Bundesamt für Sicherheit in der Informationstechnik

Umsetzungshinweise zum Baustein ORP.2 Personal

Schnell zum Abschnitt

1 Beschreibung

1.1 Einleitung

Das Personal eines Unternehmens bzw. einer Behörde bildet die Grundlage für dessen bzw. deren Erfolg oder Misserfolg. Gleichzeitig sind die Mitarbeiterinnen und Mitarbeiter ein wesentlicher Bestandteil der Informationssicherheit. Wie die Erfahrung zeigt, sind selbst die aufwendigsten Sicherheitsvorkehrungen ohne das richtige Verhalten der Mitarbeiter wirkungslos. Ein Bewusstsein dafür, was Informationssicherheit für die Institution und deren Geschäftsprozesse bedeutet und der richtige Umgang der Mitarbeiter mit den zu schützenden Informationen der Institution sind daher wesentlich.

Dieser Baustein beschäftigt sich in erster Linie mit den Sicherheitsmaßnahmen, die für und durch Mitarbeiter einer Institution umgesetzt werden sollten. Beginnend mit der Einstellung von Mitarbeitern bis hin zu deren Weggang ist eine Vielzahl von Maßnahmen erforderlich. Darüber hinaus dürfen natürlich auch nicht weitere Personengruppen, die mit den Informationen der Institution in Berührung kommen, vergessen werden, wie Mitarbeiter von Dienstleistern und Kunden. Auch für den Umgang mit Externen, wie z. B. Besuchern, Reinigungspersonal oder Wartungstechnikern, müssen angemessene Sicherheitsmaßnahmen vorhanden sein.

1.2 Lebenszyklus

Für das in einem Unternehmen oder einer Behörde tätige Personal sind eine Reihe von Maßnahmen umzusetzen, beginnend mit einer geregelten Einarbeitung neuer Mitarbeiter, über Schulungen, bis hin zu einem geregelten Ausscheiden eines Mitarbeiters. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

Umsetzung

Das Unternehmen bzw. die Behörde muss neuen Mitarbeitern bestehende Regelungen und Handlungsanweisungen bekannt machen (siehe ORP.2.M1 Geregelte Einarbeitung neuer Mitarbeiter), damit diese zügig in die bestehenden Prozesse integriert werden können. Ebenso ist es unerlässlich, alle Mitarbeiter über Veränderungen dieser Regelungen und ihre spezifischen Auswirkungen auf einen Prozess oder auf den einzelnen Mitarbeiter zu unterrichten. Insbesondere bei sicherheitskritischen Betriebsumgebungen empfiehlt es sich, die Mitarbeiter entsprechend zu verpflichten und die Vertrauenswürdigkeit von Mitarbeitern bestätigen zu lassen (siehe ORP.2.M6 Überprüfung von Kandidaten bei der Auswahl von Personal, ORP.2.M7 Überprüfung der Vertrauenswürdigkeit von Mitarbeitern, ORP.2.M5 Vertraulichkeitsvereinbarungen und ORP.2.M13 Sicherheitsüberprüfung). Besonderes Gewicht ist hierbei auf die Vertrauenswürdigkeit von Personen mit besonderen Funktionen und Berechtigungen zu legen, wie beispielsweise Administratoren.

Betrieb

Die Motivation aller Mitarbeiter, Informationssicherheit in den Betriebsprozessen zu akzeptieren und auch eigenverantwortlich umzusetzen, muss durch geeignete Schulungen und durch detaillierte Kenntnisse der Anwendungen auf fachlicher Ebene motiviert und gefördert werden (siehe hierzu Baustein ORP.3: Sensibilisierung und Schulung).

Um eine kontinuierliche Verfügbarkeit wichtiger Prozesse zu erreichen, muss dafür gesorgt werden, dass Schlüsselpositionen immer besetzt sind, wenn dies von den Abläufen her gefordert wird (siehe ORP.2.M3 Vertretungsregelungen).

Kommunikationsprobleme, persönliche Probleme, schlechtes Betriebsklima, weitreichende organisatorische Veränderungen und Ähnliches sind ebenfalls Faktoren, die zu Sicherheitsrisiken führen können. Für solche Fälle sollten Vertrauenspersonen und Anlaufstellen eingerichtet sein (siehe ORP.2.M12 Benennung separater Ansprechpartner).

