Compliance-Standards

Manche Unternehmen sind im Hinblick auf ihre Authentifizierungsrichtlinien verpflichtet, einen oder mehrere Compliance-Standards einzuhalten. Specops Password Auditor bietet Ihnen eine Möglichkeit, zu ermitteln, inwieweit Ihre Richtlinien die verschiedenen Compliance-Standards erfüllen, wie etwa NIST, NCSC und PCI. Eine umfassende Liste der unterstützten Standards können Sie dem folgenden Abschnitt entnehmen.

Der Compliance-Bericht zu Kennwortrichtlinien von Specops Password Auditor gibt Ihnen einen Überblick über die Richtlinien in Ihrem Active Directory (oder dem Teil Ihres AD, den Sie zu Beginn Ihrer Suche angegeben haben). Password Auditor liefert Ergebnisse zur Standard-Domain-Kennwortrichtlinie, allen fein abgestuften Kennwortrichtlinien sowie allen Specops Password Policy-Kennwortrichtlinien (falls installiert).

Compliance-Bericht zu Kennwortrichtlinien

Dieser Bericht bietet Ihnen einen Überblick über die Konformität der einzelnen Richtlinien mit den Branchenstandards. Jeder Standard hat dabei im Hinblick auf die Authentifizierung eigene Kriterien.

Compliance-Indikatoren

Der Compliance-Bericht zu Kennwortrichtlinien listet für jede Richtlinie die Konformität mit den Branchenstandards auf und greift dabei auf Indikatoren zurück.

  • Rot: keine Konformität. Die Richtlinie erfüllt keine der vom Standard vorgegebenen Kriterien.
  • Gelb : teilweise Konformität. Die Richtlinie erfüllt einige, aber nicht alle der vom Standard vorgegebenen Kriterien.
  • Grün: vollständige Konformität. Die Richtlinie erfüllt alle der vom Standard vorgegebenen Kriterien.

Kontrolle der Konformität mit einzelnen Standards

  1. Klicken Sie auf einen der Compliance-Indikatoren.
  2. Es erscheint eine Tabelle, bei der jede Zeile für eine Vorschrift des Standards, die aktuelle Einstellung der Richtlinie im Hinblick auf diese Vorschrift und die Anforderungen des Standards steht.

Anpassung der Compliance-Übersicht

Sie können alle Spalten der Übersicht ein- oder ausblenden.

  1. Wählen Sie das Dropdown-Menü Auswählen aus
  2. Entfernen Sie die Häkchen neben Standards, die Sie ausblenden möchten, und setzen Sie Häkchen, wenn Sie Standards wieder einblenden wollen.

Entropie

Die Entropiespalte ist nicht spezifisch mit den angeführten Compliance-Standards verknüpft. Es handelt sich eher um eine Angabe, der zu entnehmen ist, wie „stark“ die von den verschiedenen Richtlinien zugelassenen Kennwörter sind.

Compliance-Standards

Specops Password Auditor unterstützt die folgenden Standards:

HINWEIS

Specops Password Auditor aktiviert sowohl die integrierten Windows-Richtlinien als auch diejenigen, die mit Specops Password Policy erstellt wurden (mit Specops Breached Password Protection).

So werden beispielsweise Standards, bei denen Benutzern bestimmte Worte aus dem Wörterbuch untersagt werden (Ablehnung von Kennwörtern aus dem Wörterbuch), als nicht konform gekennzeichnet, wenn Specops Password Policy nicht verwendet wird oder die Richtlinie in Specops Password Policy nicht so konfiguriert wurde, dass sie dem Kriterium entspricht.

Die unten stehenden Tabellen verdeutlichen, welche Compliance-Kriterien zusätzliche Richtlinientools erfordern:

  • *: Specops Password Policy
  • **: Specops Breached Password Protection

NIST

Beschreibung

Das National Institute of Standards and Technology (NIST) gibt die Informationssicherheitsstandards für Bundesbehörden in den Vereinigten Staaten von Amerika vor.

