ISO 27002 - Kapitel 6.5 Verantwortlichkeiten nach Beendigung oder Wechsel des Beschäftigungsverhältnisses

Der Zeitpunkt, zu dem ein Beschäftigter innerhalb der Organisation eine neue Aufgabe übernimmt oder aber die Organisation verlässt, ist nicht ungefährlich. Bei Aufnahme einer Tätigkeit wird regelmäßig darauf geachtet, dass der Beschäftigte diese auch ausüben kann. Und spätestens der betroffene Beschäftigte selbst wird schnell bemerken, dass er eventuell benötigte Befugnisse oder Berechtigungen noch nicht hat und sich aktiv kümmern.

Rechte und Befugnisse aber auch wieder abzugeben, wird oft vergessen. Auch ist die Interessenslage am Ende schnell eine ganz andere als anfangs. Je nach Art und Weise der Beendigung kann nicht mehr von einem gegenseitig guten Willen ausgegangen werden.

Die in Kapitel 6.5 der ISO 27002 beschriebenen Maßnahmen sollen Organisationen dabei helfen, den Prozess zum Offboarding im Sinne der Informationssicherheit korrekt abzubilden.

Welche Gefahren drohen?

Beschäftigte erhalten im Rahmen der von Ihnen ausgeübten Tätigkeit sowohl spezielle Berechtigungen als auch Kenntnis über interne Angelegenheiten, die häufig vertraulich sind. Aus dem ehemals Berechtigten wird mit dem Ausscheiden ein unbefugter Dritter. Organisationen müssen sicherstellen, dass bisherige Berechtigungen und bestehende tatsächliche Möglichkeiten vom ehemaligen Beschäftigten nicht mehr wahrgenommen werden und dass auch die Vertraulichkeit weiterhin gewahrt bleibt.

Was sollte betrachtet werden?

Im Grunde ist der Prozess einfach. Was im Rahmen des Onboarding geschah, muss in der anderen Richtung erneut durchgespielt werden.

Auch hier muss bereits vorab feststehen, welche Stellen von einem Wechsel oder einem Ausscheiden zu informieren bzw. zu beteiligen sind und welche konkreten Pflichten diese Stellen dann zu erfüllen haben. Regelmäßig werden die Fäden bei der Personalabteilung zusammenlaufen.

Bei Ausscheiden oder Wechsel relevant können insbesondere die folgenden Gesichtspunkte sein:

  • Entzug von Zutrittsmitteln: so sind etwa Ausweise oder Schlüssel zurückzugeben
  • Versagung des Zutritts: gegebenenfalls sind Pforte und Empfang zu informieren
  • Entzug von Berechtigungen: Zugänge zu Systemen, Programmen oder Netzwerken sind zu sperren, Berechtigungen zu entziehen. Gegebenenfalls geteilte Passwörter müssen schnellstens geändert werden.
  • Geordnete Übergabe an den Nachfolger
  • Rückgabe aller sonstigen Arbeitsmittel: Notebook, Handy, Passworttresor etc.
  • Vertraulichkeit: an die (hoffentlich) bereits erfolgte und weiter gültige Verpflichtung zur Verschwiegenheit sollte erinnert werden
  • Informationen von Ansprechpartnern: intern und vor allem auch extern sollte bekannt sein, dass der ehemalige Beschäftigte seine bisherige Aufgabe nicht weiter wahrnimmt und daher als Ansprechpartner nicht mehr zur Verfügung steht.

Externes Personal nicht vergessen!

Alles vorab Gesagte gilt entsprechend auch für Personal, das von externen Stellen bereitgestellt wird. Auch hier muss rechtzeitig dafür gesorgt werden, dass etwa ein ehemaliger Mitarbeiter der externen IT-Firma nicht mehr für die Organisation tätig werden kann. Daher sollten die Vereinbarungen mit externen Stellen auch auf die genannten Umstände eingehen.

Fazit

Bereiten Sie sich sorgfältig und vor allem rechtzeitig vor! Die Risiken sind hoch, falls ein Mitarbeiter seine Tätigkeit unkontrolliert aufgibt. Zu schnell wird etwas übersehen. Überlegen Sie selbst, was ein böswilliger Ehemaliger im Ernstfall noch anrichten könnte.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

activeMind hilft ihren Mandanten mit Vorlagen und Checklisten für das systematische Offboarding von Mitarbeitenden und Dienstleistern.