforderlich. Erzwungene Rotation führt zu schwächeren Passwörtern (Passwort1, Passwort2, ...).

Ist MFA für alle Konten Pflicht?

ISO 27001 schreibt keine spezifische Technologie vor. In der Praxis: MFA für alle privilegierten Zugriffe, für Remote-Zugang und für Systeme mit vertraulichen Daten. Für Standardzugriffe im internen Netz ist MFA empfohlen, aber nicht immer verhältnismäßig.