Flexible Security for Your Peace of Mind

NIST 800-53 Richtlinien und Anforderungen

Um ihre Cybersicherheit zu verbessern und die Compliance-Vorschriften erfolgreich zu erfüllen, müssen Unternehmen die neuesten Richtlinien für Sicherheits- und Datenschutzkontrollen zum Schutz geschäftskritischer Daten berücksichtigen. Das National Institute of Standards and Technology (NIST) ist eine anerkannte Institution für Cybersicherheitsrichtlinien. Die Publikation NIST 800-53 bietet Unternehmen eine Anleitung zur Durchführung von Sicherheits- und Datenschutzkontrollen für ihre Informationssysteme. Einer der in NIST 800-53 behandelten Sicherheitsaspekte sind Passwörter. Betrachten wir die NIST 800-53 Schutzmaßnahmen für die Verwendung von Passwörtern in der IT-Umgebung und warum diese so wichtig sind.

Was ist NIST 800-53?

Die Veröffentlichung NIST 800-53 ist ein vom National Institute of Standards and Technology entwickelter Sicherheitsstandard, der die vom Information Technology Laboratory (ITL) geforderten Mindest-Kontrollstandards beschreibt. Der Konformitätsstandard NIST 800-53 ist ein vorgeschriebener Standard für Informationssysteme der US-Bundesbehörden. Jede Organisation kann jedoch die beschriebenen Maßnahmen und Empfehlungen übernehmen, um den Federal Information Security Modernization Act (FISMA) zu erfüllen und ihre Cybersicherheitslage zu verbessern.

NIST 800-53 ist Teil des NIST Risk Management Framework (RMF). Was ist das NIST RMF? Laut NIST:

Das NIST Risk Management Framework (RMF) bietet einen umfassenden, flexiblen, wiederholbaren und messbaren Prozess in sieben Schritten, den jede Organisation nutzen kann, um die Risiken für die Informationssicherheit und den Datenschutz für Organisationen und Systeme zu managen, und verweist auf eine Reihe von NIST-Standards und -Richtlinien zur Unterstützung der Implementierung von Risikomanagementprogrammen, um die Anforderungen des Federal Information Security Modernization Act (FISMA) zu erfüllen.

Wie bereits oben erwähnt, bietet NIST 800-53 ausgleichende Kontrollmaßnahmen, die es Organisationen ermöglichen, das mit ihrer Umgebung verbundene Sicherheitsrisiko aufzufangen, das derzeit zu schwierig oder unpraktisch zu implementieren ist. So kann beispielsweise die Abschaffung von Passwörtern in allen Systemen ein hochgestecktes Cybersecurity-Ziel oder eine Anforderung sein, die aufgrund von Systembeschränkungen zu schwierig umzusetzen ist. Die ausgleichenden Maßnahmen ermöglichen die Verwendung von Passwörtern, indem sie das Risiko durch die erforderlichen Sicherheitsmaßnahmen auffangen.

In dieser Hinsicht gehen die ausgleichenden Maßnahmen von NIST 800-53 Hand in Hand mit den Cybersicherheitsrichtlinien, die in der NIST-Sonderveröffentlichung 800-63B – Richtlinien zur digitalen Identität und anderen definiert sind. Speziell zu Passwörtern sehen wir uns die in NIST 800-53 definierten ausgleichenden Maßnahmen an.

NIST 800-53 FAQs

  1. NIST 800-53 ist Teil einer Reihe von Dokumenten, die vom NIST erstellt wurden und spezifische Richtlinien zur Einhaltung des Federal Information Security Modernization Act (FISMA) definieren.
  2. Es dokumentiert das Mindestmaß an Kontrollmaßnahmen, das der Federal Information Processing Standard (FIP) vorschreibt.
  3. Alle Informationssysteme des Bundes in allen Behörden und Organisationen müssen die definierten Kontrollen einhalten.
  4. Laden Sie das Dokument 800-53 Revision 5 herunter

NIST 800-53 Kompensatorische Maßnahmen für die Passwortauthentifizierung

In dieser Hinsicht gehen die kompensierenden Maßnahmen von NIST 800-53 Hand in Hand mit den Cybersicherheitsrichtlinien, die in der NIST-Sonderveröffentlichung 800-63B – Digital Identity Guidelines und anderen definiert sind. Als Beispiel sei auf die folgenden kompensierenden Maßnahmen verwiesen, die in NIST 800-53 unter Control Identifier IA-5(1) dokumentiert sind.

Für die passwortbasierte Authentifizierung:

  • Führen Sie eine Liste mit häufig verwendeten, erwartbaren oder kompromittierten Passwörter und aktualisieren Sie die Liste regelmäßig [Zuordnung: von der Organisation festgelegte Häufigkeit] und wenn der Verdacht besteht, dass die Passwörter der Organisation direkt oder indirekt kompromittiert wurden;
  • Bei der Erstellung oder Aktualisierung von Passwörtern durch Benutzer ist zu überprüfen, dass die Passwörter nicht in der Liste der häufig verwendeten, erwartbaren oder kompromittierten Passwörter in IA-5(1)(a) enthalten sind;
  • Übermittlung von Passwörtern nur über kryptografisch geschützte Kanäle;
  • Speicherung von Passwörtern unter Verwendung einer genehmigten “salted” Schlüsselableitungsfunktion, vorzugsweise unter Verwendung eines verschlüsselten Hashwerts;
  • Verpflichtende, sofortige Erstellung eines neuen Passworts nach Wiederherstellung des Kontos;
  • Ermöglichung der Erstellung langer Passwörter und Passphrasen durch den Benutzer, einschließlich Leerzeichen und aller druckbaren Zeichen;
  • Einsatz automatischer Tools zur Unterstützung des Benutzers bei der Auswahl starker Passwörter; und
  • Durchsetzung der folgenden Regeln zur Zusammensetzung und Komplexität: [Zuweisung: von der Organisation festgelegte Regeln für die Zusammensetzung und Komplexität].

