Bundesamt für Sicherheit in der Informationstechnik

ORP.2 Personal

Schnell zum Abschnitt

1 Beschreibung

1.1 Einleitung

Das Personal eines Unternehmens bzw. einer Behörde bildet die Grundlage für dessen bzw. deren Erfolg oder Misserfolg. Gleichzeitig sind die Mitarbeiterinnen und Mitarbeiter ein wesentlicher Bestandteil der Informationssicherheit. Wie die Erfahrung zeigt, sind selbst die aufwendigsten Sicherheitsvorkehrungen ohne das richtige Verhalten der Mitarbeiter wirkungslos. Ein Bewusstsein dafür, was Informationssicherheit für die Institution und deren Geschäftsprozesse bedeutet und der richtige Umgang der Mitarbeiter mit den zu schützenden Informationen der Institution sind daher wesentlich.

1.2 Zielsetzung

Ziel dieses Bausteins ist es aufzuzeigen, welche personellen Sicherheitsmaßnahmen durch die Personalabteilung oder die Vorgesetzten einer Institution zu ergreifen sind, damit die Mitarbeiterinnen und Mitarbeiter sicher mit den Informationen der Institution umgehen und sich so verhalten, wie es den Sicherheitszielen der Institution und den Sicherheitsanforderungen der zu schützenden Informationen entspricht. Beginnend mit der Einstellung von Mitarbeitern bis hin zu deren Weggang ist eine Vielzahl von Maßnahmen erforderlich. Darüber hinaus dürfen natürlich auch weitere Personengruppen, die mit den Informationen der Institution in Berührung kommen, nicht vergessen werden, wie Mitarbeiter von Dienstleistern und Kunden. Auch für den Umgang mit Externen, wie z. B. Besuchern, Reinigungspersonal oder Wartungstechnikern, müssen angemessene Sicherheitsmaßnahmen vorhanden sein.

1.3 Abgrenzung

Dieser Baustein beschäftigt sich mit den Anforderungen, die durch die Personalabteilung oder die Vorgesetzten einer Institution zu beachten und zu erfüllen sind. Personelle Anforderungen, die an eine bestimmte Funktion gebunden sind, wie z. B. die Ernennung des Systemadministrators eines LAN, werden in den Bausteinen angeführt, die sich mit dem jeweiligen Themengebiet beschäftigen.

2 Gefährdungslage

Folgende spezifische Bedrohungen und Schwachstellen sind im Bereich Personal von besonderer Bedeutung:

2 1 Personalausfall

Der Ausfall von Personal kann dazu führen, dass bestimmte Aufgaben nicht mehr oder nicht zeitnah wahrgenommen werden können.

2 2 Missbrauch von Berechtigungen

Jeder, der Informationen bearbeiten soll, benötigt dafür angemessene Berechtigungen. Nutzer können diese missbrauchen, indem sie diese ausnutzen, um Informationen zu manipulieren, weiterzugeben oder auf andere Weise der Institution zu schaden.

2 3 Fehlende oder unzureichende Regelungen

Wenn Regelungen zur Informationssicherheit fehlen, unzureichend, nicht umsetzbar oder unverständlich sind, kann das dazu führen, dass notwendige Sicherheitsmaßnahmen nicht umgesetzt werden (siehe auch G 0.29 Verstoß gegen Gesetze oder Regelungen).

2 4 Unzureichende Kenntnis über Regelungen

Die Festlegung von Regelungen allein sichert noch nicht deren Beachtung und keinen störungsfreien Betrieb. Allen Mitarbeitern müssen die geltenden Regelungen auch bekannt sein, vor allem den Funktionsträgern. Ein Schaden, der entsteht, weil bestehende Regelungen nicht bekannt sind, darf sich nicht mit den Aussagen entschuldigen lassen: "Ich habe nicht gewusst, dass ich dafür zuständig bin." oder "Ich habe nicht gewusst, wie ich zu verfahren hatte."

