Wie Passwortverwaltung Unternehmen dabei hilft, die ISO-27001-Zertifizierung zu erreichen

Aktualisierung: Seit März 2025 ist Bitwarden nach ISO 27001 zertifiziert und erfüllt die ISO-27001-Kontrollmaßnahmen im Bereich Datensicherheit.

ISO 27001, eine internationale Norm, bildet die Grundlage für die Erstellung, Pflege und Weiterentwicklung von Informationssicherheits-Managementsystemen (ISMS), einschließlich Datenmanagement. Unternehmen, die ISO-27001-Compliance oder -Zertifizierung erreichen möchten, sollten erwägen, ISO-27001-Passwortverwaltung in ihr Toolset aufzunehmen.

Die International Organization for Standardization (ISO) entwickelt und veröffentlicht als globale Organisation weltweit technische, industrielle und kommerzielle Standards. Die zuletzt im Oktober 2022 aktualisierte ISO 27001-Norm für ISMS bietet einen Rahmen für Datensicherheit, der aus 93 Kontrollmaßnahmen besteht. Um die ISO-27001-Zertifizierung zu erreichen, müssen Unternehmen die Einhaltung aller dieser Maßnahmen nachweisen.

Um als ISO-27001-Unternehmen zertifiziert zu werden, müssen Sie 93 Kontrollmaßnahmen erfüllen.

Der ISO-27001-Zertifizierungsprozess besteht aus einem Audit, das von unabhängigen Zertifizierungsstellen durchgeführt wird, die die Richtlinien und Verfahren eines Unternehmens zur Datensicherheit sowie deren Anwendung überprüfen. Der Prozess kann langwierig sein, aber das Bestehen eines ISO-27001-Zertifizierungsaudits zeigt, dass Ihr Unternehmen eine Sicherheitsrisikobewertung durchgeführt hat, um potenzielle Bedrohungen zu identifizieren, und Sicherheitskontrollen eingeführt hat, um sich vor Datenschutzverletzungen zu schützen.

Die ISO-27001-Zertifizierung verschafft Organisationen einen Wettbewerbsvorteil bei der Gewinnung und Bindung von Kunden, da die Zertifizierung robuste Kontrollen der Informationssicherheit nachweist. Die Zertifizierung kann auch Lieferanten und andere Stakeholder gewinnen und binden, denen wichtig ist, wie ihre Informationen verwaltet und geschützt werden.

Schon die Vorbereitung auf den Auditprozess kann bestehende ISO-27001-Richtlinien stärken und interne Systeme, Strukturen sowie alltägliche Geschäftsprozesse verbessern. Der Risikomanagementprozess kann Organisationen außerdem dabei helfen, Datenschutzgesetze wie CCPA und DSGVO besser einzuhalten und Bußgelder wegen Nichteinhaltung oder Reputationsverluste aufgrund einer vermeidbaren Datenschutzverletzung zu vermeiden.

Die 93 Kontrollmaßnahmen sind in Anhang A enthalten und fallen unter 4 übergeordnete Themenbereiche. Um die ISO-27001-Zertifizierung zu erreichen, müssen Unternehmen die Einhaltung dieser Kontrollen nachweisen. Die Kategorien sind:

• Organisatorische Kontrollen (37 Kontrollen)

• Personenbezogene Kontrollen (8 Kontrollen)

• Physische Kontrollen (14 Kontrollen)

• Technologische Kontrollen (34 Kontrollen)

Die vorherige Version von ISO enthielt 114 Kontrollen, die in 14 Kategorien unterteilt waren. Diese Version enthielt auch Formulierungen zur Regelung sicherer Anmelde- und Passwortverwaltungssysteme. 

Die Kontrolle für sichere Anmeldung legte fest: „Der Zugriff auf Systeme und Anwendungen sollte, wenn von der Zugriffskontrollrichtlinie gefordert, durch ein sicheres Anmeldeverfahren kontrolliert werden.“ Mit einem Passwort-Manager profitieren Benutzer davon, Zugangsdaten um eine zusätzliche Sicherheitsebene zu ergänzen und einen zentralen Ort zu haben, um Zwei-Faktor-Authentifizierung für alle Websites zu verwalten und zu integrieren, die sie unterstützen. 

Die Kontrolle für Passwortverwaltungssysteme besagte: „Passwortverwaltungssysteme müssen kooperativ sein, um die Qualität von Passwörtern sicherzustellen.“ ISO empfiehlt die Verwendung eines Passwort-Managers der es Benutzern ermöglicht, starke und eindeutige Passwörter zu erstellen, und sichere Freigabefunktionen für die Zusammenarbeit bietet.

Passwort-Manager sorgen für Passwortstärke, erzwingen 2FA und verwenden Ereignisprotokolle zur Überwachung der Benutzeraktivität – alles Funktionen, die Unternehmen erfüllen müssen, um die ISO-Anforderungen an Zugriffskontrolle, Schutz personenbezogener Daten und Endpunktschutz zu erfüllen.

Die neueste Version von ISO 27001 behandelt Passwortverwaltung in Anhang A 5.17. Es gibt viele weitere Anforderungen aus Anhang A, die durch die Einführung eines Passwort-Managers erfüllt oder unterstützt werden können. Die folgenden Beispiele sind nicht vollständig:

• Anhang A 5.3, Funktionstrennung: Widersprüchliche Aufgaben und widersprüchliche Verantwortungsbereiche müssen getrennt werden.

• Anhang A 5.14, Informationsübertragung: Für alle Arten von Übertragungseinrichtungen innerhalb der Organisation sowie zwischen der Organisation und anderen Parteien müssen Regeln, Verfahren oder Vereinbarungen zur Informationsübertragung vorhanden sein.

