11. August 2025

ISO 27001: Sichere Authentifizierung richtig machen

Von Joachim Reinke

August 11, 2025

ISO 27001

Ein Login ist heute viel mehr als Benutzername plus Passwort.

Die ISO 27001 fordert explizit technisch sichere Anmeldeverfahren in der Anforderung A.8.5 - aber auch organisatorisch in den Anforderungen A.5.15, A.5.16 und A.5.17.

Wer Anwendungen, Dienste oder Admin-Zugänge sauber absichern will, muss sich überlegen, wie sich Nutzer zuverlässig anmelden, wie Angriffe erschwert werden und wie das Ganze trotzdem benutzbar bleibt. Genau daran scheitern viele Lösungen: technisch irgendwie sicher, aber im Alltag frustrierend zu benutzen. Oder bequem - aber zu leicht anzugreifen.

Die kurze Antwort

Ein gutes Anmeldeverfahren hat heute meistens diese Eigenschaften:

  • es verlässt sich nicht nur auf ein Passwort,
  • es nutzt starke oder möglichst phishing-resistente Faktoren,
  • es verrät bei Fehlern nicht unnötig viel,
  • es erkennt auffällige Login-Muster,
  • und es bietet sinnvolle Fallbacks, wenn ein Verfahren einmal nicht funktioniert.

Genau darin liegt der Unterschied zwischen "Login funktioniert irgendwie" und "Login ist wirklich sauber gebaut".

Passwort allein ist heute zu wenig

Dass reine Passwortlösungen für hochsensible Zugänge nicht mehr ausreichen, ist keine steile These mehr, sondern schlicht die praktische Realität. Passwörter können wiederverwendet, erraten, abgephisht oder aus Datenlecks missbraucht werden. Mehrstufige Verfahren sind deshalb der vernünftige Standard, und starke Varianten wie Sicherheitsschlüssel oder Passkeys sind klassischen schwächeren zweiten Faktoren inzwischen deutlich überlegen.

Für viele Anwendungen ist die richtige Denke deshalb nicht:

Brauchen wir MFA überhaupt?

Sondern eher:

Welche Form von MFA oder passwortloser Anmeldung passt hier wirklich?

Die beste Richtung: phishing-resistent statt nur "auch noch ein zweiter Faktor"

Nicht jede MFA ist gleich gut.

OTP per SMS oder einfache Push-Bestätigungen sind besser als gar nichts, aber sie sind nicht die stärkste Lösung. Für besonders sensible Zugänge sind heute phishing-resistente Verfahren die bessere Richtung. Dazu gehören vor allem Sicherheitsschlüssel und moderne passkey-basierte Anmeldungen. Passkeys ersetzen Passwörter durch kryptografische Schlüssel, sind phishing-resistent und verbessern oft sogar die Nutzererfahrung, weil sie schneller und fehlerärmer funktionieren.

Das ist der wichtige Punkt: Mehr Sicherheit muss nicht automatisch mehr Frust bedeuten.

Passkeys und Security Keys sind oft die bessere Antwort

Viele Unternehmen denken bei sicherem Login noch zuerst an Passwort plus App-Token. Das funktioniert, ist aber nicht immer die beste Endstufe.

Passkeys sind heute interessant, weil sie drei Dinge gleichzeitig verbessern können:

  • sie machen Passwortdiebstahl unattraktiver,
  • sie senken Phishing-Risiken,
  • und sie können den Login für Nutzer spürbar vereinfachen.

Für Admin-Zugänge oder andere besonders kritische Bereiche sind Hardware-Sicherheitsschlüssel oft weiterhin eine sehr starke Lösung. Für breitere Benutzergruppen können Passkeys eine sehr gute Richtung sein, wenn Plattform und Anwendungen das sauber unterstützen.

Gute Authentifizierung braucht immer einen Fallback

Biometrie funktioniert nicht immer. Geräte gehen verloren. Nutzer sitzen offline. Ein neues Gerät ist noch nicht eingerichtet. Genau deshalb braucht ein sauberes Anmeldeverfahren immer einen durchdachten Fallback.

Sinnvoll sind zum Beispiel:

  • Backup-Codes,
  • Offline-fähige Authenticator-Apps,
  • alternative starke Anmeldewege für Ausnahmefälle.

Schwächere Verfahren wie SMS sollte man nicht als Lieblingslösung bauen, sondern eher als Notnagel betrachten, wenn nichts Besseres praktikabel ist.

Gute Benutzerführung verrät Angreifern nicht zu viel

Ein häufiger Fehler steckt nicht in der Kryptografie, sondern in der Oberfläche.