2 5 Fehlverhalten

Fehlverhalten von Personen aller Art kann dazu führen, dass Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen, Geschäftsprozessen oder IT-Systemen gestört werden. Je nach Schutzbedarf der Informationen oder der Systeme und je nach Berechtigungen der Verursacher können die Schäden gering oder kritisch sein.

2 6 Social Engineering

Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt, um unberechtigten Zugang zu Informationen oder IT-Systemen durch "Aushorchen" zu erlangen. Dadurch können Mitarbeiter so manipuliert werden, dass sie unzulässig handeln.

2 7 Sorglosigkeit im Umgang mit Informationen

Häufig ist zu beobachten, dass in Institutionen zwar eine Vielzahl von organisatorischen und technischen Sicherheitsverfahren vorhanden sind, diese jedoch durch den sorglosen Umgang mit den Vorgaben und der Technik wieder ausgehebelt werden. Ein typisches Beispiel hierfür sind die fast schon sprichwörtlichen Zettel am Monitor, auf denen Zugangspasswörter notiert sind.

2 8 Unberechtigte Verwendung eigener IT-Systeme

Die unberechtigte Verwendung eigener IT-Systeme durch Mitarbeiter kann grundsätzlich nur schwer verhindert werden. Der Verwendung des eigenen Laptops, USB-Sticks oder Smartphones innerhalb der IT-Landschaft einer Institution kann zu diversen Sicherheitsrisiken, wie zum Beispiel dem unbeabsichtigten Einbringen von Schadprogrammen, führen.

2 9 Missbrauch sozialer Netzwerke

Soziale Netzwerke sind als Plattformen sehr erfolgreich. Allerdings gibt es neben den diversen Vorteilen auch Sicherheitsrisiken, die Benutzer nicht aus den Augen verlieren sollten. So können die in sozialen Netzwerken veröffentlichten Daten zum geschickten Passwortraten verwendet werden. Darüber hinaus eignen sich soziale Netze besonders für Social Engineering Angriffe, da hier zum einen viele Hintergrundinformationen gesammelt werden können und zum anderen das unter "Bekannten" angenommene Vertrauen ausgenutzt werden kann.

2 10 Manipulation oder Zerstörung von Geräten, Informationen oder Software

Außen-, aber auch Innentäter können aus unterschiedlichen Beweggründen heraus versuchen, Geräte, Informationen oder Software zu manipulieren oder zerstören. Die Auswirkungen reichen von der unerlaubten Einsichtnahme in schützenswerte Daten bis zur Zerstörung von IT-Systemen, die erhebliche Ausfallzeiten nach sich ziehen können.

3 Anforderungen

Im Folgenden sind spezifische Anforderungen für den Bereich Personal aufgeführt. Grundsätzlich ist die Personalabteilung für die Erfüllung der Anforderungen zuständig. Abweichungen hiervon werden in den entsprechenden Anforderungen gesondert erwähnt. Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür verantwortlich, dass alle Anforderungen gemäß dem festlegten Sicherheitskonzept erfüllt und überprüft werden.

BausteinverantwortlicherPersonalabteilung
Weitere VerantwortlicheIT-Betrieb, Informationssicherheitsbeauftragter (ISB), Vorgesetzte

3.1 Basis-Anforderungen

Die folgenden Anforderungen MÜSSEN vorrangig umgesetzt werden:

ORP.2.A1 Geregelte Einarbeitung neuer Mitarbeiter [Vorgesetzte]

Die Personalabteilung sowie die Vorgesetzten MÜSSEN dafür sorgen, dass neue Mitarbeiter zu Beginn ihrer Beschäftigung in ihre neuen Aufgaben eingearbeitet und über bestehende Regelungen, Gepflogenheiten und Verfahrensweisen informiert werden. Hierbei SOLLTE eine Checkliste unterstützend wirken.

