Bundesamt für Sicherheit in der Informationstechnik

M 3.6 Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern

Verantwortlich für Initiierung: Informationssicherheitsmanagement, Vorgesetzte, Leiter Personal

Verantwortlich für Umsetzung: Personalabteilung, Vorgesetzte

Verlässt ein Mitarbeiter die Institution oder wechselt die Funktion, so ist zu beachten:

  • Vor dem Weggang ist eine rechtzeitige Einweisung des Nachfolgers durchzuführen. Dafür ist es wünschenswert, dass sich die Arbeitszeiträume wenigstens kurz überschneiden.
  • Von dem Ausscheidenden sind sämtliche Unterlagen (wie auch entliehene institutionseigene Bücher), ausgehändigte Schlüssel, ausgeliehene Geräte (z. B. tragbare Rechner, Speichermedien, Dokumentationen) zurückzufordern. Insbesondere sind die Behörden- bzw. Firmenausweise sowie sonstige Karten zur Zutrittsberechtigung einzuziehen. Ferner sind bei biometrischen Verfahren (z. B. Irisscanner, Fingerabdrücke und Handrückenerkennung) entsprechende Zutrittsberechtigungen zu löschen bzw. auf die getroffene Vertreterregelung anzupassen.
  • Es sind sämtliche für den Ausscheidenden eingerichteten Zugangsberechtigungen und Zugriffsrechte zu entziehen bzw. zu löschen. Dies betrifft auch die externen Zugangsberechtigungen via Datenübertragungseinrichtungen. Wurde in Ausnahmefällen eine Zugangsberechtigung zu einem IT-System zwischen mehreren Personen geteilt (z. B. mittels eines gemeinsamen Passwortes), so ist nach Weggang einer der Personen die Zugangsberechtigung zu ändern.
  • Vor der Verabschiedung sollte noch einmal explizit darauf hingewiesen werden, dass alle Verschwiegenheitserklärungen weiterhin in Kraft bleiben und keine während der Arbeit erhaltenen Informationen weitergegeben werden dürfen.
  • Ist die ausscheidende Person ein Funktionsträger in einem Notfallplan, so ist der Notfallplan zu aktualisieren.
  • Sämtliche mit Sicherheitsaufgaben betrauten Personen, insbesondere der Pförtnerdienst, sind über den Weggang und Funktionsänderungen von Mitarbeitern zu unterrichten.
  • Ausgeschiedenen Mitarbeitern ist der unkontrollierte Zutritt zum Behörden- oder Firmengelände, insbesondere zu Räumen mit IT-Systemen, zu verwehren. Auch bei Funktionsänderungen muss unter Umständen die Zutrittsberechtigung zu bestimmten Räumlichkeiten wie Serverräumen entzogen werden.
  • Optional kann sogar für den Zeitraum zwischen Aussprechen einer Kündigung und dem Weggang der Entzug sämtlicher Zugangs- und Zugriffsrechte auf IT-Systeme sowie darüber hinaus auch das Verbot, schützenswerte Räume zu betreten, ausgesprochen werden.

Alle notwendigen Aktivitäten, wenn ein Mitarbeiter die Institution verlässt oder die Funktion wechselt, sind klar zu regeln. Als ein praktikables Hilfsmittel haben sich sogenannte Laufzettel erwiesen, auf denen die einzelnen Aktivitäten des Ausscheidenden vorgezeichnet sind, die er vor Verlassen der Behörde bzw. des Unternehmens zu erledigen hat.

Prüffragen:

  • Sind die Aktivitäten, die beim Weggang oder Funktionswechsel von Mitarbeitern durchzuführen sind, klar geregelt?

  • Werden die zuständigen Stellen über das Ausscheiden eines Mitarbeiters rechtzeitig unterrichtet?

  • Wird sichergestellt, dass sämtliche Zutrittsrechte, Zugangsberechtigungen und Zugriffsrechte einer ausscheidenden Person entzogen und gelöscht werden?

  • Wird sichergestellt, dass sämtliche institutionseigenen Werte ( z. B. Unterlagen, Schlüssel, Rechner, Speichermedien) von einer ausscheidenden Person zurückgefordert und eingezogen werden?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK