WAF-SEC-010 – Identity & Access Management Baseline

Pillar: Security | Severity: Critical | Kategorie: IAM | Automatisierbar: Hoch

Beschreibung

Alle AWS-Konten MÜSSEN MFA für sämtliche IAM-Benutzer mit Console-Zugang erzwingen. Die Nutzung des Root-Accounts für den laufenden Betrieb ist VERBOTEN. Die IAM-Passwortrichtlinie MUSS mindestens folgende Anforderungen erfüllen: 14 Zeichen Mindestlänge, Komplexitätsvorgaben (Groß-/Kleinbuchstaben, Ziffern, Sonderzeichen), Wiederverwendungssperre für mindestens 5 vorherige Passwörter und ein maximales Passwortalter von 90 Tagen. Service-Accounts MÜSSEN IAM-Rollen mit temporären Credentials anstelle von langlebigen Access Keys verwenden.

Rationale

Schwache Identitätskontrollen sind die häufigste Ursache von Cloud-Sicherheitsvorfällen. Ohne erzwungene MFA und starke Passwortrichtlinien ermöglichen kompromittierte Credentials sofortigen und persistenten Zugriff auf Cloud-Ressourcen. Root-Account-Zugriff umgeht alle Berechtigungsgrenzen – unbefugte Root-Nutzung ist daher besonders schwerwiegend. IAM-Baseline-Controls sind grundlegende Voraussetzungen für jede weitere Sicherheitsschicht: Alle anderen Maßnahmen werden wirkungslos, wenn die Identitätsebene nicht gehärtet ist.

Bedrohungskontext

Risiko	Beschreibung
Credential-Kompromittierung	Phishing- oder Password-Spray-Angriffe ermöglichen persistenten Cloud-Zugriff ohne MFA als zweite Hürde.
Root-Account-Missbrauch	Unbefugte Root-Nutzung ermöglicht vollständige Account-Übernahme und Löschung aller Sicherheitskontrollen.
Langlebige Access Keys	Aus Code-Repositories oder CI/CD-Systemen extrahierte Access Keys ermöglichen dauerhaften Zugriff.
Privilege Escalation	Fehlkonfigurierte IAM-Policies erlauben seitliche Bewegung quer über Services und Konten.

Risiko

Beschreibung

Credential-Kompromittierung

Phishing- oder Password-Spray-Angriffe ermöglichen persistenten Cloud-Zugriff ohne MFA als zweite Hürde.

Root-Account-Missbrauch

Unbefugte Root-Nutzung ermöglicht vollständige Account-Übernahme und Löschung aller Sicherheitskontrollen.

Langlebige Access Keys

Aus Code-Repositories oder CI/CD-Systemen extrahierte Access Keys ermöglichen dauerhaften Zugriff.

Privilege Escalation

Fehlkonfigurierte IAM-Policies erlauben seitliche Bewegung quer über Services und Konten.

Anforderung

MFA MUSS für alle IAM-Benutzer mit Console-Zugang aktiviert sein; Durchsetzung über Service Control Policy (SCP).
Die IAM-Passwortrichtlinie MUSS mindestens 14 Zeichen, alle Zeichenklassen, Wiederverwendungssperre ≥ 5 und maximales Passwortalter ≤ 90 Tage vorschreiben.
Der Root-Account MUSS gesperrt sein: keine Access Keys, MFA aktiviert, keine operative Nutzung.
Menschlicher Zugriff MUSS über IAM Identity Center (SSO) mit temporären Credentials erfolgen – nicht über langlebige IAM-User-Access-Keys.
Bestehende langlebige Access Keys älter als 90 Tage MÜSSEN rotiert werden; Erkennung über AWS Config.
Break-Glass-Verfahren für Not-Root- oder Admin-Zugriff MÜSSEN dokumentiert und mit Monitoring versehen sein.
IAM-Benutzer und Rollen MÜSSEN quartalsweise auditiert werden; ungenutzte Accounts und Berechtigungen sind zu entfernen.

