ISO 27001Kapitel 6 Personalsicherheit

Mitarbeiter sind extrem bedeutsam für die Informationssicherheit in Organisationen. Sie können die Sicherheit maßgeblich unterstützen und mittragen, sie können aber auch ein ausgeprägtes Sicherheitsrisiko darstellen. Die Presse ist voll mit aktuellen Beispielen, bei denen erfolgreiche Cyberangriffe mit verheerenden Folgen durch den Faktor Mensch ermöglicht wurden.

Die Sicherheitsnorm ISO 27001 legt in Kapitel 6 des Annex A ein besonderes Augenmerk auf die Personalsicherheit. Hier finden sich Hinweise für eine strukturierte Personalverwaltung, die den relevanten Risiken vorbeugen soll.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutsche Version der Norm DIN EN ISO/IEC 27001:2024 sowie die ISO 27002:2022.

Personalsicherheit vor Beschäftigungsbeginn

Regelung der Verantwortlichkeiten

Die ersten Sicherheitsvorkehrungen sollten schon deutlich vor Beschäftigungsbeginn getroffen werden. So muss bereits in der Bewerbungsphase soweit möglich geklärt werden, ob der Kandidat für den vorgesehenen Tätigkeitsbereich fachlich und persönlich geeignet ist und ihm bei der Bewerbung schon klar wird, welche Verantwortlichkeiten er haben wird. Es kann nicht ohne Weiteres unterstellt werden, dass ein potenzieller Mitarbeiter die Ziele und Entscheidungen des Arbeitgebers mit Überzeugung dauerhaft mitträgt. Möglicherweise hat ein Bewerber in sicherheitsrelevanten Bereichen völlig andere Vorstellungen als das Unternehmen. Man muss in diesem Zusammenhang nur an das gewünschte Arbeitsgerät oder an den bevorzugten Arbeitsort denken.

Wer immer eine Stelle zu besetzen hat, muss daher möglichst schon in der Stellenausschreibung die Rechte und Pflichten der zu besetzenden Position so genau wie möglich darstellen. Eine umfassende Darstellung hilft hier sowohl dem Bewerber, der Berechtigungen und Grenzen besser abschätzen kann, als auch demjenigen, der letztendlich über die Eignung des Kandidaten und eine Weiterführung des Bewerbungsverfahrens entscheidet.

Bewerbungsunterlagen und Bewerbungsverfahren

Bereits anhand der eingegangenen Bewerbungsunterlagen sollten Organisationen die Vertrauenswürdigkeit und Zuverlässigkeit eines Bewerbers überprüfen. Besonderes Augenmerk liegt hier auf einer kritischen Durchsicht des Lebenslaufs und der vorgelegten Zeugnisse.

Grundsätzlich besteht auch die Möglichkeit, sich anzusehen, wie Bewerber in sozialen Netzwerken in Erscheinung treten. Hierbei ist allerdings Vorsicht geboten, da Facebook und Co. primär den privaten Gebrauch dienen und nicht ohne weiteres vom Arbeitgeber herangezogen werden dürfen. Ob und inwieweit ein Einblick und eine Verwertung möglich ist, sollte daher vorher datenschutzrechtlich geklärt werden. Klar zulässig ist eine Einsicht nur in Quellen, auf die der Bewerber ausdrücklich in seiner Bewerbung hingewiesen hat.

Grundsätzlich dürfen im Bewerbungsverfahren nur Informationen abgefragt werden, die für die Einstellungsentscheidung relevant und erforderlich sind (siehe dazu unser ausführlicher Ratgeber zum Datenschutz bei Bewerberdaten). Die Informationssicherheit gehört aber klar zu den relevanten Umständen.

Führungszeugnis

Die Vorlage eines Führungszeugnisses darf keinesfalls von jedem Kandidaten verlangt werden. Dies wird in der Praxis zuweilen zwar ganz anders gehandhabt, ein solches Vorgehen ist aber in aller Regel nicht erforderlich.

Gerechtfertigt ist die Vorlage eines Führungszeugnisses nur, wenn die konkret zu besetzende Position eine ganz besondere Zuverlässigkeit verlangt und wenn keine andere mildere Möglichkeit besteht, diese Zuverlässigkeit nachzuweisen. Es muss auch tatsächlich ein Interesse daran bestehen, in jeder denkbaren Hinsicht zu wissen, ob ein Kandidat strafrechtlich in Erscheinung getreten ist, etwa weil die zu besetzende Position ein ganz besonders sehr starkes Vertrauensverhältnis erfordert. (Siehe dazu unser Artikel zur Frage, wann Arbeitgeber ein Führungszeugnis verlangen dürfen).