Funktionsänderungen

Bei Mitarbeitern, die die Institution verlassen oder andere Funktionen übernehmen, müssen bestehende Regelungen mit erhöhter Sorgfalt umgesetzt werden (siehe ORP.2.M2 Geregelte Verfahrensweise beim Weggang von Mitarbeitern). Bei kurzfristig ausscheidenden Mitarbeitern kann ein potentielles Risiko vorhanden sein, dass unberechtigterweise vertrauliche Informationen mitgenommen werden oder erst im Nachhinein gezielte Manipulationen an Einrichtungen, IT-Systemen oder Daten bemerkt werden.

2 Maßnahmen

Im Folgenden sind spezifische Umsetzungshinweise im Bereich "Personal" aufgeführt.

2.1 Basis-Maßnahmen

Die folgenden Maßnahmen sollten vorrangig umgesetzt werden:

ORP.2.M1 Geregelte Einarbeitung neuer Mitarbeiter [Vorgesetzte]

Neue Mitarbeitern müssen nicht nur in ihre neuen Aufgaben eingearbeitet werden, sie müssen auch über interne Regelungen, Gepflogenheiten und Verfahrensweisen informiert werden. Ohne eine entsprechende Einweisung kennen sie ihre Ansprechpartner zu Fragen der Informationssicherheit nicht, sie wissen nicht, welche Sicherheitsmaßnahmen durchzuführen sind und welche Sicherheitsstrategie die Behörde bzw. das Unternehmen verfolgt. Daraus können Störungen und Schäden für die Institution erwachsen. Daher kommt der geregelten Einarbeitung neuer Mitarbeiter eine entsprechend hohe Bedeutung zu. Die erfahrenen Mitarbeiter sollte entsprechend sensibilisiert werden, damit sie neue Mitarbeiter unterstützen und somit Sicherheitsprobleme bereits im Vorfeld auf ein Minimum reduziert werden können. Neuen Mitarbeitern sollte ein erfahrener Kollege für Fragen zur Seite gestellt werden.

Die Einarbeitung bzw. Einweisung sollte zumindest folgende Punkte umfassen:

  • Alle neuen Mitarbeiter sollten in die Benutzung der für den Arbeitsplatz wesentlichen IT-Systeme und Anwendungen eingewiesen bzw. geschult werden. Außerdem sollten alle neuen Mitarbeiter zu allen relevanten Sicherheitsmaßnahmen sensibilisiert und geschult werden (siehe auch Baustein ORP.3: Sensibilisierung und Schulung). Neue Mitarbeiter sollten ausreichend Zeit zur Einarbeitung haben.
  • Es sollten alle Ansprechpartner vorgestellt werden, insbesondere die zu Fragen rund um Informationssicherheit und Datenschutz.
  • Die Sicherheitsziele der Behörde bzw. des Unternehmens sollten den neuen Mitarbeitern vorgestellt werden. Alle hausinternen Regelungen und Vorschriften zur Informationssicherheit müssen erläutert werden. Für alle Arten von potentiellen Sicherheitsvorfällen sollten die Verhaltensregeln und Meldewege dargelegt werden.Hilfreich zur Durchführung der Einarbeitung ist ein Laufzettel oder eine Checkliste, aus der die einzelnen Aktivitäten und der erreichte Stand der Einarbeitung ersichtlich sind.

ORP.2.M2 Geregelte Verfahrensweise beim Weggang von Mitarbeitern [Vorgesetzte, IT-Betrieb]

Verlässt ein Mitarbeiter die Institution oder wechselt die Funktion, so ist zu beachten:

