Was erfordert die Kontrolle A.3.23?
Sichere Authentifizierungstechnologien und -verfahren im Zusammenhang mit der Verarbeitung personenbezogener Daten sind auf der Grundlage von Zugriffsbeschränkungen für Informationen zu implementieren.
Diese Steuerung befindet sich innerhalb der Gemeinsame Sicherheitskontrollen Anhang (A.3) legt fest, dass der Zugriff auf Systeme, die personenbezogene Daten verarbeiten, durch robuste Authentifizierungsmechanismen geschützt werden muss. Der Ausdruck „auf Grundlage von Zugriffsbeschränkungen“ ist wichtig: Art und Stärke der Authentifizierung müssen der Sensibilität der personenbezogenen Daten und dem Umfang des gewährten Zugriffs angemessen sein. Ein System, das Daten besonderer Kategorien verarbeitet, erfordert eine stärkere Authentifizierung als ein System, das grundlegende Kontaktdaten verarbeitet.
Was besagt der Umsetzungsleitfaden für Anhang B?
Anhang B (Abschnitt B.3.23) enthält folgende Hinweise:
- Sichere Anmeldeverfahren für Kundenkonten — Sofern vom Kunden gefordert, sollte die Organisation die Möglichkeit für sichere Anmeldeverfahren für alle Benutzerkonten bereitstellen, die unter der Kontrolle des Kunden stehen.
Die auf Auftragsverarbeiter ausgerichteten Leitlinien heben eine wichtige vertragliche Dimension hervor: Auftragsverarbeiter müssen sichere Authentifizierungsmechanismen bereitstellen können, die den Anforderungen ihrer Kunden (Verantwortlichen) entsprechen. Dies kann Multi-Faktor-Authentifizierung, Single Sign-On, IP-Whitelisting oder andere im Datenverarbeitungsvertrag festgelegte Authentifizierungsmaßnahmen umfassen.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.3.23 ist folgenden Elementen zugeordnet Datenschutz Artikel:
- Artikel 5(1)(f) — Der Grundsatz der Integrität und Vertraulichkeit, der eine angemessene Sicherheit personenbezogener Daten einschließlich des Schutzes vor unberechtigtem Zugriff erfordert
Eine schwache oder fehlende Authentifizierung ist ein direkter Weg zum unberechtigten Zugriff auf personenbezogene Daten, weshalb diese Kontrolle für die Einhaltung von Artikel 5(1)(f) von grundlegender Bedeutung ist.
Die vollständige Zuordnung von DSGVO zu ISO 27701 finden Sie hier: Leitfaden zur Einhaltung der DSGVO.
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 wurde diese Anforderung in Abschnitt 6.6.4.2 (Sichere Anmeldeverfahren) behandelt. Die Ausgabe von 2025 erweitert den Anwendungsbereich von Anmeldeverfahren im Speziellen auf sichere Authentifizierungstechnologien und -verfahren im Allgemeinen (Abschnitt A.3.23). Dies trägt der Weiterentwicklung der Authentifizierung Rechnung, die über die traditionelle Anmeldung mit Benutzername und Passwort hinausgeht und nun auch Biometrie, Hardware-Token, passwortlose Authentifizierung und adaptive risikobasierte Authentifizierung umfasst. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.3.23 achten die Prüfer typischerweise auf Folgendes:
- Authentifizierungsrichtlinie — Eine dokumentierte Richtlinie, die Authentifizierungsanforderungen für verschiedene Systemtypen und PII-Sensibilitätsstufen festlegt, einschließlich Regeln für die Passwortkomplexität, MFA-Anforderungen und Sitzungsverwaltungskontrollen.
- MFA-Implementierung — Nachweis, dass für Systeme, die personenbezogene Daten verarbeiten, insbesondere für Fernzugriff, privilegierte Konten und kundenorientierte Portale, eine Multi-Faktor-Authentifizierung implementiert ist
- Zugriffskontrollmatrix — Eine Zuordnung zwischen Systemrollen, PII-Zugriffsebenen und erforderlicher Authentifizierungsstärke
- Konfiguration des Anmeldevorgangs — Technische Nachweise für eine sichere Anmeldekonfiguration, einschließlich Schwellenwerte für die Kontosperrung, Protokollierung fehlgeschlagener Anmeldeversuche und Einstellungen für das Sitzungs-Timeout
- Kundenseitige Authentifizierungsfunktionen — Für Auftragsverarbeiter: Nachweis, dass den Kunden sichere Authentifizierungsoptionen gemäß der Datenverarbeitungsvereinbarung zur Verfügung stehen.
