A.8.5 — Sichere Authentifizierung

81% aller Datenschutzverletzungen gehen auf kompromittierte Zugangsdaten zurück — so der Verizon Data Breach Investigations Report, Jahr für Jahr. Schwache Passwörter, wiederverwendete Zugangsdaten und fehlende Multi-Faktor-Authentifizierung machen es Angreifern leicht. A.8.5 verlangt sichere Authentifizierungsverfahren, deren Stärke der Sensibilität der geschützten Informationen entspricht.

Die Kontrolle adressiert den gesamten Authentifizierungsprozess: von der Anmeldung über die Sitzungsverwaltung bis zur automatischen Abmeldung bei Inaktivität.

Was verlangt die Norm?

Authentifizierungsstärke anpassen. Die Stärke der Authentifizierung muss der Sensibilität der zugegriffenen Informationen entsprechen. Kritische Systeme verlangen stärkere Verfahren als unkritische.
Multi-Faktor-Authentifizierung. Für kritische Systeme mehrere Faktoren kombinieren: Wissen (Passwort), Besitz (Token, Smartphone), Biometrie (Fingerabdruck).
Sicheren Anmeldeprozess gestalten. Keine Hinweise auf gültige Benutzernamen, CAPTCHA gegen Brute-Force, Protokollierung aller Anmeldeversuche, Warnung bei verdächtigen Aktivitäten.
Sitzungsverwaltung. Inaktive Sitzungen werden nach einer definierten Zeit automatisch beendet.
Sensible Daten schützen. Authentifizierungsinformationen (Passwörter, Tokens) werden nie im Klartext angezeigt oder übertragen.

In der Praxis

MFA-Rollout priorisieren. Beginne mit privilegierten Konten und Remote-Zugängen (VPN, Cloud-Dienste). In der zweiten Phase folgen alle Mitarbeitenden für geschäftskritische Anwendungen. Hardware-Token (FIDO2) für Admins, Authenticator-Apps (TOTP) für alle anderen.

Single Sign-On (SSO) einführen. SSO reduziert die Anzahl der Passwörter und ermöglicht zentrale Durchsetzung der Authentifizierungsrichtlinie. Über SAML oder OpenID Connect lassen sich auch SaaS-Anwendungen einbinden. SSO ohne MFA ist allerdings ein erhöhtes Risiko — beides gehört zusammen.

Kontosperrung und Brute-Force-Schutz konfigurieren. Nach einer definierten Anzahl fehlgeschlagener Versuche wird das Konto temporär gesperrt. Rate-Limiting und CAPTCHA ergänzen den Schutz. Die Balance ist wichtig: Zu aggressive Sperrung ermöglicht Denial-of-Service gegen einzelne Konten.

Passwortrichtlinie modernisieren. Das NIST empfiehlt seit 2017: lange Passphrasen statt komplexer Kurzpasswörter, keine erzwungenen periodischen Wechsel (außer bei Kompromittierungsverdacht), Abgleich gegen Listen bekannter kompromittierter Passwörter.

Typische Audit-Nachweise

Auditoren erwarten bei A.8.5 typischerweise diese Nachweise:

Authentifizierungsrichtlinie — dokumentierte Anforderungen an Passwörter, MFA und Sitzungsverwaltung (→ Zugriffskontrollrichtlinie im Starter Kit)
MFA-Abdeckungsbericht — Nachweis, welche Systeme und Benutzergruppen MFA nutzen
Anmeldeprotokolle — Logs mit erfolgreichen und fehlgeschlagenen Anmeldeversuchen
Kontosperr-Konfiguration — Nachweis der Brute-Force-Schutz-Einstellungen
SSO-Konfiguration — Übersicht der über SSO angebundenen Systeme

KPI

Anteil der Systeme mit Multi-Faktor- oder richtlinienkonformer Authentifizierung

Gemessen als Prozentsatz: Wie viele deiner Systeme erfüllen die definierte Authentifizierungsanforderung (MFA für kritische, starkes Passwort für unkritische)? Ziel: 100%.

Ergänzende KPIs:

Anteil der Benutzer mit aktivierter MFA (Ziel: 100% für privilegierte Konten, über 90% für alle)
Anzahl der fehlgeschlagenen Anmeldeversuche pro Monat (Trend-Indikator)
Anteil der Authentifizierungen über SSO (Indikator für zentrale Steuerung)

BSI IT-Grundschutz

A.8.5 mappt auf mehrere BSI-Bausteine mit Schwerpunkt auf Authentifizierung:

ORP.4 (Identitäts- und Berechtigungsmanagement) — Anforderungen an Authentifizierungsverfahren, Passwortrichtlinien und Zwei-Faktor-Authentisierung.
APP.2.1–APP.2.3 (Verzeichnisdienste) — technische Umsetzung der Authentifizierung in Active Directory, LDAP und vergleichbaren Systemen.
NET.3.3 (VPN) — Authentifizierungsanforderungen für Remote-Zugriffe über VPN.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.8.5 — Sichere Authentifizierung
ISO/IEC 27002:2022 Abschnitt 8.5 — Umsetzungshinweise zur sicheren Authentifizierung
BSI IT-Grundschutz, ORP.4 — Identitäts- und Berechtigungsmanagement

Häufig gestellte Fragen

Ist Multi-Faktor-Authentifizierung (MFA) Pflicht nach ISO 27001?

ISO 27001 schreibt MFA nicht explizit vor, verlangt aber, dass die Authentifizierungsstärke der Sensibilität der zugegriffenen Informationen entspricht. Für kritische Systeme und privilegierte Zugriffe ist MFA de facto unverzichtbar, um diese Anforderung zu erfüllen.

Welche MFA-Methoden empfiehlt die Norm?

Die Norm nennt drei Faktor-Kategorien: Wissen (Passwort, PIN), Besitz (Smartphone, Hardware-Token) und Biometrie (Fingerabdruck, Gesichtserkennung). Für kritische Systeme sollten mindestens zwei Kategorien kombiniert werden. SMS-basierte Einmalcodes gelten als schwächer als TOTP-Apps oder FIDO2-Token.

Muss die Authentifizierung für alle Systeme gleich stark sein?

Die Stärke muss der Sensibilität der Daten entsprechen. Für unkritische interne Systeme kann ein starkes Passwort ausreichen. Für Systeme mit vertraulichen Daten, Remote-Zugriffe und privilegierte Konten ist MFA der Standard.

Responsible	IT-Sicherheitsbeauftragter
Accountable	ISB
Consulted	IT-Administrator, Rechtsabteilung, Softwareentwickler/Architekt
Informed	Alle Beschäftigten, IT-Leitung, IT-Administrator