Bundesamt für Sicherheit in der Informationstechnik

M 3.98 Einweisung aller Mitarbeiter in den Umgang mit Authentisierungsverfahren und -mechanismen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, Leiter Personal

Verantwortlich für Umsetzung: Personalabteilung, Vorgesetzte

Alle Mitarbeiter sind in den sicheren Umgang mit den in der Institution eingesetzten Authentisierungsverfahren und -mechanismen einzuweisen. Außerdem müssen alle Mitarbeiter über die Richtlinien und Anweisungen zum Umgang mit Authentisierungsverfahren und -mechanismen informiert werden (siehe beispielsweise M 2.11 Regelung des Passwortgebrauchs ). Besonders wichtig ist dabei, die Mitarbeiter darüber zu unterrichten, warum die Richtlinien notwendig und angemessen sind. So sind sie besser motiviert, die Vorgaben auch einzuhalten. Die Richtlinien müssen für die Mitarbeiter verständlich sein und dürfen nur Regelungen enthalten, die auch umgesetzt werden können. Sie sollten zudem so positiv wie möglich formuliert werden.

Die Einweisung sollte mindestens folgende Punkte umfassen:

  • Wozu dient Authentisierung?
  • Grundlagen Identifizierung und Authentisierung, Erläuterungen von Begriffsdefinition wie Wissen, Besitz, Eigenschaft
  • Hinweise zur Handhabung der eingesetzten Authentisierungsverfahren und -mechanismen (z. B. Aufbewahrung von Authentikationstoken)
  • Vorgaben zum Auswahl und Nutzung von Passwörtern ( z. B. Passwörter nicht aufschreiben und nicht weitergeben, Passwörter sollten nicht zu trivial sein, eine bestimmte Länge und Komplexität haben, siehe M 2.11 Regelung des Passwortgebrauchs )
  • Umgang mit Berechtigungen: Überblick über Berechtigungskonzept der Institution, Gestaltung der Rechtevergabe
  • Übersicht über Sicherheitsfunktionalitäten des eingesetzten Produktes zum Identitäts- und Berechtigungsmanagement
  • Beschreibung, wie der Prozess (Wieder-)Freigabe bei Sperrung von Benutzerkennungen funktioniert
  • Überblick über die verschiedenen Aufgaben und Rollen bei der Verwaltung von Identitäten, Benutzerkennungen und Berechtigungen, Benennung von Ansprechpartnern

Prüffragen:

  • Sind alle Mitarbeiter in den korrekten Umgang mit den Authentisierungsverfahren eingewiesen worden?

  • Gibt es verständliche Richtlinien für den Umgang mit Authentisierungsverfahren?

  • Sind alle Mitarbeiter über die relevanten Regelungen zur Authentisierung informiert?

Stand: 15. EL Stand 2016