  • Vor dem Weggang ist eine rechtzeitige Einweisung des Nachfolgers durchzuführen. Dafür ist es wünschenswert, dass sich die Arbeitszeiträume wenigstens kurz überschneiden.
  • Von dem Ausscheidenden sind sämtliche Unterlagen (wie auch entliehene institutionseigene Bücher), ausgehändigte Schlüssel, ausgeliehene Geräte (z. B. tragbare Rechner, Speichermedien, Dokumentationen) zurückzufordern. Insbesondere sind die Behörden- bzw. Firmenausweise sowie sonstige Karten und Zutrittstokens sowie Schlüssel zur Zutrittsberechtigung einzuziehen. Ferner sind bei biometrischen Verfahren (z. B. Irisscanner, Fingerabdrücke und Handrückenerkennung) entsprechende Zutrittsberechtigungen zu löschen bzw. auf die getroffene Vertreterregelung anzupassen.
  • Es sind sämtliche für den Ausscheidenden eingerichteten Zugangsberechtigungen und Zugriffsrechte zu entziehen bzw. zu löschen. Dies betrifft auch die externen Zugangsberechtigungen via Datenübertragungseinrichtungen. Wurde in Ausnahmefällen eine Zugangsberechtigung zu einem IT-System zwischen mehreren Personen geteilt (z. B. mittels eines gemeinsamen Passwortes), so ist nach Weggang einer der Personen die Zugangsberechtigung zu ändern.
  • Vor der Verabschiedung sollte noch einmal explizit darauf hingewiesen werden, dass alle Verschwiegenheitserklärungen weiterhin in Kraft bleiben und keine während der Arbeit erhaltenen Informationen weitergegeben werden dürfen.
  • Ist die ausscheidende Person ein Funktionsträger in einem Notfallplan, so ist der Notfallplan zu aktualisieren.
  • Sämtliche mit Sicherheitsaufgaben betrauten Personen, insbesondere der Pförtnerdienst, sind über den Weggang und Funktionsänderungen von Mitarbeitern zu unterrichten.
  • Ausgeschiedenen Mitarbeitern ist der unkontrollierte Zutritt zum Behörden- oder Firmengelände, insbesondere zu Räumen mit IT-Systemen, zu verwehren. Auch bei Funktionsänderungen muss unter Umständen die Zutrittsberechtigung zu bestimmten Räumlichkeiten wie Serverräumen entzogen werden.
  • Optional kann sogar für den Zeitraum zwischen Aussprechen einer Kündigung und dem Weggang der Entzug sämtlicher Zugangs- und Zugriffsrechte auf IT-Systeme erfolgen sowie darüber hinaus auch das Verbot, schützenswerte Räume zu betreten, ausgesprochen und technisch umgesetzt werden.
  • Alle notwendigen Aktivitäten, wenn ein Mitarbeiter die Institution verlässt oder die Funktion wechselt, sind klar zu regeln. Als ein praktikables Hilfsmittel haben sich sogenannte Laufzettel erwiesen, auf denen die einzelnen Aktivitäten des Ausscheidenden vorgezeichnet sind, die er vor Verlassen der Behörde bzw. des Unternehmens zu erledigen hat.

ORP.2.M3 Vertretungsregelungen [Vorgesetzte]

Vertretungsregelungen haben den Sinn, für vorhersehbare (Urlaub, Dienstreise) und auch unvorhersehbare Fälle (Krankheit, Unfall, Kündigung) des Personenausfalls die Fortführung der Aufgabenwahrnehmung zu ermöglichen. Daher muss vor Eintritt eines solchen Falles geregelt sein, wer wen in welchen Angelegenheiten mit welchen Kompetenzen vertritt. Dies ist besonders im Bereich der Informationsverarbeitung von Bedeutung, da dafür meist Spezialwissen erforderlich ist und eine zeitgerechte Einarbeitung unkundiger Mitarbeiter für den Vertretungsfall nicht möglich ist.

Für die Vertretungsregelungen sind folgende Randbedingungen einzuhalten:

  • Für alle wesentlichen Geschäftsprozesse und Aufgaben müssen tragfähige Vertretungsregelungen vorhanden sein. Diese müssen regelmäßig aktualisiert werden.
  • Die Übernahme von Aufgaben im Vertretungsfall setzt voraus, dass der Verfahrens- oder Projektstand hinreichend dokumentiert ist.
  • Das Benennen eines Vertreters reicht in der Regel nicht aus, es muss überprüft werden, wie der Vertreter zu schulen ist, damit er die Aufgaben inhaltlich übernehmen kann. Stellt sich heraus, dass es Personen gibt, die aufgrund ihres Spezialwissens nicht kurzfristig ersetzbar sind, so bedeutet deren Ausfall eine gravierende Gefährdung des Normalbetriebes. Hier ist es von besonders großer Bedeutung, einen Vertreter zu schulen.
  • Es muss festgelegt sein, welcher Aufgabenumfang im Vertretungsfall von wem wahrgenommen werden soll.
  • Der Vertreter darf die erforderlichen Zugangs-, Zugriffs- und Zutrittsberechtigungen nur im Vertretungsfall erhalten.
  • Ist es in Ausnahmefällen nicht möglich, für Personen einen kompetenten Vertreter zu benennen oder zu schulen, sollte frühzeitig überlegt werden, welche externen Kräfte für den Vertretungsfall eingesetzt werden können.