• Anhang A 5.15, Zugriffskontrolle: Regeln zur Kontrolle des physischen und logischen Zugriffs auf Informationen und andere damit verbundene Assets müssen auf Grundlage geschäftlicher Anforderungen und Anforderungen der Informationssicherheit festgelegt und umgesetzt werden.

• Anhang A 5.16, Identitätsmanagement: Der gesamte Lebenszyklus von Identitäten muss verwaltet werden.

• Anhang A 5.17, Authentifizierungsinformationen: Die Zuweisung und Verwaltung von Authentifizierungsinformationen muss durch einen Managementprozess kontrolliert werden, einschließlich der Beratung des Personals zum bewährten Umgang mit Authentifizierungsinformationen.

  • Ein ausführliche Einführung zu diesem Kriterium enthält Passwortempfehlungen mit Hinweisen zur Verwaltung von Passwörtern, einschließlich der Möglichkeit, sichere Passwörter zu erstellen. Darüber hinaus empfiehlt das Ziel Organisationen, schwache, weit verbreitete oder kompromittierte Zugangsdaten zu vermeiden.

Angesichts dieses Kriteriums sollten Organisationen idealerweise ein Passwortverwaltungssystem einsetzen, mit dem sie Berichte und umsetzbare Erkenntnisse zu kompromittierten, wiederverwendeten, schwachen oder potenziell kompromittierten Passwörtern erhalten können.

• Anhang A 5.34, Datenschutz und Schutz personenbezogener identifizierbarer Informationen (PII): Die Organisation muss die Anforderungen zur Wahrung der Privatsphäre und zum Schutz von PII gemäß geltenden Gesetzen und Vorschriften sowie vertraglichen Anforderungen ermitteln und erfüllen.

• Anhang A 8.1, Endgeräte von Benutzern: Informationen, die auf Endgeräten von Benutzern gespeichert, von ihnen verarbeitet oder über sie zugänglich sind, müssen geschützt werden.

• Anhang A 8.4, Zugriff auf Quellcode: Lese- und Schreibzugriff auf Quellcode, Entwicklungswerkzeuge und Softwarebibliotheken muss angemessen verwaltet werden.

• Anhang A 8.5, Sichere Authentifizierung: Sichere Authentifizierungstechnologien und -verfahren müssen auf Grundlage von Informationszugriffsbeschränkungen und der themenspezifischen Richtlinie zur Zugriffskontrolle implementiert werden.

  • Dieses Ziel konzentriert sich auf die Verwendung von Multi-Faktor-Authentifizierung für die sichere Anmeldung bei Systemen. Mit einem Passwort-Manager profitieren Benutzer davon, Zugangsdaten um eine weitere Sicherheitsebene zu ergänzen, und haben außerdem einen zentralen Ort, um Zwei-Faktor-Authentifizierung (2FA) für alle Websites, die sie unterstützen, zu verwalten und zu integrieren. Das Ziel hebt außerdem hervor, dass Passwörter jederzeit vertraulich bleiben sollten, was klar für einen vollständig verschlüsselten Passwort-Tresor spricht.

Passwortverwaltungssysteme ermöglichen es Organisationen, Einträge in ihren Tresoren mit inaktiver 2FA zu identifizieren.

• Anhang A 8.11, Datenmaskierung: Datenmaskierung muss in Übereinstimmung mit der themenspezifischen Richtlinie der Organisation zur Zugriffskontrolle und anderen damit verbundenen themenspezifischen Richtlinien sowie geschäftlichen Anforderungen unter Berücksichtigung geltender Gesetze eingesetzt werden.

• Anhang A 8.12, Datenabfluss: Maßnahmen zur Verhinderung von Datenabfluss müssen auf Systeme, Netzwerke und alle anderen Geräte angewendet werden, die sensible Informationen verarbeiten, speichern oder übertragen.

Ein Passwortverwaltungssystem unterstützt die zahlreichen oben aufgeführten Anforderungen aus Anhang A sowie viele der Anforderungen, die in den allgemeinen Kontrollsätzen enthalten sind. 

Benutzer können Authentifizierungsinformationen geheim halten, Best Practices für Passwörter anwenden, wie etwa starke, eindeutige Passwörter zu generieren, und Passwörter sicher teilen – mit einem Passwort-Manager, der sensible Informationen durch Ende-zu-Ende-Verschlüsselung schützt. Indem eingeschränkt wird, wer bestimmte sensible oder kritische Informationen sehen kann, helfen Passwort-Manager außerdem dabei, Aufgaben zu trennen und Insider-Bedrohungen zu begrenzen.

Organisationen, die Passwort-Manager verwenden, legen Anforderungen an die Passwortstärke fest, erzwingen Zwei-Faktor-Authentifizierung (2FA) und nutzen Ereignisprotokolle, um Benutzeraktivitäten zu überwachen – alles Funktionen, die Unternehmen benötigen, um die ISO-Anforderungen an Zugriffskontrolle, Schutz von PII und Endgeräteschutz zu erfüllen. Die meisten seriösen Passwort-Manager erleichtern außerdem die SSO-Integration und stellen Administratoren die Werkzeuge bereit, die sie benötigen, um den Zugriff und den Authentifizierungsprozess zu verwalten. Diese Funktion hilft dabei, die ISO-Anforderung an sichere Authentifizierung zu erfüllen.

Bei der Bewertung von Passwort-Managern zur Unterstützung der ISO-27001-Zertifizierung sollten Organisationen prüfen, ob die Software unternehmenstaugliche Sicherheits- und Compliance-Standards erfüllt, wie etwa SOC2-Type-2-Compliance, DSGVO-Compliance, das Data Privacy Framework und HIPAA. Unternehmen sollten eine Lösung wählen, die Ende-zu-Ende-Zero-Knowledge-Verschlüsselung bietet.