Personalsicherheit nach ISO 27001

Mitarbeiter spielen für die Informationssicherheit im Unternehmen eine eine herausragende Rolle und können zugleich ein großes Sicherheitsrisiko darstellen. Denn Informationssicherheit baut immer auf die drei Säulen Prozesse, Technik und Menschen auf. Die Sicherheitsnorm ISO 27001 legt daher in Annex A, Kapitel 7 ein besonderes Augenmerk auf die Personalsicherheit. Sie dient einer strukturierten Personalverwaltung und soll vorbeugbaren Risiken entgegenwirken.

Wir verschaffen Ihnen einen Überblick über die Vorgaben der ISO 27001 zur Personalsicherheit anhand des typischen Beschäftigungszyklus von der Bewerbung bis zum Ausscheiden des Mitarbeiters.

Vor Beschäftigungsbeginn

Verantwortlichkeiten

Bereits vor Beschäftigungsbeginn kann ein Unternehmen die ersten Sicherheitsvorkehrungen treffen. So ist vor dem Abschluss eines Arbeitsvertrags sicherzustellen, dass der Kandidat für den Tätigkeitsbereich geeignet ist und ihm im Bewerbungsverfahren schon klar wird, welche Verantwortlichkeiten er haben wird.

Arbeitgeberseitig sollte darauf geachtet werden, dass möglichst schon in der Stellenausschreibung Rechte und Pflichten der zu besetzenden Position so genau wie möglich dargestellt werden. Der Bewerber kann dann Berechtigungen und Grenzen besser abschätzen. Das Unternehmen stellt dadurch intern sicher, dass in diesem Zeitpunkt eine klare Umgrenzung des zukünftigen Verantwortungsbereichs eindeutig definiert ist.

Bewerbungsunterlagen und Bewerbungsverfahren

Bei eingehenden Bewerbungsunterlagen sollte das Unternehmen die Vertrauenswürdigkeit und Zuverlässigkeit des Bewerbers überprüfen. Das kann u.a. die Personalabteilung bei Durchsicht des Lebenslaufs und der Zeugnisse übernehmen.

Außerdem besteht partiell die Möglichkeit sich den Bewerber in sozialen Netzwerken anzusehen. Vorsicht ist geboten bei Facebook, Twitter und Instagram. Diese dienen dem privaten Gebrauch und dürfen nicht vom Arbeitgeber bei der Bewerbung herangezogen werden. Eine Ausnahme besteht, wenn der Bewerber ausdrücklich darauf hinweist in seiner Bewerbung.

LinkedIn und Xing können unter den Voraussetzungen der Informationspflicht des potentiellen Arbeitgebers nach Art. 14 DSGVO angesehen werden. Ggf. können so weitere Information von dem Bewerber eingeholt werden. Grundsätzlich dürfen im Bewerbungsverfahren nur Daten abgefragt werden, die für die Einstellungsentscheidung relevant und erforderlich sind (siehe dazu unser ausführlicher Ratgeber zum Datenschutz bei Bewerberdaten).

Kurz vor und während der Beschäftigung

Führungszeugnis

Zunächst ist wichtig zu erwähnen, dass nicht für jede Tätigkeit ein Führungszeugnis verlangt werden darf. In Fällen, die nicht ausdrücklich im Gesetz geregelt sind, ist eine Erforderlichkeit nur dann anzunehmen, wenn von dem Arbeitgeber eine besondere Zuverlässigkeit verlangt wird, und wenn für diesen keine andere Möglichkeit besteht, einen Nachweis einzuholen. Zudem muss jegliches strafrechtliches Vorverhalten relevant sein, weil die zu besetzende Position ein starkes Vertrauensverhältnis erfordert, beispielsweise für Tätigkeiten im Bankwesen und der Compliance (siehe dazu unser Artikel zur Frage, wann Arbeitgeber ein Führungszeugnis verlangen dürfen).