Personalsicherheit während Anstellung und zuBeschäftigungsbeginn

Arbeitsvertrag und sonstige Dokumente

Die oben genannten Verantwortlichkeiten sollten sich im Arbeitsvertrag unmissverständlich und klar wiederfinden.

Bei Unterzeichnung des Arbeitsvertrages sollten dem neuen Mitarbeiter die wesentlichen Regelungen des Unternehmens bereits vorgelegt werden. Dabei ist klar zu vermitteln, dass es sich um verbindliche Regelungen handelt. Der neue Mitarbeiter sollte den Empfang per Unterschrift quittieren.

Notwendige Verpflichtungen zur Vertraulichkeit und zur Wahrung von Geschäftsgeheimnissen sollte der neue Mitarbeiter jedenfalls unterschreiben.

Checklisten helfen

Der Einsatz von Checklisten beim Onboarding hilft, nichts zu vergessen. Neben den gerade genannten Aufgaben könnten beispielsweise auch enthalten sein:

  • Zugänge einrichten
  • Arbeitsplatz
  • Berechtigung und Zugriffe
  • Installation und Endkontrolle
  • Willkommens-E-Mail
  • Dokumentation und Unterlagen übergeben
  • Kurzeinführung
  • Einweisung

Geeignet gestaltete Checklisten können auch helfen, die Einhaltung der Prozesse zu dokumentieren und – etwa im Audit – nachzuweisen.

Terrorlistenscreening

Es besteht keine ausdrücklich gesetzliche Pflicht für ein Terrorlistenscreening. Indirekt ergibt sich aber die Notwendigkeit. Falls ein Mitarbeiter sich auf einer Sanktionsliste der Europäischen Union wiederfindet, dürfen diesem kein Gehalt oder sonstiges Geld mehr ausgezahlt und auch keine sonstigen wirtschaftlichen Ressourcen zur Verfügung gestellt werden. Ansonsten drohen dem Arbeitgeber selbst Sanktionen (mehr dazu in unseren weiterführenden Artikel zum Terrorlistenscreening).

Schulungen

Vor allem am Anfang aber auch während des laufenden Beschäftigungsverhältnisses muss größter Wert darauf gelegt werden, Mitarbeiter für die Informationssicherheit zu sensibilisieren und ein entsprechendes Bewusstsein bei ihnen zu wecken. Es genügt ganz klar nicht, den Mitarbeiter nur einen Stapel mit den relevanten Regelungen vorzulegen und sich den Empfang quittieren zu lassen. Hiermit kommt einer Organisation den eigenen Pflichten nicht nach.

Entscheidend ist, den Schulungsbedarf regelmäßig zu ermitteln und diesen dann auch nachweislich und angemessen zu erfüllen. Es ist also nicht notwendig, bereits nachgewiesenermaßen vorliegende Fachkenntnisse zur vermitteln. Kenntnisse, die angesichts der speziellen Situation der Organisation zusätzlich notwendig sind, müssen aber zuverlässig vermittelt werden.

Alle Schulungen sollten sowohl allgemeine Sicherheitsmaßnahme der Organisation umfassen, andererseits aber auch auf die bereichsspezifischen eingehen. Wichtig hierbei ist, dass es nicht nur darum geht, abstrakt Wissen zu vermitteln, sondern dass Mitarbeitern bewusst und bekannt ist, wie die Sicherheitsmaßnahmen konkret von ihnen umzusetzen sind. Um den Schulungsinhalt einzugrenzen und bedarfsspezifisch zu ermitteln, hilft es, mit Mitarbeitern zu sprechen und Fehler oder Probleme aus der Vergangenheit zu analysieren.

Die Organisation wird in diesem Zusammenhang Schulungspläne aufstellen müssen, wer wann welche Schulungen erhält. Die Schulungen selbst können dann beispielsweise folgende Punkte enthalten:

  • Aufklärung über Gesetze, Verordnungen, Richtlinien, Verträge, Vereinbarungen und dessen Änderungen
  • Zuordnung persönlicher Verantwortlichkeiten zu bestimmten Prozessen
  • Kennwortsicherheit, Clean-Desk-Policy, Maßnahmen bei Verdacht eines Angriffs von außen u.Ä.
  • Ansprechpartner und Datenbanken für weitere Informationen bzgl. Sicherheitsmaßnahmen

Nach Schulungen ist darauf zu achten, dass deren Wirksamkeit auch überprüft wird. Dies wird beispielsweise durch ein Feedback-Gespräch mit den Teilnehmern der Schulung über deren Qualität und Umsetzbarkeit erreicht. Bei externen Schulungsmaßnahmen sollte gegebenenfalls darauf geachtet werden, dass ein Nachweis mit zurückgebracht wird, etwa über die erfolgreich abgelegte Prüfung.