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.3.8 Identitätsverwaltung | Die Authentifizierung überprüft die unter A.3.8 Identitätsmanagement |
| A.3.9 Zugriffsrechte | Die Stärke der Authentifizierung sollte dem Umfang der zu schützenden Zugriffsrechte angemessen sein. |
| A.3.22 Benutzerendgeräte | Endgeräte sollten eine sichere Authentifizierung erzwingen, bevor sie den Zugriff auf personenbezogene Daten gewähren. |
| A.3.25 Protokollierung | Authentifizierungsereignisse (erfolgreiche und fehlgeschlagene) sollten protokolliert und überwacht werden. |
| A.3.26 Einsatz von Kryptographie | Kryptografische Mechanismen bilden die Grundlage vieler Authentifizierungstechnologien. |
Für wen gilt diese Regelung?
A.3.23 ist ein Gemeinsame Kontrolle Dies gilt sowohl für Verantwortliche als auch für Auftragsverarbeiter personenbezogener Daten. Verantwortliche müssen eine sichere Authentifizierung für ihre Systeme zur Verarbeitung personenbezogener Daten implementieren. Auftragsverarbeiter sind zusätzlich verpflichtet, auf Kundenwunsch sichere Authentifizierungsfunktionen für kundenkontrollierte Konten bereitzustellen. Die Authentifizierung ist somit sowohl eine vertragliche als auch eine technische Anforderung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online für die Authentifizierungsverwaltung?
ISMS.online bietet praktische Werkzeuge zur Implementierung und Verwaltung sicherer Authentifizierung:
- Zugriffskontrollsystem — Authentifizierungsanforderungen pro System, Rolle und PII-Sensibilitätsstufe an einem zentralen, revisionsfähigen Ort definieren und dokumentieren
- Richtlinienverwaltung — Veröffentlichung von Authentifizierungsrichtlinien mit Versionskontrolle und Nachverfolgung der Mitarbeiterbestätigung
- Risikobewertungen — Bewerten Sie Authentifizierungsrisiken anhand vordefinierter Bedrohungsszenarien für Anmeldeinformationsdiebstahl, Brute-Force-Angriffe und Session Hijacking
- Compliance-Verfolgung — Überwachen Sie, welche Systeme Ihre Authentifizierungs-Baseline erfüllen und bei welchen noch Aktionen ausstehen.
- Beweisführung — Authentifizierungskonfigurationsnachweise, MFA-Implementierungsprotokolle und Prüfberichte speichern und organisieren, um sie bei Prüfungen leicht wiederfinden zu können.
Häufig gestellte Fragen
Ist die Multi-Faktor-Authentifizierung obligatorisch?
Die Kontrollmaßnahme schreibt die Multi-Faktor-Authentifizierung (MFA) nicht explizit vor, verlangt aber, dass die Authentifizierung „auf Grundlage von Zugriffsbeschränkungen“ implementiert wird – das heißt, die Stärke der Authentifizierung muss dem Risiko angemessen sein. Für Systeme, die sensible personenbezogene Daten (PII), Fernzugriff und privilegierte Konten verarbeiten, gilt MFA weithin als Mindeststandard. Prüfer erwarten eine risikobasierte Begründung für alle Systeme, die PII verarbeiten und keine MFA verwenden.
Welche Authentifizierungsmethoden gelten als sicher?
Sichere Authentifizierungsmethoden umfassen die Multi-Faktor-Authentifizierung (eine Kombination aus Wissen, Besitz und Persönlichkeit), Hardware-Sicherheitsschlüssel (z. B. FIDO2/WebAuthn), biometrische Authentifizierung, zertifikatsbasierte Authentifizierung und adaptive risikobasierte Authentifizierung. Die reine Passwortauthentifizierung gilt zunehmend als unzureichend für Systeme, die personenbezogene Daten verarbeiten, insbesondere für den Fernzugriff. Passwortlose Verfahren mit Hardware-Tokens oder Biometrie gewinnen als sicherere und benutzerfreundlichere Alternative an Akzeptanz.
Welche prozessorspezifischen Pflichten bestehen?
Auftragsverarbeiter müssen sichere Anmeldefunktionen für kundenkontrollierte Konten bereitstellen, sofern dies vom Kunden gefordert wird. Dies bedeutet, dass Auftragsverarbeiter Multi-Faktor-Authentifizierung (MFA), Single Sign-On (SSO), IP-Whitelisting oder andere Authentifizierungsfunktionen anbieten können sollten, die Verantwortliche zur Erfüllung ihrer Compliance-Anforderungen benötigen. Diese Funktionen sollten im Datenverarbeitungsvertrag dokumentiert und ohne zusätzliche Hürden zugänglich gemacht werden.
Notieren Sie diese Steuerung in Ihrem Erklärung zur Anwendbarkeit mit Ihrem Implementierungsansatz.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für das, was Wirtschaftsprüfer erwarten.