Diverse Richtlinien

Bei Vertragsunterzeichnung sollte dem neuen Mitarbeiter eine IT-Nutzungsrichtlinie und die Informationen zum Datenschutz inklusive einer Verpflichtungs- und Vertraulichkeitsvereinbarung ausgehändigt werden. Geschäftsgeheimnisse sind zu schützen. Die Kenntnisnahme der Dokumente ist durch Unterschrift des Mitarbeiters zu dokumentieren.

Onboarding-Checklisten

Checklisten helfen, im Onboarding-Prozess auch aus Sicht der Informationssicherheit den Überblick zu behalten. Eine mögliche Gliederung einer Onboarding-Checkliste könnte sein:

  • Zugänge einrichten
  • Arbeitsplatz
  • Berechtigung und Zugriffe
  • Installation und Endkontrolle
  • Willkommens-E-Mail
  • Dokumentation und Unterlagen übergeben
  • Kurzeinführung
  • Einweisung

Auch die bereits genannten Punkte, wie Führungszeugnisse und Richtlinien, dürfen auf solch einer Liste nicht fehlen. Solche Listen dienen zudem der Dokumentation und für den Nachweis bei einem Audit.

Der Mitarbeiter ist im Rahmen des Onboarding-Prozesses auf die Sicherheitsstandards des Unternehmens hinzuweisen. Er muss dafür sensibilisiert werden, dass vorgegebene Richtlinien unbedingt einzuhalten sind. Außerdem ist er auf diejenigen Maßnahmen hinzuweisen, die besonders für seinen Tätigkeitsbereich zu beachten ist.

Terrorlistenscreening

Für ein Terrrorlistenscreening von Mitarbeitern besteht keine ausdrückliche gesetzliche Pflicht. Allerdings wird von der Europäischen Union durch Verordnungen ein Bereitstellungsverbot normiert. Falls ein Mitarbeiter auf der Sanktionsliste der Europäischen Union (Update 5. Februar 2021: Gültigkeitsdauer um sechs Monate verlängert) wiederzufinden ist, darf vom Unternehmen an ihn kein Gehalt oder sonstiges Geld mehr ausgezahlt oder sonstige wirtschaftliche Ressourcen zur Verfügung gestellt werden. Bei Zuwiderhandeln drohen dem Arbeitgeber Sanktionen (mehr dazu in unseren weiterführenden Artikel zum Terrorlistenscreening).

Schulungen

Während des bestehenden Beschäftigungsverhältnisses muss größter Wert auf Bewusstsein und Sensibilisierung für Informationssicherheit gelegt werden. Dies wird erreicht, indem Mitarbeiter ausgebildet und regelmäßig geschult werden. Am besten findet eine Schulung zur Informationssicherheit und zum Datenschutz bereits in der ersten Woche statt. Sie sollte regelmäßig aufgefrischt werden und mindestens einmal jährlich stattfinden.

Die Schulungen sollten einerseits unternehmensbezogene Sicherheitsmaßnahmen umfassen und andererseits bereichsspezifische. Wichtig ist, dass es nicht nur um Wissensinhalte geht, sondern dass zusätzlich vermittelt wird, wie die Sicherheitsmaßnahmen konkret umzusetzen sind. Dafür kann z.B. bzgl. neuer Technologien auf Informationen des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) zurückgegriffen werden.

Ein Schulungsplan kann z.B. folgende Punkte enthalten:

  • Aufklärung über Gesetze, Verordnungen, Richtlinien, Verträge, Vereinbarungen und dessen Änderungen
  • Zuordnung persönlicher Verantwortlichkeiten zu bestimmten Prozessen
  • Kennwortsicherheit, Clean-Desk-Policy, Maßnahmen bei Verdacht eines Angriffs von außen u.Ä.
  • Ansprechpartner und Datenbanken für weitere Informationen bzgl. Sicherheitsmaßnahmen

Um den Schulungsinhalt einzugrenzen und bedarfsspezifisch zu ermitteln, hilft es, mit Mitarbeitern zu sprechen und Fehler oder Probleme aus der Vergangenheit zu analysieren.

