KONF.11.3 — Alternative Authentifizierung
KANN
Security level: erhöht
Effort 5
BSI-Stand-der-Technik-Kernel
Statement (Anforderung)
Konfiguration für Anwendungen KANN ein ebenso vertrauenswürdiges, alternatives Verfahren zur Authentifizierung aktivieren.
Guidance (Erläuterung)
Wenn Nutzende ihren Primärzugang (z.B. Passwort, Smartphone mit Authentifizierungs-App) nicht mehr haben, wird eine alternative Möglichkeit zur Authentifizierung benötigt. Damit dieser Alternativzugang den Schutz der Primärmethode nicht aushebelt, ist eine vergleichbare Zuverlässigkeit der Authentifizierung erforderlich. Lösungsmöglichkeiten je nach Schutzbedarf sind z.B. (1) ein Einmalpasswort, dass an die hinterlegte E-Mailadresse versendet wird, (2) die persönliche Vorstellung mit Ausweis, (3) die Verifikation über bestehende Sitzungen, (4) Rückfallantworten wie Sicherheitsfragen oder PUK.
Tags:
Produktbeschreibung
Statement properties
| Name | Value |
|---|---|
| target_object_categories | Anwendungen |
| documentation | Konfigurationshistorie |
| result | ein ebenso vertrauenswürdiges, alternatives Verfahren zur Authentifizierung |
| action_word | aktivieren |
| modal_verb | KANN |
Control properties
| Name | Value |
|---|---|
| alt-identifier | 7d8e0d79-751c-4afe-bbe5-124004f01577 |
| sec_level | erhöht |
| effort_level | 5 |
| tags | Produktbeschreibung |
Raw OSCAL JSON (complete control)
{
"class": "BSI-Stand-der-Technik-Kernel",
"id": "KONF.11.3",
"parts": [
{
"id": "KONF.11.3_stm",
"name": "statement",
"props": [
{
"name": "target_object_categories",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
"value": "Anwendungen"
},
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Konfigurationshistorie"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "ein ebenso vertrauenswürdiges, alternatives Verfahren zur Authentifizierung"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "aktivieren"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "KANN"
}
],
"prose": "Konfiguration für Anwendungen KANN ein ebenso vertrauenswürdiges, alternatives Verfahren zur Authentifizierung aktivieren."
},
{
"id": "KONF.11.3_gdn",
"name": "guidance",
"prose": "Wenn Nutzende ihren Primärzugang (z.B. Passwort, Smartphone mit Authentifizierungs-App) nicht mehr haben, wird eine alternative Möglichkeit zur Authentifizierung benötigt. Damit dieser Alternativzugang den Schutz der Primärmethode nicht aushebelt, ist eine vergleichbare Zuverlässigkeit der Authentifizierung erforderlich. Lösungsmöglichkeiten je nach Schutzbedarf sind z.B. (1) ein Einmalpasswort, dass an die hinterlegte E-Mailadresse versendet wird, (2) die persönliche Vorstellung mit Ausweis, (3) die Verifikation über bestehende Sitzungen, (4) Rückfallantworten wie Sicherheitsfragen oder PUK."
}
],
"props": [
{
"name": "alt-identifier",
"value": "7d8e0d79-751c-4afe-bbe5-124004f01577"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "erhöht"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "5"
},
{
"name": "tags",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
"value": "Produktbeschreibung"
}
],
"title": "Alternative Authentifizierung"
}