Bei fehlgeschlagenen Anmeldeversuchen:

  • Die Notwendigkeit, erfolglose Anmeldeversuche zu begrenzen und Maßnahmen zu ergreifen, wenn die maximale Anzahl der Versuche überschritten wird, gilt unabhängig davon, ob die Anmeldung über eine lokale oder eine Netzwerkverbindung erfolgt.
  • Zu den von der Organisation definierten Maßnahmen, die ergriffen werden können, wenn die Anzahl der zulässigen aufeinanderfolgenden ungültigen Anmeldeversuche überschritten wird, gehören die Aufforderung an den Benutzer, zusätzlich zu Benutzername und Kennwort eine geheime Frage zu beantworten, das Aufrufen eines Sperrmodus mit eingeschränkten Benutzerfähigkeiten (anstelle einer vollständigen Sperrung), das Zulassen, dass sich Benutzer nur von bestimmten Internetprotokolladressen (IP-Adressen) aus anmelden können, die Erfordernis eines CAPTCHA, um automatische Angriffe zu verhindern, oder die Anwendung von Benutzerprofilen wie Standort, Tageszeit, IP-Adresse, Gerät oder MAC-Adresse (Media Access Control).

Es sind nicht alle kompensierenden Maßnahmen mit Board-Mitteln in Active Directory-umsetzbar

Wenn man sich die im NIST Risk Management Framework (RMF) definierten kompensierenden Maßnahmen genau ansieht, sind nicht alle kompensierenden Maßnahmen mit den nativ in Active Directory integrierten Funktionen umsetzbar. So ist beispielsweise die Überprüfung von Kennwörtern anhand einer Liste kompromittierter Kennwörter mit den Standardfunktionen von Active Directory nicht möglich. Auch die Implementierung von Passwortfiltern, die auf benutzerdefinierten Wörterbuchdateien basieren, ist mit den Standardfunktionen von Active Directory nicht einfach und erfordert einige tiefgreifende Änderungen.

Specops Password Policy ist ein Tool, das es Unternehmen ermöglicht, moderne Compliance- und Best-Practice-Richtlinien für Cybersicherheit wie dem NIST und anderen Sicherheitsbehörden (BSI, NCSC) zu erfüllen. Unternehmen, die Specops Password Policy verwenden, können mit wenigen Klicks die Überprüfung kompromittierter Passwörter mit der Breached Password Protection List, benutzerdefinierten Wörterbuchdateien, dem Blockieren inkrementeller und kontextbasierter Passwörter und vielen anderen Funktionen einfach implementieren.

Specops Password Policy enthält jetzt Daten aus Echtzeit-Angriffen, die Teil der Breached Password Protection List sind. Es werden kontinuierlich Echtzeit-Angriffsdaten gesammelt und bündelt diese für die Verwendung im Breached Password Protection-Modul.

Specops Breached Password Protection

Verwenden Sie benutzerdefinierte Wörterbücher und benutzerdefinierte Inhaltsbeschränkungen.

Definieren Sie Wörterbücher und Inhaltsbeschränkungen mit Specops Password Policy

Verhindern Sie auf einfache Weise inkrementelle Passwörter, die Wiederverwendung von Teilen eines Passworts und erzwingen Sie eine Mindestanzahl von geänderten Zeichen.

Verbieten Sie inkrementelle Passwörter und die Wiederverwendung von Zeichen aus vorherigen Kennwörtern

Darüber hinaus bietet Specops die folgenden Funktionen:

  • Zugriff auf eine Datenbank mit über 3 Milliarden kompromittierten Passwörtern
  • Live-Daten zu Passwortangriffen zum Schutz vor Passwortkompromittierung
  • Finden und Entfernen von kompromittierten Passwörtern in Ihrer AD-Umgebung
  • Intuitive Client-Benachrichtigung
  • Längenbasiertes Auslaufen von Passwörtern
  • Dynamisches Feedback für Endbenutzer während der Passwortänderung
  • Anpassbare E-Mail-Benachrichtigungen
  • Verwendung von Passphrasen
  • Sperren von Benutzernamen, Anzeigenamen, bestimmten Wörtern, aufeinanderfolgenden Zeichen, inkrementellen Passwörtern und der Wiederverwendung eines Teils des aktuellen Passworts
  • Granulares, GPO-gesteuertes Targeting für jede GPO-Ebene, jeden Computer, Benutzer oder jede Gruppenpopulation
  • Mehrsprachige Unterstützung

Erfahren Sie mehr über Specops Password Policy und wie es Ihrem Unternehmen helfen kann, die NIST-Cybersicherheitsstandards zu erfüllen, und laden Sie eine kostenlose Testversion von Specops Password Policy herunter.

(Zuletzt aktualisiert am 19/10/2023)

Zurück zum Blog

© 2024 Specops Software. All rights reserved.

Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.

Zur Datenschutzerklärung

OK