Mit dem Hauptschwerpunkt auf einem für Anwender vereinfachten Prozess zur Kennworterstellung und dem Verschieben der Verantwortung zur Erstellung von starken Passwörtern auf Authentifizierungssysteme, stellt die Durchsetzung von Wörterbüchern eine wichtige Komponente der NIST-Empfehlungen dar.

Specops Password Policy gibt Ihnen die Möglichkeit, Ihr eigenes Wörterbuch zu erstellen, um in Ihrem Unternehmen gebräuchliche Worte abzulehnen, oder Breached Password Protection zu nutzen, um die Verwendung von mehr als 3 Milliarden kompromittierten Kennworten zu verhindern.

NIST-Regeln
Regel Wert
Mindestlänge 8
Ablehnung von Kennwörtern aus dem Wörterbuch* Ja
Ablehnung von kompromittierten Kennwörtern** Ja
Ablehnung von inkrementellen Kennwörtern* Ja

PCI V4

Beschreibung

Die Payment Card Industry Data Security Standards (PCI DSS) sind eine Reihe von Standards und Richtlinien für Unternehmen, die die Verwaltung und Sicherung von mit Kreditkarten zusammenhängenden personenbezogenen Daten regeln. Es handelt sich um einen globalen Standard, der von den größten Kreditkartenunternehmen – Visa, Mastercard und American – zusammengestellt wurde, um Kreditkartendaten vor Diebstahl zu schützen.

Die Empfehlungen von PCI-DSS konzentrieren sich vor allem auf den Aufbau von Kennwörtern und können mit einem externen Kennwortrichtlinientool wie Specops Password Policy mühelos umgesetzt werden.

Wenn Sie sich vor modernen Kennwortangriffen schützen möchten, können Sie das benutzerdefinierte Wörterbuch von Specops Password Policy nutzen, um die Verwendung von in Ihrem Unternehmen gebräuchlichen Kennworten zu verhindern. Mit Specops Breached Password Protection können Sie die Verwendung von mehr als 3 Milliarden kompromittierten Kennwörtern ablehnen.

PCI-Regeln
Regel Wert
Mindestlänge 7
Maximales Alter 90 Tage
Verwendung von Passphrasen* Ja
Kennwortverlauf 4
Komplexität Ziffern, Kleinbuchstaben

CJIS

Beschreibung

Die Abteilung Criminal Justice Information Services (CJIS) des US Federal Bureau of Investigation (FBI) gewährt staatlichen, lokalen und nationalen Strafvervollgungs- und Justizbehörden Zugriff auf Strafverfolgungsdaten – wie etwa Fingerabdrücke und Vorstrafen.

Strafvervolgungsbehörden und andere staatliche Stellen in den Vereinigten Staaten müssen sicherstellen, dass sie bei der Nutzung von Cloud-Diensten zur Übertragung, Speicherung oder Verarbeitung von Strafverfolgungsdaten die CJIS-Sicherheitsrichtlinie einhalten, die Mindestsicherheitsvorgaben und Kontrollen zum Schutz dieser Daten vorgibt.

Die CJIS-Sicherheitsrichtlinie beinhaltet zwei Arten von Kennwortstandards – Basis und Erweitert. Der Bericht zeigt auf, inwieweit die Kennwortrichtlinien dem Basis-Standard entsprechen.

CJIS-Regeln
Regel Wert
Mindestlänge 8
Mindestalter 90 Tage
Ablehnung von Kennwörtern aus dem Wörterbuch* Ja
Ablehnung von kompromittierten Kennwörtern** Ja
Kennwortverlauf 10
Ablehnung von inkrementellen Kennwörtern* Ja

HITRUST

Beschreibung

Der Health Information Trust (HITRUST) ist ein Rahmenwerk, das eine Möglichkeit bietet, den oftmals vagen Standards zu genügen, die für die Gesundheitsbranche in den USA gelten, wie etwa dem Health Insurance Portability and Accountability Act (HIPAA).

