SENS.7.20 — Authentifzierung von Gesprächspartnern
Sensibilisierung für Nutzende von Informationen SOLLTE zur Authentifizierung von Gesprächspartnern vor der Weitergabe von Informationen sensibilisieren.
Die Authentifizierung von Gesprächspartnern ist die verlässliche Verifikation der Identität einer Person, bevor vertrauliche oder schützenswerte Informationen mündlich, telefonisch oder über andere elektronische Kommunikationsmittel weitergegeben werden. Dazu gehört es insbesondere sicherzustellen, dass die anfragende Person tatsächlich diejenige ist, für die sie sich ausgibt („authentication of interlocutors“). Ziel ist es zu verhindern, dass unberechtigte Dritte durch Täuschung an vertrauliche Inhalte gelangen. Ohne diese Überprüfung könnten Angriffe wie Social Engineering, CEO-Fraud oder Phishing erfolgreich sein – ein Angreifer könnte sich z. B. am Telefon als interner Kollege, vertrauter Dienstleister oder sogar als Behördenvertreter ausgeben, um Zugang zu Kundenlisten, Zugangsdaten oder Projektplänen zu erhalten. Dies gilt insbesondere am Telefon, aber auch in persönlichen Gesprächen mit Unbekannten. Sinnvoll ist es, hierzu ein einheitliches Verfahren zu etablieren, bei dem vor Auskunftserteilung anfragende Personen durch gezielte Rückfragen oder Vergleich mit bekannten Kontaktdaten überprüft werden. Beispiele können sein: (1) Rückruf unter der im internen Verzeichnis hinterlegten Telefonnummer, (2) Abgleich spezifischer interner Referenzen oder Codes, (3) Nachfrage nach Details, die nur legitim Berechtigte kennen können (z.B. Aktenzeichen), oder (4) die Nutzung anderer sicherer Kommunikationskanäle, die bereits für die jeweilige Person verifiziert wurden.
| Name | Value |
|---|---|
| target_object_categories | Nutzende, Informationen |
| documentation | Arbeitsanweisung |
| result | zur Authentifizierung von Gesprächspartnern vor der Weitergabe von Informationen |
| action_word | sensibilisieren |
| modal_verb | SOLLTE |
| Name | Value |
|---|---|
| alt-identifier | 820687b2-4447-455d-9c9f-236c7333db82 |
| sec_level | normal-SdT |
| effort_level | 1 |
| tags | Advanced Persistent Threats (APT) |
{
"class": "BSI-Stand-der-Technik-Kernel",
"id": "SENS.7.20",
"parts": [
{
"id": "SENS.7.20_stm",
"name": "statement",
"props": [
{
"name": "target_object_categories",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
"value": "Nutzende, Informationen"
},
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Arbeitsanweisung"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "zur Authentifizierung von Gesprächspartnern vor der Weitergabe von Informationen"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "sensibilisieren"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "SOLLTE"
}
],
"prose": "Sensibilisierung für Nutzende von Informationen SOLLTE zur Authentifizierung von Gesprächspartnern vor der Weitergabe von Informationen sensibilisieren."
},
{
"id": "SENS.7.20_gdn",
"name": "guidance",
"prose": "Die Authentifizierung von Gesprächspartnern ist die verlässliche Verifikation der Identität einer Person, bevor vertrauliche oder schützenswerte Informationen mündlich, telefonisch oder über andere elektronische Kommunikationsmittel weitergegeben werden. Dazu gehört es insbesondere sicherzustellen, dass die anfragende Person tatsächlich diejenige ist, für die sie sich ausgibt („authentication of interlocutors“). Ziel ist es zu verhindern, dass unberechtigte Dritte durch Täuschung an vertrauliche Inhalte gelangen. Ohne diese Überprüfung könnten Angriffe wie Social Engineering, CEO-Fraud oder Phishing erfolgreich sein – ein Angreifer könnte sich z. B. am Telefon als interner Kollege, vertrauter Dienstleister oder sogar als Behördenvertreter ausgeben, um Zugang zu Kundenlisten, Zugangsdaten oder Projektplänen zu erhalten. Dies gilt insbesondere am Telefon, aber auch in persönlichen Gesprächen mit Unbekannten. Sinnvoll ist es, hierzu ein einheitliches Verfahren zu etablieren, bei dem vor Auskunftserteilung anfragende Personen durch gezielte Rückfragen oder Vergleich mit bekannten Kontaktdaten überprüft werden. Beispiele können sein: (1) Rückruf unter der im internen Verzeichnis hinterlegten Telefonnummer, (2) Abgleich spezifischer interner Referenzen oder Codes, (3) Nachfrage nach Details, die nur legitim Berechtigte kennen können (z.B. Aktenzeichen), oder (4) die Nutzung anderer sicherer Kommunikationskanäle, die bereits für die jeweilige Person verifiziert wurden."
}
],
"props": [
{
"name": "alt-identifier",
"value": "820687b2-4447-455d-9c9f-236c7333db82"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "1"
},
{
"name": "tags",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
"value": "Advanced Persistent Threats (APT)"
}
],
"title": "Authentifzierung von Gesprächspartnern"
}