ISO 27002 - Kapitel 6.1 Sicherheitsüberprüfungen von Mitarbeitenden

In Zeiten des Fachkräftemangels steht für viele Organisationen im Vordergrund, überhaupt Mitarbeitende zu finden. Zur Sicherstellung einer angemessene Informationssicherheit darf jedoch nicht in Vergessenheit geraten, dass Mitarbeitende für die ihnen übertragenen Aufgaben geeignet sein müssen.

Im hier besprochenen Kapitel 6.1 der ISO 27002:2022 sind etliche Maßnahmen enthalten, die von der Anbahnung einer Zusammenarbeit bis zu ihrer Beendigung berücksichtigt werden sollten.

Worum geht es bei Sicherheitsüberprüfungen?

Die Überschrift des Kapitels erweckt einen etwas kleineren Blickwinkel, als tatsächlich erforderlich und behandelt. Es geht nicht allein um die Überprüfung, ob ein Bewerber oder Mitarbeiter möglicherweise eine strafrechtlich relevante Karriere hinter sich hat. Vielmehr muss jegliches Personal unter möglichst umfassenden Gesichtspunkten beurteilt und ausgewählt werden. Qualifikation und Laufbahn sind hierbei ebenso zu betrachten, wie die Prüfung der Identität oder eben des Führungszeugnisses.

Was sagt die ISO 27002?

Die im Folgenden aufgezählten Überprüfungen sollten ausnahmslos auf das gesamte Personal angewendet werden, unabhängig von Art und Umfang der Anstellung. Und auch bei externen Personen, die über einen Dienstleistungsanbieter bezogen werden, bleiben die Fragen relevant. Die Antwort darauf einzuholen, kann jedoch vertraglich auch dem Dienstleister übertragen werden.

Selbstverständlich darf die Abklärung sämtlicher Aspekte nur innerhalb der Grenzen der anwendbaren Gesetze erfolgen. Der Prozess zur Überprüfung von Personen muss klar definiert werden, wobei auch klare Verantwortlichkeiten zugewiesen werden sollten.

Im Einzelnen sollte an diese Punkte gedacht werden:

  • Identifikation: Ist die Identität der Person zweifelsfrei geklärt?
  • Qualifikation: Besitzt die Person nachweislich die benötigten beruflichen Fähigkeiten? Vor allem, wenn die Person eine bestimmte Rolle der Informationssicherheit wahrnehmen soll, müssen die hierfür notwendigen Kompetenzen vorliegen.
  • Referenzen: Kann die Person zufriedenstellende Referenzen beibringen? Hier spielen trotz aller Zweifel, die man diesen entgegenbringen kann, natürlich auch Arbeitszeugnisse eine Rolle.
  • Lebenslauf: Sind die gemachten Angaben vollständig und richtig?
  • Bonität und Vorstrafen: Abhängig von der Kritikalität der vorgesehenen Aufgaben sollten Bonität und Vorstrafen abgeklärt werden. Insbesondere hier ist darauf zu achten, ob die Vorlage eines Führungszeugnisses überhaupt gefordert werden darf.
  • Vertrauenswürdigkeit: Übergreifend muss eine eingesetzte Person die erforderliche Vertrauenswürdigkeit für eine Aufgabe besitzen.

Insbesondere wenn eine Person mit vertraulichen Informationen umgehen soll, sind die Überprüfungen besonders gründlich vorzunehmen und gegebenenfalls auch auszudehnen.

Es sollte auch daran gedacht werden, Überprüfungen gegebenenfalls zu wiederholen. So kann beispielsweise eine Fahrerlaubnis bei entsprechendem Anlass auch wieder entzogen worden sein. Und eine ehemals ausreichende Qualifikation muss nicht zwingend den aktuellen Anforderungen immer noch entsprechen.

Was passiert bei Zweifeln in der Überprüfung?

Entsteht im Zusammenhang mit einer Überprüfung Anlass zu Zweifeln, muss die Beschäftigung möglicherweise beendet oder ein Kandidat abgelehnt werden. Als Vorstufe zu diesem einschneidenden Schritt kann auch daran gedacht werden, den Einsatz der betroffenen Person soweit möglich zu beschneiden, indem der Einsatz und Zugang zu Unternehmenswerten zumindest vorerst beschränkt wird.

Fazit: eine heikle Angelegenheit

Die Sicherheitsüberprüfung von Personal ist eine heikle Angelegenheit und nicht wenige Organisationen scheuen eine korrekte Auseinandersetzung damit. Neben den rechtlichen und ethischen Unsicherheiten wird ein solcher Prozess auch als unpersönlich und unfreundlich angesehen – und mit Misstrauen und fehlendem Vertrauen in Verbindung gebracht. Viele Organisationen wollen sich nicht in einem solchen Licht darstellen; auch aus Angst, die wenigen geeigneten Bewerber abzuschrecken.

Nichtsdestotrotz, an der sorgfältigen Auswahl von Personal führt aus Sicht der Informationssicherheit kein Weg vorbei und auch zur Vermeidung eines persönlichen Vorwurfs an die Verantwortlichen der Organisation, an die sich auch eine persönliche Haftung anschließen kann, ist dringend anzuraten, die Überprüfung ernst zu nehmen.

Sieht man die Mitwirkungsbereitschaft an einer notwendigen Prüfung auch als ersten kleinen Test der Vertrauenswürdigkeit eines Kandidaten an, können gegebenenfalls aus dessen Verhalten auch schon wertvolle Rückschlüsse gezogen werden. Wer klar zu erkennen gibt, dass er nicht bereit ist, auf berechtigte Sicherheitsbelange der Organisation Rücksicht zu nehmen, stellt seine Vertrauenswürdigkeit und Eignung in Frage.

Bei der Frage, welche Sicherheitsbelange berechtigt sind, und welche rechtlichen Grenzen bestehen, kann der passende Berater helfen.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Die activeMind AG erstellt für ihre Mandanten im Rahmen einer Zertifizierung nach ISO 27001 Leitlinien für die Prüfung und Auswahl von Personal und hilft dabei, entsprechend passende Kriterien für die Bewertung bzw. Prüfung zu entwickeln.