IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
IT-Sicherheitsrichtlinie - Universität zu Lübeck
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>IT</strong>-<strong>Sicherheitsrichtlinie</strong> – Definition des Grundschutzes<br />
Wird es darüber hinaus aufgeschrieben, ist das Passwort <strong>zu</strong>mindest so sicher<br />
wie eine Scheckkarte oder ein Geldschein auf<strong>zu</strong>bewahren.<br />
Das Passwort ist regelmäßig, spätestens nach 360 Tagen, <strong>zu</strong> wechseln.<br />
Ein Passwortwechsel ist durch<strong>zu</strong>führen, wenn das Passwort unautorisierten<br />
Personen bekannt geworden ist.<br />
Alte Passwörter dürfen nach einem Passwortwechsel nicht mehr gebraucht<br />
werden.<br />
Die Eingabe des Passwortes muss unbeobachtet stattfinden.<br />
Falls technisch möglich, sollten folgende Randbedingungen eingehalten werden:<br />
Die Wahl von Trivialpasswörtern ("BBBBBB", "123456") sollte verhindert<br />
werden.<br />
Jeder Benutzer muss sein eigenes Passwort jederzeit ändern können.<br />
Für die Erstanmeldung neuer Benutzer sollten Einmalpasswörter vergeben<br />
werden, also Passwörter, die nach einmaligem Gebrauch gewechselt werden<br />
müssen. In Netzen, in denen Passwörter unverschlüsselt übertragen<br />
werden, empfiehlt sich die dauerhafte Verwendung von Einmalpasswörtern.<br />
Nach mehrfacher fehlerhafter Passworteingabe muss eine Sperrung erfolgen,<br />
die entweder vom Systemadministrator, durch erneute Selbstregistrierung<br />
oder nach Ablauf einer Sperrfrist automatisch aufgehoben wird.<br />
Bei der Authentisierung in vernetzten Systemen sollten Passwörter nicht<br />
unverschlüsselt übertragen werden.<br />
Bei der Eingabe sollte das Passwort nicht auf dem Bildschirm angezeigt<br />
werden.<br />
Die Passwörter sollten im System <strong>zu</strong>griffssicher gespeichert werden, z. B.<br />
mittels Einwegverschlüsselung.<br />
Der Passwortwechsel sollte vom System regelmäßig initiiert werden.<br />
Die Wiederholung alter Passwörter beim Passwortwechsel sollte vom <strong>IT</strong>-<br />
System verhindert werden (Passwort-Historie).<br />
Auf die Einhaltung der Regeln ist insbesondere <strong>zu</strong> achten, wenn das System diese<br />
nicht erzwingt.<br />
2.2.6.7. Zugriffsrechte (Autorisierung) (M2.220)<br />
Verantwortlich für Initiierung:<br />
Verantwortlich für Umset<strong>zu</strong>ng:<br />
<strong>IT</strong>-Verantwortlicher (bereichsspezifisch)<br />
Verfahrensverantwortlicher (verfahrensspezifisch)<br />
<strong>IT</strong>-Personal<br />
45 von 75