Wenn ein Login klar sagt:

  • "Benutzer existiert nicht";
  • "Passwort falsch";
  • "Konto gesperrt";

dann hilft das nicht nur ehrlichen Nutzern, sondern oft auch Angreifern. Genau deshalb sollten Fehlermeldungen beim Login generisch bleiben. Eine Anwendung sollte bei fehlgeschlagenen Anmeldungen möglichst gleichförmig reagieren, statt Rückschlüsse auf Benutzername, Passwort oder Kontostatus zu erlauben. 

Ein sicherer Login muss auch Angriffe erkennen können

Es reicht nicht, den Zugang technisch stark zu machen. Sie müssen auch merken, wenn etwas auffällig läuft.

Sinnvoll ist deshalb:

  • erfolgreiche und fehlgeschlagene Logins protokollieren,
  • auffällige Muster erkennen,
  • bei ungewöhnlich vielen Fehlversuchen reagieren,
  • und sicherheitsrelevante Login-Ereignisse sichtbar machen.

Normale Nutzer und Admins sollten nicht gleich behandelt werden

Nicht jeder Zugang braucht dieselbe Regelung. Interne Standardanwendungen mit geringem Risiko dürfen benutzbar bleiben. Hochkritische Admin-Zugänge, Remote-Zugriffe oder besonders sensible Anwendungen sollten dagegen deutlich strenger abgesichert werden.

Das bedeutet in der Praxis:

  • für normale Nutzer eine starke, aber "reibungsarme" Anmeldung,
  • für privilegierte Konten höhere Anforderungen,
  • und für besonders kritische Systeme noch einmal strengere Leitplanken.

Genau diese risikobasierte Abstufung macht den Unterschied zwischen pragmatischer Sicherheit und blindem Gießkannenprinzip.

Sitzungen gehören mit zur sicheren Anmeldung

Login-Sicherheit endet nicht im Moment der Anmeldung.

Wenn Sitzungen endlos offen bleiben, schwächt das auch ein gutes Login. Deshalb sind je nach Risiko zusätzliche Schutzmechanismen sinnvoll, zum Beispiel:

  • automatische Abmeldung bei Inaktivität,
  • begrenzte Sitzungsdauer,
  • zusätzliche Prüfungen bei besonders sensiblen Aktionen,
  • oder Einschränkungen nach Standort, Zeitfenster oder Kontext.

Das muss nicht überall maximal streng sein. Aber es sollte bewusst entschieden werden und zum Risiko der jeweiligen Anwendung passen.

Der häufigste Fehler: Alles technisch denken, aber den Nutzer vergessen

Viele Anmeldeverfahren scheitern nicht daran, dass sie zu schwach sind, sondern daran, dass sie schlecht eingeführt werden.

Dann erleben Nutzer:

  • zu viele Medienbrüche,
  • unklare Fallbacks,
  • unnötige Sperren oder
  • verwirrende Fehlermeldungen.

Das Ergebnis ist dann meist vorhersehbar: Umgehung, Supportaufwand, Frust und am Ende wieder Sicherheitsausnahmen. Gute Authentifizierung ist deshalb immer auch gute Produktentscheidung und nicht nur Sicherheitsentscheidung. Dass Passkeys oft zugleich sicherer und schneller sein können, passt genau in diese Richtung.

FAQ

Unser Tipp

Sichere Anmeldung heißt heute nicht mehr einfach: Passwort und los geht's. Ein sauberes Anmeldeverfahren kombiniert starke Faktoren, gute Benutzerführung, sinnvolle Fallbacks, Login-Überwachung und eine klare Risikologik. Wenn das gut gemacht ist, wird der Zugang nicht nur sicherer, sondern oft auch angenehmer zu benutzen. Genau das sollte das Ziel sein.

Interesse geweckt?

Wenn Sie Ihre Anmeldeverfahren im Rahmen einer ISO 27001-Vorbereitung so aufbauen oder überarbeiten wollen, dass sie sicher sind, ohne Nutzer unnötig zu nerven, sprechen Sie mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!

Über den Autor

Joachim Reinke

Joachim Reinke unterstützt seit 2017 Unternehmen beim Aufbau praxistauglicher Managementsysteme für Informationssicherheit und Qualität. In dieser Zeit hat er bereits mehr als 100 Unternehmen begleitet. Er ist zertifizierter Lead Auditor und als Dozent für Informationssicherheit und Qualitätsmanagement bei Zertifizierern und Trainingsanbietern tätig. Kunden schätzen besonders seine klare, praxisnahe und verständliche Vermittlung auch anspruchsvoller Inhalte.

View Comments