Sachgebiete / Anweisungen › Informationssicherheit

Passwort- und Zugangsrichtlinie

Vorgaben für Passwortstärke, Zugangskontrolle und Berechtigungsmanagement.

Status: Freigegeben Version: 4 Kategorie: Richtlinie Verantwortlich: Informationssicherheit Stand: 05.05.2026

1. Passwortanforderungen

Für alle Systeme gelten folgende Mindestanforderungen:

Mindestlänge: 12 Zeichen
Kombination aus Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen
Maximale Gültigkeit: 90 Tage
Passworthistorie: Die letzten 12 Passwörter dürfen nicht wiederverwendet werden
Kontosperrung nach 5 Fehlversuchen für 30 Minuten

2. Multi-Faktor-Authentifizierung

Für den Zugang zu kritischen Systemen und bei Remote-Zugriffen ist eine Multi-Faktor-Authentifizierung (MFA) verpflichtend. Akzeptierte zweite Faktoren sind Hardware-Token und Authenticator-Apps.

3. Berechtigungsmanagement

Zugriffsrechte werden nach dem Prinzip der minimalen Berechtigung (Least Privilege) vergeben. Die Vergabe privilegierter Rechte bedarf der Genehmigung durch den Bereichsverantwortlichen und den ISB.

Eine Rezertifizierung aller Berechtigungen erfolgt halbjährlich.

4. Austritt von Mitarbeitern

Bei Austritt eines Mitarbeiters sind sämtliche Zugänge am letzten Arbeitstag zu deaktivieren. Die Personalabteilung informiert die IT-Abteilung spätestens drei Werktage vor dem Austritt.

Merkur Privatbank · Organisationshandbuch