Zur geregelten Einarbeitung neuer Mitarbeiter MÜSSEN diese auf bestehende Regelungen und Handlungsanweisungen zur Informationssicherheit hingewiesen werden. Alle Mitarbeiter MÜSSEN über Regelungen zur Informationssicherheit, deren Veränderungen und ihre spezifischen Auswirkungen auf einen Geschäftsprozess oder auf das jeweilige Arbeitsumfeld unterrichtet werden.

Alle Mitarbeiter MÜSSEN explizit darauf verpflichtet werden, einschlägige Gesetze, Vorschriften und interne Regelungen einzuhalten. Außerdem MÜSSEN alle Mitarbeiter darauf hingewiesen werden, dass alle während der Arbeit erhaltenen Informationen ausschließlich zum internen Gebrauch bestimmt sind, solange sie nicht anders gekennzeichnet sind.

ORP.2.A2 Geregelte Verfahrensweise beim Weggang von Mitarbeitern [Vorgesetzte, IT-Betrieb]

Vor dem Weggang eines Mitarbeiters MUSS eine rechtzeitige Einweisung des Nachfolgers, idealerweise durch den ausscheidenden Mitarbeiter, durchgeführt werden. Ist eine direkte Übergabe nicht möglich MUSS vom ausscheidenden Mitarbeiter eine ausführliche Dokumentation angefertigt werden. Außerdem MÜSSEN von ausscheidenden Mitarbeitern alle im Rahmen ihrer Tätigkeit erhaltenen Unterlagen, Schlüssel und Geräte sowie Ausweise und Zutrittsberechtigungen eingezogen werden.

Die IT-Administration MUSS außerdem dafür Sorge tragen, dass ehemaligen Mitarbeitern sämtliche Zugriffsberechtigungen auf IT-Systeme entzogen bzw. diese bei Aufgabenwechseln angepasst werden.

Vor der Verabschiedung MUSS noch einmal explizit auf Verschwiegenheitsverpflichtungen hingewiesen werden.

Weiterhin MÜSSEN Notfall- und andere Ablaufpläne aktualisiert werden. Alle betroffenen Stellen innerhalb der Institution, wie zum Beispiel das Sicherheitspersonal, MÜSSEN ebenfalls über das Ausscheiden des Mitarbeiters informiert werden. Um alle Aktivitäten, die mit dem Weggang von Mitarbeitern einhergehen, geregelt abarbeiten zu können, SOLLTE ähnlich der Einstellung auch hier die Erstellung und die Abarbeitung einer Checkliste hilfreich sein.

ORP.2.A3 Vertretungsregelungen [Vorgesetzte]

Die Vorgesetzten MÜSSEN für die Einführung und Aufrechterhaltung von Vertretungsregelungen Sorge tragen.Dabei MUSS sichergestellt werden, dass für alle wesentlichen Geschäftsprozesse und Aufgaben entsprechende und praktikable Vertretungsregelungen vorhanden sind. Bei diesen Regelungen MUSS der Aufgabenumfang der Vertretung im Vorfeld klar definiert werden. Hierbei reicht das einfache Benennen eines Vertreters nicht aus, sondern es MUSS sichergestellt werden, dass dieser über das für die Vertretung benötigte Wissen verfügt. Ist dies nicht der Fall, MUSS überprüft werden, wie der Vertreter zu schulen ist oder ob es ausreicht, den aktuellen Verfahrens- oder Projektstand ausreichend zu dokumentieren. Ist es im Ausnahmefall nicht möglich, für einzelne Mitarbeiter einen kompetenten Vertreter zu benennen oder zu schulen, MUSS frühzeitig überlegt werden, ob und wenn ja, welche externen Kräfte für den Vertretungsfall eingesetzt werden können.