Implementierungsanleitung

MFA erzwingen: SCP konfigurieren, die Console-Aktionen ohne aktive MFA-Session verweigert.
Passwortrichtlinie setzen: aws_iam_account_password_policy in Terraform mit allen Pflichtattributen definieren.
Root-Account sichern: Alle Access Keys im AWS-Console entfernen, MFA aktivieren, Root-Nutzung auf Ausnahmefälle beschränken.
IAM Identity Center einrichten: Menschlichen Zugriff auf SSO mit temporären Credentials migrieren.
Access-Key-Rotation automatisieren: AWS Config Rule access-keys-rotated aktivieren, Alarm bei Überschreitung von 90 Tagen.
Break-Glass-Verfahren dokumentieren: Prozess für Not-Admin-Zugriff mit dediziertem Monitoring und Alerting festlegen.
Quartalsaudit einplanen: IAM Access Analyzer Findings vierteljährlich reviewen und bereinigen.

Reifegrad-Abstufung

Level	Bezeichnung	Kriterien
1	Ad-hoc IAM	Passwortrichtlinie vorhanden, aber nicht konsistent durchgesetzt; MFA optional oder nur für manche Benutzer.
2	Passwortrichtlinie und MFA für Admins	Passwortrichtlinie erfüllt Mindestanforderungen (14 Zeichen, Komplexität); MFA für alle Admin-IAM-User; Root-MFA aktiv.
3	MFA via SCP für alle Console-Benutzer	SCP verweigert Console-Aktionen ohne aktive MFA-Session; menschlicher Zugriff über SSO/IAM Identity Center; Access-Key-Rotation automatisiert.
4	Zero Standing Privilege mit JIT-Zugriff	Kein dauerhafter Admin-Zugang; alle erhöhten Zugänge zeitlich begrenzt und just-in-time; quartalsweise Access Reviews dokumentiert.
5	Vollautomatisiertes SCIM/SSO mit kontinuierlicher Zertifizierung	Alle IAM-Identitäten via SCIM aus autoritativem IdP bereitgestellt und entzogen; Echtzeit-Anomalieerkennung auf Authentifizierungsereignisse.

Level

Bezeichnung

Kriterien

Ad-hoc IAM

Passwortrichtlinie vorhanden, aber nicht konsistent durchgesetzt; MFA optional oder nur für manche Benutzer.

Passwortrichtlinie und MFA für Admins

Passwortrichtlinie erfüllt Mindestanforderungen (14 Zeichen, Komplexität); MFA für alle Admin-IAM-User; Root-MFA aktiv.

MFA via SCP für alle Console-Benutzer

SCP verweigert Console-Aktionen ohne aktive MFA-Session; menschlicher Zugriff über SSO/IAM Identity Center; Access-Key-Rotation automatisiert.

Zero Standing Privilege mit JIT-Zugriff

Kein dauerhafter Admin-Zugang; alle erhöhten Zugänge zeitlich begrenzt und just-in-time; quartalsweise Access Reviews dokumentiert.

Vollautomatisiertes SCIM/SSO mit kontinuierlicher Zertifizierung

Alle IAM-Identitäten via SCIM aus autoritativem IdP bereitgestellt und entzogen; Echtzeit-Anomalieerkennung auf Authentifizierungsereignisse.

Terraform Checks

waf-sec-010.tf.aws.iam-password-policy-mfa

Prüft: Die AWS-IAM-Passwortrichtlinie muss Mindestlänge 14, alle Zeichenklassen, Wiederverwendungssperre ≥ 5 und maximales Passwortalter ≤ 90 Tage vorschreiben.

