G 4.33 Schlechte oder fehlende Authentikation

Authentikationsmechanismen können zur Authentikation von Benutzern oder Komponenten oder zur Bestimmung des Datenursprungs eingesetzt werden. Wenn Authentikationsmechanismen fehlen oder zu schlecht sind, besteht die Gefahr, daß

• Unbefugte auf IT-Systeme oder Daten Zugriff nehmen können,
• die Verursacher von Problemen nicht identifiziert werden können oder
• die Herkunft von Daten nicht bestimmt werden kann.

Sicherheitslücken entstehen

• bei der Benutzerauthentikation, wenn z. B. Benutzer Paßwörter wählen, die einfach zu erraten sind, oder wenn sie die Paßwörter nie wechseln,
• bei der Komponentenauthentikation, wenn z. B. nach Inbetriebnahme eines IT-Systems Default- Paßwörter nicht durch individuell gewählte ersetzt werden, wenn die Paßwörter, die bei vielen IT-Systemen fest eingegeben werden, nie wieder geändert werden oder wenn die Paßwörter nicht sicher hinterlegt werden und sich nach einem Systemabsturz herausstellt, daß das jetzt dringend benötigte Paßwort vergessen wurde,
• bei der Wahl der Verfahren, wenn diese z. B. völlig untauglich sind oder Sicherheitslücken bekannt werden, auf die im laufenden Betrieb aber nicht reagiert wird.

© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000