ORP.2.A4 Regelungen für den Einsatz von Fremdpersonal

Bei der Beschäftigung von externem Personal MUSS dieses grundsätzlich wie alle eigenen Mitarbeiter auf die Einhaltung der geltenden Gesetze, Vorschriften und internen Regelungen verpflichtet werden. Kurzfristig oder einmalig zum Einsatz kommendes Fremdpersonal kann wie Besucher behandelt und MUSS in sicherheitsrelevanten Bereichen beaufsichtigt werden. Bei längerfristig beschäftigtem Fremdpersonal wiederum MUSS dieses ähnlich der eigenen Mitarbeiter in seine Aufgaben eingewiesen werden. Für solche Mitarbeiter MUSS außerdem eine Vertretungsregelung eingeführt werden. Bei ihrem Weggang MUSS analog zu eigenem Personal eine geregelte Über- und Rückgabe der Arbeitsergebnisse und eventuell ausgehändigter Zugangsberechtigungen erfolgen.

ORP.2.A5 Vertraulichkeitsvereinbarungen für den Einsatz von Fremdpersonal

Bevor Externe Zugang und Zugriff zu vertraulichen Informationen erhalten, MÜSSEN mit ihnen Vertraulichkeitsvereinbarungen abgeschlossen werden. Durch die verwendeten Vertraulichkeitsvereinbarungen MÜSSEN alle wichtigen Aspekte zum Schutz von organisationsinternen Informationen berücksichtigt werden.

3.2 Standard-Anforderungen

Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik im Bereich Personal. Sie SOLLTEN grundsätzlich umgesetzt werden.

ORP.2.A6 Überprüfung von Kandidaten bei der Auswahl von Personal

Bei der Auswahl von neuen Mitarbeitern SOLLTEN die erforderlichen Qualifikationen und Fähigkeiten genau formuliert sein. Anschließend SOLLTE anhand der Unterlagen und im Bewerbungsgespräch geprüft werden, ob diese bei den Bewerbern tatsächlich vorhanden sind. Besonders SOLLTE darauf geachtet werden, dass keine Interessenkonflikte auftreten. Um nach einem Stellenwechsel Interessenkonflikte zu vermeiden, SOLLTEN Konkurrenzverbote und Karenzzeiten vereinbart werden.

ORP.2.A7 Überprüfung der Vertrauenswürdigkeit von Mitarbeitern

Neue Mitarbeiter SOLLTEN vor ihrer Einstellung auf ihre Vertrauenswürdigkeit hin überprüft werden. Deshalb SOLLTEN alle Beteiligten bei der Personalauswahl mit der gebotenen Sorgfalt bemüht sein, Angaben der Bewerber/-innen, die relevant sind für die Einschätzung ihrer Vertrauenswürdigkeit, auf ihre Glaubhaftigkeit hin zu überprüfen, soweit dies möglich ist. Insbesondere SOLLTE der vorgelegte Lebenslauf auf Vollständigkeit, Plausibilität und Korrektheit kritisch geprüft werden. Dabei SOLLTEN kritisch erscheinende Daten durch dezidierte Nachfrage und dem Verlangen weiterer Nachweise geprüft werden.

ORP.2.A8 Aufgaben und Zuständigkeiten von Mitarbeitern [Informationssicherheitsbeauftragter (ISB)]

Die Aufgaben und Zuständigkeiten von Mitarbeitern SOLLTEN in geeigneter Weise dokumentiert sein, beispielsweise durch Arbeitsverträge oder Vereinbarungen. Der IT-Sicherheitsbeauftragte SOLLTE dafür sorgen, dass alle Mitarbeiter ihre Aufgaben und Zuständigkeiten im Sicherheitsprozess kennen. Insbesondere SOLLTE vereinbart sein, dass jeder Mitarbeiter auch außerhalb der Arbeitszeit und außerhalb des Betriebsgeländes eine Verantwortlichkeit für Informationssicherheit hat.

ORP.2.A9 Schulung von Mitarbeitern

Die Mitarbeiter SOLLTEN entsprechend ihrer Tätigkeit regelmäßig geschult werden, damit sie in Bezug auf die ihnen übertragenen Tätigkeiten immer auf einem entsprechend aktuellen Stand sind. In allen Bereichen SOLLTE sichergestellt werden, dass kein Mitarbeiter basierend auf einem veralteten Wissensstand seiner Arbeit nachgeht. Weiterhin SOLLTE den Mitarbeitern während ihrer Beschäftigung die Möglichkeit gegeben werden, sich im Rahmen ihres Tätigkeitsfeldes weiterzubilden.