ORP.2.M4 Regelungen für den Einsatz von Fremdpersonal

Häufig wird in Behörden oder Unternehmen auf externe Unterstützung zurückgegriffen, falls die entsprechenden personellen Ressourcen nicht im eigenen Haus vorhanden sind. Dies kann im Extremfall dazu führen, dass Fremdpersonal über so lange Zeiträume im eigenen Haus eingesetzt wird, dass viele Mitarbeiter schon nicht mehr genau wissen, ob es sich um eigene oder externe Mitarbeiter handelt. Hier bietet es sich an, sowohl interne als auch externe Mitarbeiter auf das Tragen entsprechender Ausweise zu verpflichten.

Externe Mitarbeiter, die über einen längeren Zeitraum in einer oder für eine Organisation tätig sind und eventuell Zugang zu vertraulichen Unterlagen und Daten bekommen könnten, sind schriftlich auf die Einhaltung der geltenden einschlägigen Gesetze, Vorschriften und internen Regelungen zu verpflichten.

Beim Einsatz von externen Mitarbeitern muss außerdem auf jeden Fall sichergestellt sein, dass sie bei Beginn ihrer Tätigkeit - ähnlich wie eigene Mitarbeiter - in ihre Aufgaben eingewiesen werden. Sie sind - soweit es zur Erfüllung ihrer Aufgaben und Verpflichtungen erforderlich ist - über hausinterne Regelungen und Vorschriften zur Informationssicherheit sowie organisationsweite Richtlinien zur Informationssicherheit zu unterrichten. Dies gilt in besonderem Maß, wenn sie innerhalb der Liegenschaften des Auftraggebers arbeiten.

Daneben sollte sichergestellt sein, dass auch für externe Mitarbeiter Vertretungsregelungen existieren. Ebenso sollte gewährleistet sein, dass sich diese mit den von ihnen eingesetzten IT-Anwendungen auskennen und auch die erforderlichen Sicherheitsmaßnahmen beherrschen.

Bei Beendigung des Auftragsverhältnisses muss eine geregelte Übergabe der Arbeitsergebnisse und der erhaltenen Unterlagen und Betriebsmittel erfolgen. Es sind außerdem sämtliche eingerichteten Zugangs-, Zugriffs- und Zutrittsberechtigungen und Zugriffsrechte zu entziehen bzw. zu löschen. Außerdem sollte der Ausscheidende explizit darauf hingewiesen werden, dass die Verschwiegenheitsverpflichtung auch nach Beendigung der Tätigkeit bestehen bleibt.

Kurzfristig oder einmalig zum Einsatz kommendes Fremdpersonal ist wie Besucher zu behandeln, d. h. beispielsweise dass der Aufenthalt in sicherheitsrelevanten Bereichen nur in Begleitung von Mitarbeitern der Behörde bzw. des Unternehmens erlaubt ist.

ORP.2.M5 Vertraulichkeitsvereinbarungen für den Einsatz von Fremdpersonal

Externe Mitarbeiter erhalten häufig für die Erfüllung ihrer Aufgaben Zugang zu vertraulichen Informationen oder erzielen Ergebnisse, die vertraulich behandelt werden müssen. In diesen Fällen müssen sie verpflichtet werden, diese entsprechend zu behandeln. Hierüber sollten Vertraulichkeitsvereinbarungen (Non-Disclosure-Agreements) abgeschlossen werden, die vom externen Mitarbeiter unterzeichnet wird.