Tipp: Nutzen Sie unsere Onlinekurse zur Informationssicherheit für Mitarbeitende.

Disziplinarische Maßnahmen

So unangenehm es sein mag, ein Prozess für Fälle, in denen gegen Sicherheitsmaßnahmen verstoßen wurde, ist unvermeidlich. Der Prozess muss definiert sein und klare Aussagen enthalten, welche Konsequenzen ein Mitarbeiter zu erwarten hat, falls er sich pflichtwidrig verhält. Bereits vor Zuwiderhandlungen sollten alle Mitarbeiter wissen, was bei einem Verstoß droht. Andererseits kann man korrektes Verhalten natürlich auch dadurch fördern, dass Prämien für Mitarbeiter vergeben werden, die besondere Initiative hinsichtlich der Informationssicherheit zeigten.

Entscheidend ist, dass das Disziplinarverfahren dann auch zur Anwendung kommt. Andernfalls wird es von Mitarbeitern nicht ernst genommen. Schlimmstenfalls verliert es sogar seine rechtliche Wirksamkeit.

Personalsicherheit zur Beendigung oder Änderung der Beschäftigung

Strukturiertes Offboarding

Auch der Prozess zur Beendigung eines Beschäftigungsverhältnisses sollte klar definiert sein. Orientieren kann man sich dabei an den Listen zum Onboarding, die quasi rückwärts abgearbeitet werden.

Wie für die Anstellung auch sollte auch die Verantwortlichkeit für das Offboarding in der Organisation klar festgelegt sein. Diese kann zum Beispiel beim direkten Vorgesetzten oder der Personalabteilung übernommen werden. Der Verantwortliche hat dann alle Bereiche des Offboardings zu überwachen.

Die Beendigung eines Arbeitsverhältnisses sollte strukturiert und gesteuert ablaufen. So ist beispielsweise zu vermeiden, dass die IT-Abteilung den Laptop zurücknimmt und die Büroschlüssel wiederum der Büroassistentin übergeben werden. Diese Aufteilung sorgt für Unübersichtlichkeit und Ungenauigkeiten.

Mit Hilfe eines Offboarding-Plans lässt sich nicht nur sicherstellen, dass nichts vergessen wird, es lassen sich auch hier wieder auch die einzelnen Handlungen dokumentieren.

Ein Offboarding-Plan enthält etwa:

  • Entzug der Zutrittsberechtigungen, das heißt z.B. auch, dass die Pforte informiert werden muss, dass einem Mitarbeiter künftig der Zutritt zu verweigern ist
  • Entzug Zugangsberechtigungen durch Zurücksetzen des Passworts und Löschung des Accounts sowie Sperrung von VPN- und Cloud-Zugängen
  • Entzug der Zugriffsberechtigungen
  • Rückgabe von Betriebsmitteln, wie Arbeitshandys, Laptops
  • Rückgabe von Authentifizierungsmitteln oder Schlüsseln
  • Rückgabe von Papieren und Dokumenten des Unternehmens
  • Auflösung von lokalen Verzeichnissen und Postfächern
  • Verpflichtung beim Ausscheiden

Änderung der Beschäftigung

Bei der Änderung einer Beschäftigung ist besonders auf die Rechtevergabe und Berechtigungen der alten und neuen Position des Mitarbeiters Wert zu legen. Bisherige Berechtigungen sollten nicht weiterbestehen, außer es gibt sehr triftige Gründe dafür. Dies wird in der Praxis sehr häufig übersehen.

Auch bei Veränderungen können bestehende Checklisten in angepasster Form herangezogen werden, damit kein Punkt vergessen wird.

Fazit: Personalsicherheit erfordert strukturiertes Vorgehen

Mit geregelten Prozessen und klarer Strukturierung ist Personalsicherheit in jedem Stadium der Beschäftigung möglich. Es bedarf zunächst eines Bewusstseins für einzelne Maßnahmen, um Mitarbeiter einzuschätzen, zu schulen und zu leiten.

Sobald fest vorgeschriebene Abläufe vor Beschäftigungsbeginn, während der Beschäftigung und bei Beendigung bzw. Änderung der Beschäftigung von den Verantwortlichen implementiert und umgesetzt werden, wird das vom Personal ausgehende Sicherheitsrisiko erheblich reduziert.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Im Rahmen einer Zertifizierung nach ISO 27001 stellt die activeMind AG ihren Mandanten eine Vorlage für ein Personalsicherheits-Konzept zur Verfügung, die sämtliche von der Norm adressierten Punkte enthält und effektiv regelt.

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.