Compliant Non-Compliant

Compliant	Non-Compliant
`resource "aws_iam_account_password_policy" "strict" { minimum_password_length = 14 require_uppercase_characters = true require_lowercase_characters = true require_numbers = true require_symbols = true allow_users_to_change_password = true max_password_age = 90 password_reuse_prevention = 5 hard_expiry = false }`	`resource "aws_iam_account_password_policy" "weak" { minimum_password_length = 8 require_uppercase_characters = false require_symbols = false # Fehlt: password_reuse_prevention, # max_password_age # WAF-SEC-010 Violation }`

resource "aws_iam_account_password_policy" "strict" {
  minimum_password_length        = 14
  require_uppercase_characters   = true
  require_lowercase_characters   = true
  require_numbers                = true
  require_symbols                = true
  allow_users_to_change_password = true
  max_password_age               = 90
  password_reuse_prevention      = 5
  hard_expiry                    = false
}

resource "aws_iam_account_password_policy" "weak" {
  minimum_password_length      = 8
  require_uppercase_characters = false
  require_symbols              = false
  # Fehlt: password_reuse_prevention,
  # max_password_age
  # WAF-SEC-010 Violation
}

Remediation: aws_iam_account_password_policy mit allen Pflichtattributen definieren: minimum_password_length >= 14, alle require_*-Flags auf true, password_reuse_prevention >= 5 und max_password_age ⇐ 90.

waf-sec-010.tf.aws.no-root-access-keys

Prüft: Der Root-Account darf keine aktiven programmatischen Access Keys besitzen.

Compliant Non-Compliant

Compliant	Non-Compliant
`# Root-Access-Keys werden via AWS-Console # entfernt – nicht in Terraform darstellbar. # Prüfung: # aws iam get-account-summary \ # grep AccountAccessKeysPresent # Erwartet: "AccountAccessKeysPresent": 0`	`# Root-Account besitzt aktive Access Keys # in AWS IAM > Security Credentials. # aws iam get-account-summary zeigt: # "AccountAccessKeysPresent": 1 # WAF-SEC-010 Violation`

# Root-Access-Keys werden via AWS-Console
# entfernt – nicht in Terraform darstellbar.
# Prüfung:
# aws iam get-account-summary \
#   grep AccountAccessKeysPresent
# Erwartet: "AccountAccessKeysPresent": 0

# Root-Account besitzt aktive Access Keys
# in AWS IAM > Security Credentials.
# aws iam get-account-summary zeigt:
# "AccountAccessKeysPresent": 1
# WAF-SEC-010 Violation

Remediation: Im AWS-Console unter IAM → Security Credentials des Root-Accounts alle Access Keys löschen. MFA für den Root-Account aktivieren. Root-Nutzung auf absolute Ausnahmefälle beschränken.

Evidenz

Typ Pflicht Beschreibung

Typ	Pflicht	Beschreibung
Governance	✅ Pflicht	IAM-Governance-Dokument mit Passwortrichtlinien-Standard, MFA-Anforderungen und Access-Key-Lifecycle-Regeln.
IaC	✅ Pflicht	Terraform-Konfiguration für `aws_iam_account_password_policy` mit allen Pflichtattributen.
Process	Optional	Access-Review-Protokolle mit quartalsweiser IAM-Benutzer- und Rollen-Zertifizierung.
Config	Optional	AWS Config Conformance Pack oder Security Hub Findings-Report mit MFA-Compliance-Status.

Governance

✅ Pflicht

IAM-Governance-Dokument mit Passwortrichtlinien-Standard, MFA-Anforderungen und Access-Key-Lifecycle-Regeln.

IaC

✅ Pflicht

Terraform-Konfiguration für aws_iam_account_password_policy mit allen Pflichtattributen.

Process

Optional

Access-Review-Protokolle mit quartalsweiser IAM-Benutzer- und Rollen-Zertifizierung.

Config

Optional

AWS Config Conformance Pack oder Security Hub Findings-Report mit MFA-Compliance-Status.

