Richtlinie für sichere Kommunikation und Multi-Faktor-Authentifizierung

Die Richtlinie für sichere Kommunikation und Multi-Faktor-Authentifizierung (MFA) legt umfassende Kontrollen fest, um die Kommunikation der Organisation und den Benutzerzugriff abzusichern, und richtet sich nach strengen regulatorischen und Branchenstandards. Ihr Hauptzweck ist es, die Vertraulichkeit und Integrität von Informationen zu gewährleisten, die über alle Kommunikationskanäle übertragen werden, einschließlich Sprache, Video, Text und Notfallsysteme, indem fortgeschrittene Authentifizierungsprozesse gemäß NIS2 Artikel 21(2)(j) vorgeschrieben werden. Die Richtlinie gilt für alle Mitarbeiter und Auftragnehmer sowie externe Parteien und schreibt die ausschließliche Nutzung von von der Organisation zugelassenen und verschlüsselten Kommunikationsmitteln für sensible oder betriebliche Informationen vor. Diese Anforderungen werden auf Notfallbenachrichtigungssysteme ausgeweitet, sodass die Kommunikation auch während Krisen sicher, resilient und verfügbar bleibt. Notfallreaktionskoordinatoren erhalten eine direkte Rolle sowohl bei den regelmäßigen Tests dieser Systeme als auch bei der Schulung des Personals für deren ordnungsgemäße und sichere Nutzung. Ein zentrales Ziel der Richtlinie ist die Durchsetzung von Multi-Faktor-Authentifizierung für jeden Netzwerk- und Systemzugriff, insbesondere für privilegierte und Fernzugriff-Konten. Inhaber privilegierter Konten müssen separate eindeutige Zugangsdaten verwenden, die stets Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung erzwingen, und jede Rechteerweiterung ist strikt zeitlich begrenzt und wird überwacht. Sollten technische Einschränkungen die sofortige Umsetzung von Multi-Faktor-Authentifizierung oder Verschlüsselung verhindern, etwa durch Einschränkungen von Legacy-Systemen oder betriebliche Ausfälle, sind kompensierende Kontrollen wie eine erhöhte Systemüberwachung oder temporäre Zugriffsbeschränkungen erforderlich; alle Ausnahmen müssen formell vom Chief Information Security Officer (CISO) genehmigt werden und unterliegen einer vierteljährlichen Überprüfung. Die Richtlinie schreibt außerdem strenge Sensibilisierungsprogramme und Schulungen für alle Benutzer vor, sowohl beim Onboarding als auch jährlich danach. Diese Sitzungen, mit verstärktem Fokus für hochprivilegierte Benutzer wie Administratoren und Führungskräfte, stellen sicher, dass Mitarbeitende sichere von unsicheren Kanälen unterscheiden können, Phishing-Angriffe und Social Engineering verstehen und sichere Kommunikationsmittel korrekt nutzen. Über das Onboarding hinaus wird gezielte Schulung für Benutzer mit erhöhtem Risikoniveau bereitgestellt, mit Fokus auf fortgeschrittene Authentifizierungsmethoden und die besonderen Risiken im Zusammenhang mit Notfallkommunikation. Zur Sicherstellung der fortlaufenden Einhaltung werden kontinuierliche Überwachung der Einhaltung und jährliche Audits aller Authentifizierungs- und Kommunikationssysteme durchgeführt. Jeder Benutzer, der versucht, Richtlinien zu umgehen oder nicht autorisierte bzw. ungesicherte Kommunikationsmethoden zu verwenden, muss mit Disziplinarmaßnahmen rechnen, einschließlich einer möglichen Beendigung. IT- und Informationssicherheitsteams tragen die Verantwortung für die Überwachung von Protokollen und die Durchsetzung sicherer Standardkonfigurationen, während Auditprozesse die kontinuierliche Ausrichtung an Richtlinienpflichten und regulatorische Verpflichtungen verifizieren. Diese Richtlinie liefert damit einen mehrschichtigen, umfassenden Ansatz zum Schutz der Informations-Assets der Organisation, indem Kontrollen für sichere Kommunikation und Zugriffs-Authentifizierung eng integriert werden, in vollständiger Ausrichtung mit Vorgaben wie NIS2, ISO/IEC 27001:2022 und zugehörigen Rahmenwerken.