In einer Vertraulichkeitsvereinbarung sollte beschrieben sein,

  • welche Informationen vertraulich behandelt werden müssen,
  • für welchen Zeitraum diese Vertraulichkeitsvereinbarung gilt,
  • welche Aktionen bei Beendigung dieser Vereinbarung vorgenommen werden müssen, z. B. Vernichtung oder Rückgabe von Datenträgern,
  • wie die Eigentumsrechte an Informationen geregelt sind,
  • welche Regelungen für den Gebrauch und die Weitergabe von vertraulichen Informationen an weitere Partner gelten, falls dies notwendig ist,
  • welche Konsequenzen bei Verletzung der Vereinbarung eintreten.

In der Vertraulichkeitsvereinbarung kann auch auf die relevanten Sicherheitsrichtlinien und weitere Richtlinien der Organisation hingewiesen werden. In dem Fall, dass externe Mitarbeiter Zugang zu organisationsinternen IT-Infrastruktur haben, sollten diese neben der Vertraulichkeitsvereinbarung auch die Sicherheitsrichtlinien für die Nutzung der jeweiligen IT-Systeme unterzeichnen.

Eine Vertraulichkeitsvereinbarung bietet die rechtliche Grundlage für die Verpflichtung externer Mitarbeiter zur vertraulichen Behandlung von Informationen. Aus diesem Grund muss sie alle relevanten Gesetze und Bestimmungen für die Organisation in dem speziellen Einsatzbereich berücksichtigen, klar formuliert sein und aktuell gehalten werden.

Es kann sinnvoll sein, verschiedene Vertraulichkeitsvereinbarungen je nach Einsatzzweck zu verwenden. In diesem Fall muss klar definiert werden, welche Vereinbarung für welche Fälle notwendig ist.

2.2 Standard-Maßnahmen

Gemeinsam mit den Basis-Maßnahmen entsprechen die folgenden Maßnahmen dem Stand der Technik im Bereich "Personal".

ORP.2.M6 Überprüfung von Kandidaten bei der Auswahl von Personal

Bereits bei der Formulierung der Anforderungen sollten die erforderlichen Qualifikationen und Fähigkeiten genau beschrieben sein. Ob diese bei Bewerbern tatsächlich vorhanden sind, sollte zunächst anhand der Unterlagen nachgeprüft, anschließend im Gespräch geklärt werden.

Personen, die sicherheitsrelevante Aufgaben ausüben sollen (beispielsweise Sicherheitsverantwortliche, Datenschutzbeauftragte, Administratoren, Mitarbeiter mit Zugang zu finanzwirksamen oder vertraulichen Informationen), müssen besonders vertrauenswürdig und zuverlässig sein.

Besonders ist darauf zu achten, dass keine Interessenkonflikte oder Abhängigkeiten entstehen, die die Aufgabenerfüllung gefährden. Interessenkonflikte können insbesondere dann auftreten, wenn ein Mitarbeiter gleichzeitig verschiedene Rollen innehat, die ihm zu weitreichende Rechte geben oder sich ausschließen. Außerdem sollten die Aufgaben von Mitarbeitern auch nicht von Interessenkonflikten außerhalb der Behörde oder des Unternehmens beeinträchtigt werden, beispielsweise durch frühere Stellen oder durch anderweitige Verpflichtungen. Um nach einem Stellenwechsel Interessenkonflikte zu vermeiden, können Konkurrenzverbote und Karenzzeiten vereinbart werden.

Soweit die fachlichen Qualifikationen in Teilbereichen noch nicht ausreichend vorhanden sind, müssen Mitarbeiter die Gelegenheit bekommen, diese zu erweitern. Um die erforderlichen Qualifikationen und Fähigkeiten zu erhalten und zu aktualisieren, sollten alle Mitarbeiter regelmäßig geschult werden und auf die Bedeutung von Informationssicherheit hingewiesen werden (siehe auch Baustein ORP.3: Sensibilisierung und Schulung).

Auch bei der Auswahl von Mitarbeitern für befristete Stellen oder von Dienstleistern sollten diese Punkte berücksichtigt werden.

ORP.2.M7 Überprüfung der Vertrauenswürdigkeit von Mitarbeitern

Die Möglichkeiten, die Vertrauenswürdigkeit von neuem oder externem Personal überprüfen zu lassen, sind in Deutschland, aber auch in vielen anderen Ländern, rechtlich sehr eingeschränkt. Dazu kommt, dass die Ergebnisse meist wenig aussagekräftig sind, wie z. B. bei polizeilichen Führungszeugnissen. Grundsätzlich sollte aber vor der Übernahme von neuen oder externen Mitarbeitern in Projekte überprüft werden, ob

  • diese hinreichende Referenzen haben, z. B. aus anderen, ähnlichen Projekten, und
  • der vorgelegte Lebenslauf des Bewerbers aussagekräftig und vollständig ist.