Regulatorisches Mapping

Framework	Controls
ISO 27001:2022	A.5.15 – Threat intelligence; A.5.16 – Threat classification; A.5.24 – Information security incident management; A.5.25 – Assessment and decision on information security events; A.5.26 – Response to information security incidents; A.5.27 – Learning from information security incidents; A.8.2 – Privileged access rights; A.8.5 – Secure authentication; A.8.8 – Management of technical vulnerabilities; A.8.10 – Information deletion; A.8.11 – Data masking; A.8.22 – Segregation of networks; A.8.23 – Network security; A.8.24 – Use of cryptography
ISO 27017	CLD.5.1 – Information security in cloud services; CLD.5.2 – Access control in cloud services; CLD.6.3 – Shared roles and responsibilities
ISO 27018	A.2 – Purpose legitimacy and PII protection; A.10 – Confidentiality and security of PII
GDPR	Art. 5(1)(c) – Data minimisation; Art. 5(1)(f) – Integrity and confidentiality; Art. 9 – Special categories of personal data; Art. 25 – Data protection by design and by default; Art. 32 – Security of processing; Art. 44 – General principles for transfers; Art. 46 – Appropriate safeguards; Art. 30 – Records of processing activities
BSI C5:2020	IDM-01 – Identity and access management policy; IDM-02 – Role management; IDM-03 – User lifecycle management; COM-01 – Network and service security; COM-02 – Cloud monitoring; COM-03 – Cloud logging
EUCS (ENISA)	IAM-01 – Identity and access management; IAM-02 – Access rights management; IAM-03 – Privileged access management; IAM-04 – Access control policy
NIST SP 800-53	AC-1 – Policy and procedures; AC-2 – Account management; AC-3 – Access enforcement; AC-6 – Least privilege; IA-2 – Identification and authentication; IA-5 – Authenticator management; SI-4 – Information system monitoring; SI-5 – Malicious code protection
FedRAMP	AC-1, AC-2, AC-3, AC-6, IA-2, IA-5, SI-4, SI-5 (Moderate/High baseline)
HIPAA	§ 164.308(a)(4) – Access management; § 164.312(a) – Access control; § 164.312(d) – Information system activity review; § 164.312(e)(1) – Transmission security
PCI DSS v4.0	Req 7 – Restrict access to cardholder data; Req 8 – Identify and authenticate access; Req 8.3 – Non-service accounts; Req 8.6 – Password policy; Req 8.2.4 – MFA
SOC 2 Type II	CC6.1 – Logical access security software; CC6.2 – Logical access security management; CC6.6 – Secure configuration; CC6.7 – Network security
CSRD	ESRS E1 – Climate change – Disclosure of information; ESRS G1 – Governance – Disclosure of information
NIST CSF 2.0	GV.AC – Identity management and access control; DE.CM – Configuration management; DE.AE – Anomaly detection
CIS Controls v8	CIS 4 – Secure Configuration; CIS 4.1 – Inventory and control of enterprise assets; CIS 4.4 – Access control; CIS 4.5 – Least privilege; CIS 4.8 – Audit log management
TISAX	Information security – Access rights management; Prototype protection – Sensitive data handling
ANSSI SecNumCloud	Domain – Identity and access management; Domain – Security monitoring
BIO	BIO – Identificatie en authenticatie; BIO – Toegangsbeheer
ENS High	org.3 – Políticas de acceso; op.exp.5 – Monitorización de la configuración
UK NCSC CAF	B1 – Access control; B2 – Secure configuration
CMMC 2.0	AC.L2-3.1.1 – Access control policy; AC.L2-3.5.1 – Access enforcement
IRAP	ISM – Identity and access management; ISM – Access control
CCCS PBMM	AC-6 – Least privilege; AC-7 – Unsuccessful logon attempts
MAS TRM	Ch.4 – Identity and access management; Ch.8 – Security monitoring
ISMAP	Access control and identity management
FISC	Operational measures – Access control

Framework

Controls

ISO 27001:2022

A.5.15 – Threat intelligence; A.5.16 – Threat classification; A.5.24 – Information security incident management; A.5.25 – Assessment and decision on information security events; A.5.26 – Response to information security incidents; A.5.27 – Learning from information security incidents; A.8.2 – Privileged access rights; A.8.5 – Secure authentication; A.8.8 – Management of technical vulnerabilities; A.8.10 – Information deletion; A.8.11 – Data masking; A.8.22 – Segregation of networks; A.8.23 – Network security; A.8.24 – Use of cryptography

