Personalsicherheit vor Beschäftigungsbeginn
Regelung der Verantwortlichkeiten
Die ersten Sicherheitsvorkehrungen sollten schon deutlich vor Beschäftigungsbeginn getroffen werden. So muss bereits in der Bewerbungsphase soweit möglich geklärt werden, ob der Kandidat für den vorgesehenen Tätigkeitsbereich fachlich und persönlich geeignet ist und ihm bei der Bewerbung schon klar wird, welche Verantwortlichkeiten er haben wird. Es kann nicht ohne Weiteres unterstellt werden, dass ein potenzieller Mitarbeiter die Ziele und Entscheidungen des Arbeitgebers mit Überzeugung dauerhaft mitträgt. Möglicherweise hat ein Bewerber in sicherheitsrelevanten Bereichen völlig andere Vorstellungen als das Unternehmen. Man muss in diesem Zusammenhang nur an das gewünschte Arbeitsgerät oder an den bevorzugten Arbeitsort denken.
Wer immer eine Stelle zu besetzen hat, muss daher möglichst schon in der Stellenausschreibung die Rechte und Pflichten der zu besetzenden Position so genau wie möglich darstellen. Eine umfassende Darstellung hilft hier sowohl dem Bewerber, der Berechtigungen und Grenzen besser abschätzen kann, als auch demjenigen, der letztendlich über die Eignung des Kandidaten und eine Weiterführung des Bewerbungsverfahrens entscheidet.
Bewerbungsunterlagen und Bewerbungsverfahren
Bereits anhand der eingegangenen Bewerbungsunterlagen sollten Organisationen die Vertrauenswürdigkeit und Zuverlässigkeit eines Bewerbers überprüfen. Besonderes Augenmerk liegt hier auf einer kritischen Durchsicht des Lebenslaufs und der vorgelegten Zeugnisse.
Grundsätzlich besteht auch die Möglichkeit, sich anzusehen, wie Bewerber in sozialen Netzwerken in Erscheinung treten. Hierbei ist allerdings Vorsicht geboten, da Facebook und Co. primär den privaten Gebrauch dienen und nicht ohne weiteres vom Arbeitgeber herangezogen werden dürfen. Ob und inwieweit ein Einblick und eine Verwertung möglich ist, sollte daher vorher datenschutzrechtlich geklärt werden. Klar zulässig ist eine Einsicht nur in Quellen, auf die der Bewerber ausdrücklich in seiner Bewerbung hingewiesen hat.
Grundsätzlich dürfen im Bewerbungsverfahren nur Informationen abgefragt werden, die für die Einstellungsentscheidung relevant und erforderlich sind (siehe dazu unser ausführlicher Ratgeber zum Datenschutz bei Bewerberdaten). Die Informationssicherheit gehört aber klar zu den relevanten Umständen.
Führungszeugnis
Die Vorlage eines Führungszeugnisses darf keinesfalls von jedem Kandidaten verlangt werden. Dies wird in der Praxis zuweilen zwar ganz anders gehandhabt, ein solches Vorgehen ist aber in aller Regel nicht erforderlich.
Gerechtfertigt ist die Vorlage eines Führungszeugnisses nur, wenn die konkret zu besetzende Position eine ganz besondere Zuverlässigkeit verlangt und wenn keine andere mildere Möglichkeit besteht, diese Zuverlässigkeit nachzuweisen. Es muss auch tatsächlich ein Interesse daran bestehen, in jeder denkbaren Hinsicht zu wissen, ob ein Kandidat strafrechtlich in Erscheinung getreten ist, etwa weil die zu besetzende Position ein ganz besonders sehr starkes Vertrauensverhältnis erfordert. (Siehe dazu unser Artikel zur Frage, wann Arbeitgeber ein Führungszeugnis verlangen dürfen).
Personalsicherheit während Anstellung und zuBeschäftigungsbeginn
Arbeitsvertrag und sonstige Dokumente
Die oben genannten Verantwortlichkeiten sollten sich im Arbeitsvertrag unmissverständlich und klar wiederfinden.
Bei Unterzeichnung des Arbeitsvertrages sollten dem neuen Mitarbeiter die wesentlichen Regelungen des Unternehmens bereits vorgelegt werden. Dabei ist klar zu vermitteln, dass es sich um verbindliche Regelungen handelt. Der neue Mitarbeiter sollte den Empfang per Unterschrift quittieren.