HITRUST-Regeln
Regel Wert
Mindestlänge 8
Maximales Alter 90 Tage
Ablehnung von Kennwörtern aus dem Wörterbuch* Ja
Ablehnung von kompromittierten Kennwörtern** Ja
Kennwortverlauf 4
Ablehnung von inkrementellen Kennwörtern* Ja
Komplexität 2 aus Ziffer, Kleinbuchstabe, Sonderzeichen

NCSC

Beschreibung

Das National Cyber Security Centre (NCSC) ist eine Organisation der britischen Regierung, deren bewährtes Akkreditierungssystem, Cyber Essentials, eine standardisierte Basis für Cybersicherheitsrichtlinien, Kontrollen und Technologien bietet.

Bei einem Hauptschwerpunkt auf einem für Anwender vereinfachten Prozess zur Kennworterstellung und dem Verschieben der Verantwortung zur Erstellung von starken Passwörtern auf Authentifizierungssysteme sind vor allem die Durchsetzung von Wörterbüchern und die Förderung der Nutzung von Passphrasen wichtige Komponenten des UK-Standards.

Specops Password Policy gibt Ihnen die Möglichkeit, Ihr eigenes Wörterbuch zu erstellen, um in Ihrem Unternehmen gebräuchliche Worte abzulehnen, oder Breached Password Protection zu nutzen, um die Verwendung von mehr als 3 Milliarden kompromittierten Kennworten zu verhindern.

NCSC-Regeln
Regel Wert
Mindestlänge 8
Verwendung von Passphrasen* Ja
Ablehnung von Kennwörtern aus dem Wörterbuch* Ja
Ablehnung von verletzten Kennworten** Ja

BSI

Beschreibung

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine Behörde, die für die IT-Sicherheit der deutschen Bundesregierung zuständig ist.

Darüber hinaus fungiert das BSI auch als zentrale Zertifizierungsstelle für IT-Systeme. Das bedeutet, dass alle IT-Produkte oder IT-Systeme, die von der Bundesregierung verwendet werden sollen, den Sicherheitsstandards des BSI entsprechen müssen.

BSI-Regeln
Regel Wert
Mindestlänge 8
Ablehnung von Kennwörtern aus dem Wörterbuch* Ja
Ablehnung von kompromittierten Kennwörtern** Ja
Kennwortverlauf 4
Komplexität 2 aus Ziffer, Kleinbuchstabe, Sonderzeichen Großbuchstabe

ANSSI

Beschreibung

Die Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) ist Frankreichs nationale Behörde zur Unterstützung und Absicherung der Entwicklung digitaler Technologie.

Zu den Sicherheitsstandards der ANSSI gehören verschiedene Kennwortempfehlungen, wie eine Überprüfung anhand einer Liste bekanntermaßen kompromittierter Kennwörter und die Anregung zur Nutzung von Passphrasen.

ANSSI-Regeln
Regel Wert
Mindestlänge 15
Verwendung von Passphrasen* Ja
Ablehnung von Kennwörtern aus dem Wörterbuch* Ja
Ablehnung von kompromittierten Kennwörtern** Ja
Kennwortverlauf 4
Komplexität 3 aus Ziffer, Kleinbuchstabe, Sonderzeichen Großbuchstabe

CNIL

Beschreibung

Pauschale Vorschriften, wie etwa die Datenschutzgrundverordnung (DSGVO), haben den Datenschutz für globale Unternehmen zur Priorität gemacht. Gleichzeitig dringen weiterhin auch andere Aufsichtsbehörden auf die Umsetzung lokaler Datenschutzgesetze. In Frankreich etwa ist die zuständige Datenschutzbehörde die Commission nationale de l’informatique et des libertés (CNIL).

Die CNIL gibt Cybersicherheitsleitlinien zur Erfassung, Speicherung und Verwendung personenbezogener Daten heraus. Natürlich spielt dabei auch die Sicherheit von Kennwörtern eine große Rolle.

CNIL-Regeln
Regel Wert
Mindestlänge 12
Ablehnung von kompromittierten Kennwörtern** Ja
Komplexität Ziffer, Kleinbuchstabe, Sonderzeichen Großbuchstabe