Darüber hinaus kann es sinnvoll sein, sich akademische und berufliche Qualifikationen bestätigen zu lassen, beispielsweise durch Nachfragen an der Universität oder früheren Arbeitgebern oder Kunden. Auch die Identität des Bewerbers sollte verifiziert werden, z. B. durch Vorlage von Ausweispapieren.

Wenn externes Personal intern eingesetzt wird oder im Rahmen von Projekten, Kooperationen oder Outsourcing-Vorhaben auf interne Anwendungen und Daten zugreifen kann, sollten vergleichbare Überprüfungen wie für eigene Mitarbeiter durchgeführt werden. Bei der Vertragsgestaltung mit externen Dienstleistern sollte vertraglich festgehalten werden, welche Seite solche Überprüfungen durchzuführen hat, in welcher Tiefe diese erfolgen und wie diese dokumentiert werden.

Auswahl vertrauenswürdiger Administratoren

Den IT -System- oder TK -Anlagen-Administratoren und deren Vertretern muss vom Betreiber großes Vertrauen entgegengebracht werden können. Sie haben - in Abhängigkeit vom eingesetzten System - weitgehende und oftmals alle Befugnisse. Administratoren und ihre Vertreter sind in der Lage, auf alle gespeicherten Daten zuzugreifen, gegebenenfalls zu verändern und Berechtigungen so zu vergeben, dass erheblicher Missbrauch möglich wäre.

Administratoren für IT-Systeme und deren Vertreter müssen sorgfältig ausgewählt werden. Sie müssen regelmäßig darüber belehrt werden, dass die Befugnisse nur für die erforderlichen Administrationsaufgaben verwendet werden dürfen.

Da der Administrator hinsichtlich der Funktionsfähigkeit der eingesetzten Hard- und Software eine Schlüsselrolle innehat, muss auch bei seinem Ausfall die Weiterführung seiner Tätigkeiten gewährleistet sein. Hierzu müssen die benannten Vertreter über den aktuellen Stand der Systemkonfiguration verfügen sowie Zugriff auf die für die Administration benötigten Passwörter, Schlüssel und Sicherheitstoken haben.

Hat ein Unternehmen oder eine Behörde mehrere Administratoren mit vergleichbaren IT-Systemkenntnissen, so können sich diese auch wechselseitig vertreten, wenn diese dafür noch freie Kapazitäten haben. In allen Bereichen, in denen nur ein Administrator hauptverantwortlich IT-Systeme betreut, sollten zwei Stellvertreter eingearbeitet werden, da bei längerer Abwesenheit des Administrators erfahrungsgemäß auch der Stellvertreter zeitweise nicht für Administrationsaufgaben zur Verfügung steht.

Um die Funktionsfähigkeit des IT-Betriebs zu gewährleisten, muss insbesondere bei bevorstehenden Personalveränderungen oder Veränderungen der Organisationsstruktur geprüft werden, ob die erforderlichen Administrationstätigkeiten auch durch die benannten Administratoren und deren Vertreter bewältigt werden können.

Insbesondere bei bevorstehenden Umzügen kann es durch Administrationsaufgaben an einem weiteren Standort zu einem erheblichen höheren Arbeitsaufkommen der Administratoren kommen. Auch in solchen Fällen muss sichergestellt sein, dass der Produktionsbetrieb am bisherigen Standort bis zum Zeitpunkt des Umzugs nicht beeinträchtigt wird.

ORP.2.M8 Aufgaben und Zuständigkeiten von Mitarbeitern [Informationssicherheitsbeauftragter (ISB)]

Die Aufgaben und Zuständigkeiten von Mitarbeitern sind in geeigneter Weise zu dokumentieren, beispielsweise durch Arbeitsverträge oder Vereinbarungen. Hieraus leiten sich unter anderem die Berechtigungen ab, die Mitarbeitern für den Umgang mit Informationen und IT-Systemen erhalten. Bei der Zuweisung von Aufgaben und Zuständigkeiten sollte die Mitarbeiter auch direkt auf sicherheitsrelevante Aspekte hingewiesen werden, beispielsweise welche Informationen an welche interne oder externe Ansprechpartner weitergegeben werden dürfen und unter welchen Rahmenbedingungen wie z. B. Verschlüsselung dies zu erfolgen hat.