Alle Mitarbeiter SOLLTEN in die Geräte, Anwendungen und Aktivitäten eingewiesen sein, die zur sicheren Verarbeitung von Informationen dienen. Darüber hinaus SOLLTEN alle Mitarbeiter regelmäßig im Bereich der Informationssicherheit geschult und über alltägliche Risiken und mögliche Gegenmaßnahmen unterrichtet werden. Die Mitarbeiter SOLLTEN darüber hinaus angehalten werden, Regelungen zur Informationssicherheit eigenverantwortlich umzusetzen. Bei größerem Schulungsbedarf SOLLTEN einzelne Mitarbeiter gesondert geschult und innerhalb des Tätigkeitsbereichs als Multiplikatoren für die restlichen Mitarbeiter eingesetzt werden.

ORP.2.A10 Vermeidung von Störungen des Betriebsklimas

Es SOLLTE, auch aus Sicht der Informationssicherheit, Maßnahmen ergriffen werden um für ein positives Betriebsklima zu sorgen.

3.3 Anforderungen bei erhöhtem Schutzbedarf

Im Folgenden sind exemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Anforderung vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).

ORP.2.A11 Analyse der Sicherheitskultur(CIA)

Die für die Institution ausgewählten Sicherheitsmaßnahmen SOLLTEN sich immer an der Institution und ihren Mitarbeitern orientieren. Dabei SOLLTEN, unter Beibehaltung der rechtlichen Rahmenbedingungen, analysiert werdenwie genau sich die Mitarbeiter aus Sicherheitssicht verhalten. Darauf aufbauend SOLLTE untersucht werden, wo die personelle und organisatorische Sicherheit noch verbessert werden kann.

ORP.2.A12 Benennung separater Ansprechpartner(CIA)

Zur Zufriedenheit der Mitarbeiter SOLLTE ein Verantwortlicher als vertrauenswürdiger Ansprechpartner benannt werden. Im Fall von größeren organisatorischen oder technischen Veränderungen SOLLTE die Benennung eines solchen Ansprechpartners geprüft werden.

ORP.2.A13 Sicherheitsüberprüfung(CIA)

Im Hochsicherheitsbereich SOLLTE eine zusätzliche Sicherheitsüberprüfung zur grundlegenden Überprüfung der Vertrauenswürdigkeit von Mitarbeitern durchgeführt werden.

4 Weiterführende Informationen

4.1 Literatur

Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Bereich "Personal" finden sich unter anderem in folgenden Veröffentlichungen:

5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen

Die folgenden elementaren Gefährdungen sind für den Baustein "Personal" von Bedeutung.

  • G 0.14 Ausspähen von Informationen (Spionage)
  • G 0.16 Diebstahl von Geräten, Datenträgern oder Dokumenten
  • G 0.17 Verlust von Geräten, Datenträgern oder Dokumenten
  • G 0.19 Offenlegung schützenswerter Informationen
  • G 0.22 Manipulation von Informationen
  • G 0.27 Ressourcenmangel
  • G 0.29 Verstoß gegen Gesetze oder Regelungen
  • G 0.32 Missbrauch von Berechtigungen
  • G 0.33 Personalausfall
  • G 0.34 Anschlag
  • G 0.35 Nötigung, Erpressung oder Korruption
  • G 0.36 Identitätsdiebstahl
  • G 0.37 Abstreiten von Handlungen
  • G 0.38 Missbrauch personenbezogener Daten
  • G 0.41 Sabotage
  • G 0.42 Social Engineering
  • G 0.44 Unbefugtes Eindringen in Räumlichkeiten
  • G 0.45 Datenverlust
  • G 0.46 Integritätsverlust schützenswerter Informationen

Die Kreuzreferenztabellen finden Sie aufgrund ihres Umfangs im Downloadbereich.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK