2 Comments

  1. kryzmak

    Danke! Es ist immer wieder erstaunlich, dass manche Menschen nicht zum logischen Denken in der Lage sind oder man als IT’ler nicht gegen die Anweisung „von oben“ verstoßen möchte. Es ist mittlerweile ein offenes Geheimnis, dass in 99% der Fälle nur das jeweilige Passwort iteriert wird. Warum das nicht in den Köpfen ankommen will, ist mir wiederum nicht begreiflich.

  2. nira

    Tatsächlich gibt weder die ISO 27002 noch die zertifizierbare 27001 diesen ( – Entschuldigung… -) Blödsinn der regelmäßigen Passwortänderung als Verpflichtung vor. Die ISO 27002 nennt Sicherheitsziele und gibt Anmerkungen zu einer möglichen Umsetzung. Im Rahmen einer ISO 27001-Zertifizierung ist erstmal überhaupt zu prüfen, ob das Sicherheitsziel relevant ist. Da sich das Ziel nicht explizit auf Passwörter bezieht sondern auf Autorisierung allgemein, wird man es schwerlich als „nicht anwendbar“ deklarieren können. Aber selbst wenn ein Sicherheitsziel relevant ist, sind die konkreten Umsetzungshinweise der 27002 nur genau dies – Hinweise. Die Stärke der ISO 27001/2 liegt genau darin, dass nicht unsinnig irgendeine Standard-Maßnahme implementiert werden muss, sondern darin, dass jedes Unternehmen anhand einer Betrachtung seiner Risiken entscheiden muss, welche Maßnahmen hier sinnvoll sind. Sicherlich achten Auditoren auch darauf, ob Unternehmen diese Hinweise beachtet haben oder ob maßgebliche Sicherheitsmaßnahmen schlicht „vergessen“ wurden, aber das bedeutet überhaupt nicht, dass die Hinweise zur Umsetzung in irgendeiner Art verpflichtend sind. Wer da immer nur an „ist ja so üblich“ denkt, hat schlicht den Sinn der Risikobetrachtung nicht ganz erfasst und blendet aus, dass es nicht nur „das“ Standard-Unternehmen gibt und dass Nutzung / die Nutzer von Passwörtern sich durchaus stark unterscheiden können in unterschiedlichen Unternehmen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.