Notwendige Verpflichtungen zur Vertraulichkeit und zur Wahrung von Geschäftsgeheimnissen sollte der neue Mitarbeiter jedenfalls unterschreiben.
Checklisten helfen
Der Einsatz von Checklisten beim Onboarding hilft, nichts zu vergessen. Neben den gerade genannten Aufgaben könnten beispielsweise auch enthalten sein:
- Zugänge einrichten
- Arbeitsplatz
- Berechtigung und Zugriffe
- Installation und Endkontrolle
- Willkommens-E-Mail
- Dokumentation und Unterlagen übergeben
- Kurzeinführung
- Einweisung
Geeignet gestaltete Checklisten können auch helfen, die Einhaltung der Prozesse zu dokumentieren und – etwa im Audit – nachzuweisen.
Terrorlistenscreening
Es besteht keine ausdrücklich gesetzliche Pflicht für ein Terrorlistenscreening. Indirekt ergibt sich aber die Notwendigkeit. Falls ein Mitarbeiter sich auf einer Sanktionsliste der Europäischen Union wiederfindet, dürfen diesem kein Gehalt oder sonstiges Geld mehr ausgezahlt und auch keine sonstigen wirtschaftlichen Ressourcen zur Verfügung gestellt werden. Ansonsten drohen dem Arbeitgeber selbst Sanktionen (mehr dazu in unseren weiterführenden Artikel zum Terrorlistenscreening).
Schulungen
Vor allem am Anfang aber auch während des laufenden Beschäftigungsverhältnisses muss größter Wert darauf gelegt werden, Mitarbeiter für die Informationssicherheit zu sensibilisieren und ein entsprechendes Bewusstsein bei ihnen zu wecken. Es genügt ganz klar nicht, den Mitarbeiter nur einen Stapel mit den relevanten Regelungen vorzulegen und sich den Empfang quittieren zu lassen. Hiermit kommt einer Organisation den eigenen Pflichten nicht nach.
Entscheidend ist, den Schulungsbedarf regelmäßig zu ermitteln und diesen dann auch nachweislich und angemessen zu erfüllen. Es ist also nicht notwendig, bereits nachgewiesenermaßen vorliegende Fachkenntnisse zur vermitteln. Kenntnisse, die angesichts der speziellen Situation der Organisation zusätzlich notwendig sind, müssen aber zuverlässig vermittelt werden.
Alle Schulungen sollten sowohl allgemeine Sicherheitsmaßnahme der Organisation umfassen, andererseits aber auch auf die bereichsspezifischen eingehen. Wichtig hierbei ist, dass es nicht nur darum geht, abstrakt Wissen zu vermitteln, sondern dass Mitarbeitern bewusst und bekannt ist, wie die Sicherheitsmaßnahmen konkret von ihnen umzusetzen sind. Um den Schulungsinhalt einzugrenzen und bedarfsspezifisch zu ermitteln, hilft es, mit Mitarbeitern zu sprechen und Fehler oder Probleme aus der Vergangenheit zu analysieren.
Die Organisation wird in diesem Zusammenhang Schulungspläne aufstellen müssen, wer wann welche Schulungen erhält. Die Schulungen selbst können dann beispielsweise folgende Punkte enthalten:
- Aufklärung über Gesetze, Verordnungen, Richtlinien, Verträge, Vereinbarungen und dessen Änderungen
- Zuordnung persönlicher Verantwortlichkeiten zu bestimmten Prozessen
- Kennwortsicherheit, Clean-Desk-Policy, Maßnahmen bei Verdacht eines Angriffs von außen u.Ä.
- Ansprechpartner und Datenbanken für weitere Informationen bzgl. Sicherheitsmaßnahmen
Nach Schulungen ist darauf zu achten, dass deren Wirksamkeit auch überprüft wird. Dies wird beispielsweise durch ein Feedback-Gespräch mit den Teilnehmern der Schulung über deren Qualität und Umsetzbarkeit erreicht. Bei externen Schulungsmaßnahmen sollte gegebenenfalls darauf geachtet werden, dass ein Nachweis mit zurückgebracht wird, etwa über die erfolgreich abgelegte Prüfung.