ISO 27017

CLD.5.1 – Information security in cloud services; CLD.5.2 – Access control in cloud services; CLD.6.3 – Shared roles and responsibilities

ISO 27018

A.2 – Purpose legitimacy and PII protection; A.10 – Confidentiality and security of PII

GDPR

Art. 5(1)(c) – Data minimisation; Art. 5(1)(f) – Integrity and confidentiality; Art. 9 – Special categories of personal data; Art. 25 – Data protection by design and by default; Art. 32 – Security of processing; Art. 44 – General principles for transfers; Art. 46 – Appropriate safeguards; Art. 30 – Records of processing activities

BSI C5:2020

IDM-01 – Identity and access management policy; IDM-02 – Role management; IDM-03 – User lifecycle management; COM-01 – Network and service security; COM-02 – Cloud monitoring; COM-03 – Cloud logging

EUCS (ENISA)

IAM-01 – Identity and access management; IAM-02 – Access rights management; IAM-03 – Privileged access management; IAM-04 – Access control policy

NIST SP 800-53

AC-1 – Policy and procedures; AC-2 – Account management; AC-3 – Access enforcement; AC-6 – Least privilege; IA-2 – Identification and authentication; IA-5 – Authenticator management; SI-4 – Information system monitoring; SI-5 – Malicious code protection

FedRAMP

AC-1, AC-2, AC-3, AC-6, IA-2, IA-5, SI-4, SI-5 (Moderate/High baseline)

HIPAA

§ 164.308(a)(4) – Access management; § 164.312(a) – Access control; § 164.312(d) – Information system activity review; § 164.312(e)(1) – Transmission security

PCI DSS v4.0

Req 7 – Restrict access to cardholder data; Req 8 – Identify and authenticate access; Req 8.3 – Non-service accounts; Req 8.6 – Password policy; Req 8.2.4 – MFA

SOC 2 Type II

CC6.1 – Logical access security software; CC6.2 – Logical access security management; CC6.6 – Secure configuration; CC6.7 – Network security

CSRD

ESRS E1 – Climate change – Disclosure of information; ESRS G1 – Governance – Disclosure of information

NIST CSF 2.0

GV.AC – Identity management and access control; DE.CM – Configuration management; DE.AE – Anomaly detection

CIS Controls v8

CIS 4 – Secure Configuration; CIS 4.1 – Inventory and control of enterprise assets; CIS 4.4 – Access control; CIS 4.5 – Least privilege; CIS 4.8 – Audit log management

TISAX

Information security – Access rights management; Prototype protection – Sensitive data handling

ANSSI SecNumCloud

Domain – Identity and access management; Domain – Security monitoring

BIO

BIO – Identificatie en authenticatie; BIO – Toegangsbeheer

ENS High

org.3 – Políticas de acceso; op.exp.5 – Monitorización de la configuración

UK NCSC CAF

B1 – Access control; B2 – Secure configuration

CMMC 2.0

AC.L2-3.1.1 – Access control policy; AC.L2-3.5.1 – Access enforcement

IRAP

ISM – Identity and access management; ISM – Access control

CCCS PBMM

AC-6 – Least privilege; AC-7 – Unsuccessful logon attempts

MAS TRM

Ch.4 – Identity and access management; Ch.8 – Security monitoring

ISMAP

Access control and identity management

FISC

Operational measures – Access control

Best Practice

Identity & Access Management Best Practice →

WAF-SEC-010 – Identity & Access Management Baseline

Beschreibung

Rationale

Bedrohungskontext

Anforderung

Implementierungsanleitung

Reifegrad-Abstufung

Terraform Checks

waf-sec-010.tf.aws.iam-password-policy-mfa

waf-sec-010.tf.aws.no-root-access-keys

Evidenz

Regulatorisches Mapping

Verwandte Controls

Best Practice