Shao-Lee 11 Geschrieben 24. April 2020 Autor Melden Teilen Geschrieben 24. April 2020 vor 21 Minuten schrieb NorbertFe: Da steht aber nix von Wechseln der Kennworte, oder hab ich das überlesen? War auch erstaunt und freue mich, dass der Versicherungsanbieter hier offensichtlich zeitgemäß unterwegs ist Zitieren Link zu diesem Kommentar
testperson 1.527 Geschrieben 24. April 2020 Melden Teilen Geschrieben 24. April 2020 OT: Da Versicherungen im Allgemeinen ja keine barmherzigen Samariter sind, würde ich alleine aus dem Zitierten genügend Gründe lesen, dass in den meisten Fällen nicht reguliert wird. :) Ein Blick in die Policen würde vermutlich weitaus mehr Gründe liefern. Wenn ich die Beiträge, die bei unseren Kunden aufgerufen wurden, noch richtig im Kopf habe, bleibt da auch nicht viel anderes übrig. Bei einem Kunden musste ein von der Versicherung zertifizierter Dienstleister sogar rauskommen und mit dem ITler bzw. uns als IT-DL das System prüfen und abnehmen. Was dann geschah, nennt man in Köln "Klüngel" und beinhaltete eine wunderschöne Werbeveranstaltung. ;) BTT: Für die Home-Office-Kennwort-Wechsel-Problematik: Auf regelmäßige Änderungen des Kennwortes verzichten. :) Zitieren Link zu diesem Kommentar
noobi 4 Geschrieben 24. April 2020 Melden Teilen Geschrieben 24. April 2020 vor 43 Minuten schrieb NorbertFe: Da steht aber nix von Wechseln der Kennworte, oder hab ich das überlesen? Ui, schande über mein Haupt... Ich kann mich noch gut an das Gespräch mit dem Versicherungsmakler erinnern, als wir die Voraussetzungen besprochen hatten. Da hieß es wir benötigen komplexe Passwörter, die alle 90 Tage geändert werden müssen... vor 9 Minuten schrieb testperson: Bei einem Kunden musste ein von der Versicherung zertifizierter Dienstleister sogar rauskommen und mit dem ITler bzw. uns als IT-DL das System prüfen und abnehmen. Das war bei uns nicht so krass. Die Versicherung forderte nur eine Dokumentation, in der wir erklären wie wir die Anforderungen erfüllen. (Passwörter X Zeichen, mit Zahlen und Sonderzeichen, Backup Wiederherstellungstest, usw. Zitieren Link zu diesem Kommentar
Shao-Lee 11 Geschrieben 24. April 2020 Autor Melden Teilen Geschrieben 24. April 2020 (bearbeitet) Am 23.4.2020 um 00:54 schrieb CoNtAcT2000: Ich halte das Thema für ne zweischneidige Sache. Arbeite im ÖD und wenn wir es den DAU´s überlassen würden, wann sie mal das Passwort wechseln .... Das sehe ich im Grunde ganz ähnlich. Um nochmals allgemein auf das Thema einzugehen / ein Zwischen-Fazit zu ziehen: Viele haben (wie wir eben auch) ja recht unterschiedliche Bereiche an ihrer Gesamtstruktur angebunden. Passwörter mit Ablaufdatum sind ja an sich nicht schlecht - und ich würde auch nicht in allen unseren angebundenen Bereichen eine regelmäßige Änderung der Kennwörter aussetzen wollen. Auf der anderen Seite gibt es Bereiche, die sind vom Mitarbeiterstamm und ihren Funktionen sehr stabil - dort ist solch eine Richtlinie sicherlich nicht mehr zeitgemäß. Man merkt das ja irgendwo selber, wenn man anfängt, User-bezogene Ausnahmen zu setzen / setzen zu müssen. Der goldene Mittelweg zur generellen Aussetzung der Passworterneuerung wäre vermutlich, die unterschiedlichen Bereiche zu "kategorisieren" / zu bewerten... ... die Komplexitätsanforderungen dafür grundsätzlich nach oben zu setzen und all die Bereiche, wo man auf eine Kennworterneuerung Wert legt, die Ablaufzeit ggf. etwas großzügiger auslegt. Schlussendlich entscheiden wir das bei der IT nicht alleine, sondern immer zusammen mit der Geschäftsführung / dem Datenschutzbeauftragten. Und ich hab' ja nächste Woche Urlaub, um mir da mal was zu überlegen... Soweit nochmals von meiner Seite. bearbeitet 24. April 2020 von Shao-Lee Zitieren Link zu diesem Kommentar
noobi 4 Geschrieben 24. April 2020 Melden Teilen Geschrieben 24. April 2020 Das hat mir jetzt keine Ruhe gelassen, habe mal eben den Vertreter angerufen... Wir haben die Versicherung im Juni 2019 abgeschlossen, damals galten 90 Tage, danach wurde bei neuen Verträgen sogar auf 60 Tage angepasst. Seid diesem Jahr ist diese Richtlinie aber komplett abgeschafft worden... 1 Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 24. April 2020 Melden Teilen Geschrieben 24. April 2020 (bearbeitet) Das große Problem insbesondere beim Umgang mit Passwörtern ist das nicht Einhalten dieser BSI Vorgabe aus ORP.4.A8 [Benutzer, IT-Betrieb] (B): Passwörter DÜRFEN NICHT mehrfach verwendet werden. Für jedes IT-System bzw. jede Anwendung MUSS ein eigenständiges Passwort verwendet werden. Gerade Administratoren verwenden ein und dasselbe Passwort zum Surfen, Email-Lesen und für den administrativen Zugriff auf 100 Server und Applikationen. Ob dieses PW 12 oder 15 Zeichen, 60 oder 6000 Tage Lebensdauer hat, spielt für die Sicherheit eine untergeordnete Rolle. bearbeitet 24. April 2020 von SandyB Zitieren Link zu diesem Kommentar
magheinz 100 Geschrieben 24. April 2020 Melden Teilen Geschrieben 24. April 2020 Das Problem ist, man kann diese Vorgabe schlecht technisch durchsetzen und Vorgaben die man nicht durchsetzen kann sind wertlos. Ich bin da ja ein Freund von LDAP oder sonstigen zentralisierten Benutzerverwaltungen. Auch für die Infrastruktur Zitieren Link zu diesem Kommentar
SandyB 9 Geschrieben 24. April 2020 Melden Teilen Geschrieben 24. April 2020 Das stimmt so nicht. IAM/PAM Lösungen sind weit verbreitet. https://www.kuppingercole.com/report/lc79014 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.