Tipp: Nutzen Sie unsere Onlinekurse zur Informationssicherheit für Mitarbeitende.
Disziplinarische Maßnahmen
So unangenehm es sein mag, ein Prozess für Fälle, in denen gegen Sicherheitsmaßnahmen verstoßen wurde, ist unvermeidlich. Der Prozess muss definiert sein und klare Aussagen enthalten, welche Konsequenzen ein Mitarbeiter zu erwarten hat, falls er sich pflichtwidrig verhält. Bereits vor Zuwiderhandlungen sollten alle Mitarbeiter wissen, was bei einem Verstoß droht. Andererseits kann man korrektes Verhalten natürlich auch dadurch fördern, dass Prämien für Mitarbeiter vergeben werden, die besondere Initiative hinsichtlich der Informationssicherheit zeigten.
Entscheidend ist, dass das Disziplinarverfahren dann auch zur Anwendung kommt. Andernfalls wird es von Mitarbeitern nicht ernst genommen. Schlimmstenfalls verliert es sogar seine rechtliche Wirksamkeit.
Personalsicherheit zur Beendigung oder Änderung der Beschäftigung
Strukturiertes Offboarding
Auch der Prozess zur Beendigung eines Beschäftigungsverhältnisses sollte klar definiert sein. Orientieren kann man sich dabei an den Listen zum Onboarding, die quasi rückwärts abgearbeitet werden.
Wie für die Anstellung auch sollte auch die Verantwortlichkeit für das Offboarding in der Organisation klar festgelegt sein. Diese kann zum Beispiel beim direkten Vorgesetzten oder der Personalabteilung übernommen werden. Der Verantwortliche hat dann alle Bereiche des Offboardings zu überwachen.
Die Beendigung eines Arbeitsverhältnisses sollte strukturiert und gesteuert ablaufen. So ist beispielsweise zu vermeiden, dass die IT-Abteilung den Laptop zurücknimmt und die Büroschlüssel wiederum der Büroassistentin übergeben werden. Diese Aufteilung sorgt für Unübersichtlichkeit und Ungenauigkeiten.
Mit Hilfe eines Offboarding-Plans lässt sich nicht nur sicherstellen, dass nichts vergessen wird, es lassen sich auch hier wieder auch die einzelnen Handlungen dokumentieren.
Ein Offboarding-Plan enthält etwa:
- Entzug der Zutrittsberechtigungen, das heißt z.B. auch, dass die Pforte informiert werden muss, dass einem Mitarbeiter künftig der Zutritt zu verweigern ist
- Entzug Zugangsberechtigungen durch Zurücksetzen des Passworts und Löschung des Accounts sowie Sperrung von VPN- und Cloud-Zugängen
- Entzug der Zugriffsberechtigungen
- Rückgabe von Betriebsmitteln, wie Arbeitshandys, Laptops
- Rückgabe von Authentifizierungsmitteln oder Schlüsseln
- Rückgabe von Papieren und Dokumenten des Unternehmens
- Auflösung von lokalen Verzeichnissen und Postfächern
- Verpflichtung beim Ausscheiden
Änderung der Beschäftigung
Bei der Änderung einer Beschäftigung ist besonders auf die Rechtevergabe und Berechtigungen der alten und neuen Position des Mitarbeiters Wert zu legen. Bisherige Berechtigungen sollten nicht weiterbestehen, außer es gibt sehr triftige Gründe dafür. Dies wird in der Praxis sehr häufig übersehen.
Auch bei Veränderungen können bestehende Checklisten in angepasster Form herangezogen werden, damit kein Punkt vergessen wird.
Fazit: Personalsicherheit erfordert strukturiertes Vorgehen
Mit geregelten Prozessen und klarer Strukturierung ist Personalsicherheit in jedem Stadium der Beschäftigung möglich. Es bedarf zunächst eines Bewusstseins für einzelne Maßnahmen, um Mitarbeiter einzuschätzen, zu schulen und zu leiten.
Sobald fest vorgeschriebene Abläufe vor Beschäftigungsbeginn, während der Beschäftigung und bei Beendigung bzw. Änderung der Beschäftigung von den Verantwortlichen implementiert und umgesetzt werden, wird das vom Personal ausgehende Sicherheitsrisiko erheblich reduziert.