Bundesamt für Sicherheit in der Informationstechnik

B 1.2 Personal

Logo Personal

Beschreibung

In diesem Baustein werden die übergeordneten IT-Grundschutz-Maßnahmen erläutert, die im Bereich Personalwesen standardmäßig durchgeführt werden sollten. Beginnend mit der Einstellung von Mitarbeitern bis hin zu deren Weggang ist eine Vielzahl von Maßnahmen erforderlich. Auch für den Umgang mit Externen, wie z. B. Besuchern oder Wartungstechnikern, müssen angemessene Sicherheitsmaßnahmen vorhanden sein. Personelle Empfehlungen, die an eine bestimmte Funktion gebunden sind, wie z. B. die Ernennung des Systemadministrators eines LAN, werden in den Bausteinen angeführt, die sich mit dem jeweiligen Themengebiet beschäftigen.

Gefährdungslage

In diesem Baustein werden für den IT-Grundschutz die folgenden typischen Gefährdungen betrachtet:

Höhere Gewalt

G 1.1 Personalausfall
G 1.2 Ausfall von IT-Systemen

Organisatorische Mängel

G 2.2 Unzureichende Kenntnis über Regelungen
G 2.7 Unerlaubte Ausübung von Rechten

Menschliche Fehlhandlungen

G 3.1 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten
G 3.2 Fahrlässige Zerstörung von Gerät oder Daten
G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
G 3.8 Fehlerhafte Nutzung von IT-Systemen
G 3.9 Fehlerhafte Administration von IT-Systemen
G 3.36 Fehlinterpretation von Ereignissen
G 3.37 Unproduktive Suchzeiten
G 3.43 Ungeeigneter Umgang mit Passwörtern oder anderen Authentikationsmechanismen
G 3.44 Sorglosigkeit im Umgang mit Informationen
G 3.77 Mangelhafte Akzeptanz von Informationssicherheit

Vorsätzliche Handlungen

G 5.1 Manipulation oder Zerstörung von Geräten oder Zubehör
G 5.2 Manipulation an Informationen oder Software
G 5.20 Missbrauch von Administratorrechten
G 5.23 Schadprogramme
G 5.42 Social Engineering
G 5.80 Hoax
G 5.104 Ausspähen von Informationen

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Für das in einem Unternehmen oder einer Behörde tätige Personal sind eine Reihe von Maßnahmen umzusetzen, beginnend mit einer geregelten Einarbeitung neuer Mitarbeiter, über Schulungen, bis hin zu einem geregelten Ausscheiden eines Mitarbeiters. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

Umsetzung

Das Unternehmen bzw. die Behörde muss neuen Mitarbeitern bestehende Regelungen und Handlungsanweisungen bekannt machen (siehe M 3.1 Geregelte Einarbeitung/Einweisung neuer Mitarbeiter ), damit diese zügig in die bestehenden Prozesse integriert werden können. Ebenso ist es unerlässlich, alle Mitarbeiter über Veränderungen dieser Regelungen und ihre spezifischen Auswirkungen auf einen Prozess oder auf den einzelnen Mitarbeiter zu unterrichten. Insbesondere bei sicherheitskritischen Betriebsumgebungen empfiehlt es sich, die Mitarbeiter entsprechend zu verpflichten und die Vertrauenswürdigkeit von Mitarbeitern bestätigen zu lassen (siehe M 3.33 Sicherheitsüberprüfung von Mitarbeitern ). Besonderes Gewicht ist hierbei auf die Vertrauenswürdigkeit von Personen mit besonderen Funktionen und Berechtigungen zu legen (siehe M 3.10 Auswahl eines vertrauenswürdigen Administrators und Vertreters ).

Betrieb

Die Motivation aller Mitarbeiter, Informationssicherheit in den Betriebsprozessen zu akzeptieren und auch eigenverantwortlich umzusetzen, muss durch geeignete Schulungen (siehe M 3.5 Schulung zu Sicherheitsmaßnahmen ) und durch detaillierte Kenntnisse der Anwendungen (siehe M 3.4 Schulung vor Programmnutzung ) auf fachlicher Ebene motiviert und gefördert werden. Hierbei kommt der Ausbildung des Administrations- und Wartungspersonals (siehe M 3.11 Schulung des Wartungs- und Administrationspersonals ) ein besonderer Stellenwert zu, da dieser Personenkreis aufgrund seiner weitgehenden Rechte im Umgang mit der IT eine hohe Verantwortung trägt.

Um eine kontinuierliche Verfügbarkeit wichtiger Prozesse zu erreichen, muss dafür gesorgt werden, dass Schlüsselpositionen immer besetzt sind, wenn dies von den Abläufen her gefordert wird (siehe M 3.3 Vertretungsregelungen ).

Kommunikationsprobleme, persönliche Probleme, schlechtes Betriebsklima, weitreichende organisatorische Veränderungen und Ähnliches sind ebenfalls Faktoren, die zu Sicherheitsrisiken führen können. Für solche Fälle sollten Vertrauenspersonen und Anlaufstellen eingerichtet sein (siehe M 3.7 Anlaufstelle bei persönlichen Problemen ).

Funktionsänderungen

Bei Mitarbeitern, die die Institution verlassen oder andere Funktionen übernehmen, müssen bestehende Regelungen mit erhöhter Sorgfalt umgesetzt werden (siehe M 3.6 Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern ). Bei kurzfristig ausscheidenden Mitarbeitern kann ein potentielles Risiko vorhanden sein, dass unberechtigterweise vertrauliche Informationen mitgenommen werden oder erst im nachhinein gezielte Manipulationen an Einrichtungen, IT-Systemen oder Daten bemerkt werden.

Nachfolgend wird das Maßnahmenbündel für den Bereich "Personal" vorgestellt:

Planung und Konzeption

M 2.226 (A) Regelungen für den Einsatz von Fremdpersonal
M 3.51 (Z) Geeignetes Konzept für Personaleinsatz und -qualifizierung
M 3.83 (Z) Analyse sicherheitsrelevanter personeller Faktoren

Beschaffung

M 3.50 (Z) Auswahl von Personal

Umsetzung

M 3.1 (A) Geregelte Einarbeitung/Einweisung neuer Mitarbeiter
M 3.10 (A) Auswahl eines vertrauenswürdigen Administrators und Vertreters
M 3.33 (Z) Sicherheitsüberprüfung von Mitarbeitern
M 3.55 (C) Vertraulichkeitsvereinbarungen

Betrieb

M 3.3 (A) Vertretungsregelungen
M 3.4 (A) Schulung vor Programmnutzung
M 3.5 (A) Schulung zu Sicherheitsmaßnahmen
M 3.7 (Z) Anlaufstelle bei persönlichen Problemen
M 3.8 (Z) Vermeidung von Störungen des Betriebsklimas
M 3.11 (A) Schulung des Wartungs- und Administrationspersonals

Aussonderung

M 3.6 (A) Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern

Stand: 12. EL Stand 2011