Nach den Schulungen ist darauf zu achten, dass deren Wirksamkeit überprüft wird. Dies wird beispielsweise durch ein Feedback-Gespräch mit den Teilnehmern der Schulung über deren Qualität und Umsetzbarkeit erreicht.

Disziplinarverfahren

Außerdem sollte unbedingt ein Prozess für den Fall eines Verstoßes gegen Sicherheitsmaßnahmen ausgearbeitet werden. Dieser Prozess hat zu enthalten, welche Konsequenzen ein Mitarbeiter zu erwarten hat, wenn er sich pflichtwidrig verhält. Bereits vor dem Zuwiderhandeln sollten allen Mitarbeitern im Unternehmen bewusst sein, was ihnen bei einem Verstoß droht. Andererseits kann man Prämien für besondere Initiative in der Informationssicherheit an Mitarbeiter vergeben.

Änderung oder Beendigung der Beschäftigung

Strukturiertes Offboarding

Bei Beendigung des Beschäftigungsverhältnisses besteht bereits häufig ein Offboarding-Prozess. Orientieren kann man sich dabei an den Listen zum Onboarding. Falls ein solcher Prozess nicht besteht, sollte er eingeführt werden.

Es ist eine Zuständigkeit im Unternehmen festzulegen. Das Offboarding kann zum Beispiel vom direkten Vorgesetzten oder von der Personalabteilung übernommen werden. Der Verantwortliche hat dann alle Bereiche des Offboardings zu überwachen.

Die Beendigung eines Arbeitsverhältnisses sollte strukturiert verlaufen. So ist beispielsweise zu vermeiden, dass die IT-Abteilung den Laptop zurücknimmt und die Büroschlüssel wiederum der Büroassistentin übergeben werden. Diese Aufteilung sorgt für Unübersichtlichkeit und Ungenauigkeiten.

Mit Hilfe eines Offboarding-Plans lässt sich nicht nur sicherstellen, dass nichts vergessen wird, es lassen sich auch die einzelnen Handlungen dokumentieren. Ein Offboarding-Plan enthält etwa:

  • Entzug der Zutrittsberechtigungen, das heißt z.B. eine Information an den Pförtner weitergeben, dass dem Mitarbeiter der Zutritt künftig verweigert wird
  • Entzug Zugangsberechtigungen durch Zurücksetzen des Passworts und Löschung des Accounts sowie Sperrung von VPN- und Cloud-Zugängen
  • Entzug der Zugriffsberechtigungen
  • Rückgabe von Betriebsmittel wie Arbeitshandys, Laptops
  • Rückgabe von Authentifizierungsmitteln oder Schlüsseln
  • Rückgabe von Papieren und Dokumenten des Unternehmens
  • Auflösung von Homeverzeichnissen und Postfächern
  • Verpflichtung beim Ausscheiden

Änderung der Beschäftigung

Bei der Änderung einer Beschäftigung ist besonders auf die Rechtevergabe und Berechtigungen der alten und neuen Position des Mitarbeiters Wert zu legen. Berechtigungen sollten nicht notwendigerweise weiterbestehen. Dabei kann die Offboarding-Checklist in angepasster Form herangezogen werden, damit kein Punkt vergessen wird.

Fazit: Personalsicherheit erfordert strukturiertes Vorgehen

Mit geregelten Prozessen und klarer Strukturierung ist Personalsicherheit in jedem Stadium der Beschäftigung möglich. Es bedarf zunächst eines Bewusstseins für einzelne Maßnahmen, um Mitarbeiter einzuschätzen, zu schulen und zu leiten.

Sobald fest vorgeschriebene Abläufe vor Beschäftigungsbeginn, während der Beschäftigung und bei Beendigung bzw. Änderung der Beschäftigung von den Verantwortlichen implementiert und umgesetzt werden, wird das vom Personal ausgehende Sicherheitsrisiko erheblich reduziert.

Bestellen Sie jetzt einen unserer Experten als externen Informationssicherheitsbeauftragten für Ihr Unternehmen und lassen sich zur erfolgreichen Zertifizierung nach ISO 27001 führen.

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.