Dazu gehört auch, dass Mitarbeiter wissen, dass sie auch außerhalb der Arbeitszeit und außerhalb des Betriebsgeländes eine Verantwortlichkeit für Informationssicherheit haben.

Der Informationssicherheitsbeauftragte muss dafür sorgen, dass alle Mitarbeiter ihre Aufgaben und Zuständigkeiten im Sicherheitsprozess kennen. Dazu kann er beispielsweise mit der Personalabteilung oder den Fachvorgesetzen klären, ob die entsprechenden Prozesse dies sicherstellen.

ORP.2.M9 Schulung von Mitarbeitern

Die Mitarbeiter sollten entsprechend ihrer Tätigkeit regelmäßig geschult werden, damit sie in Bezug auf die ihnen übertragenen Tätigkeiten immer auf einem entsprechend aktuellen Stand sind. Dies ist gerade im Bereich der IT-Administration und Wartung der Informationstechnik wichtig, da sich in diesem Bereich die schnellsten Veränderungen ergeben. Aber auch in allen anderen Bereichen sollte sichergestellt werden, dass kein Mitarbeiter basierend auf einem veralteten Wissensstand seiner Arbeit nachgeht. Weiterhin sollte den Mitarbeitern während ihrer Beschäftigung die Möglichkeit gegeben werden, sich im Rahmen ihres Tätigkeitsfeldes weiterzubilden.

Alle Mitarbeiter müssen in die Geräte, Anwendungen und Aktivitäten eingewiesen sein, die zur sicheren Verarbeitung von Informationen dienen, beispielsweise Schredder, Verschlüsselungsprogramme oder Authentisierungstoken. Darüber hinaus sollten alle Mitarbeiter regelmäßig im Bereich der Informationssicherheit geschult und über alltägliche Risiken und mögliche Gegenmaßnahmen unterrichtet werden. Die Mitarbeiter sollten darüber hinaus motiviert werden, Regelungen zur Informationssicherheit eigenverantwortlich umzusetzen. Bei größerem Schulungsbedarf KANN es sinnvoll sein, einzelne Mitarbeiter gesondert zu schulen und innerhalb des Tätigkeitsbereichs als Multiplikatoren für die restlichen Mitarbeiter einzusetzen, um mögliche Ausfallzeiten durch Schulungen zu minimieren.

Dieses Thema wird ausführlich im Baustein ORP.3: Sensibilisierung und Schulung behandelt.

ORP.2.M10 Vermeidung von Störungen des Betriebsklimas

Durch ein positives Betriebsklima werden die Mitarbeiter einerseits zur Einhaltung von Sicherheitsmaßnahmen motiviert, andererseits wird die Gefahr von fahrlässigen oder vorsätzlichen Handlungen reduziert, die den Betrieb stören können. Störungen des Betriebsklimas können dabei eine Vielzahl von inner- und außerbetrieblichen Ursachen haben, treten jedoch häufig bei gravierenden innerbetrieblichen Veränderungen auf. Beispiele für solche Veränderungen sind Umstrukturierungen, Sanierungen, Verkauf oder Fusionen von Organisationseinheiten und Outsourcing-Vorhaben. Diese können das Betriebsklima negativ beeinflussen, da sie meistens Ängste unterschiedlicher Art (z. B. Kompetenzverlust, Versagensängste, Arbeitsplatzverlust) hervorrufen. Diese können besser bewältigt werden, wenn das Betriebsklima schon vor den Veränderungen möglichst gut ist.

Auch unter Sicherheitsaspekten sollte daher versucht werden, ein positives Betriebsklima zu erreichen und dauerhaft aufrechtzuerhalten. Die Vielzahl der Möglichkeiten kann hier nicht angeführt werden, deshalb ist hier lediglich eine Auswahl möglicher Maßnahmen genannt, deren Angemessenheit und Realisierbarkeit im Einzelnen zu prüfen wäre:

  • Einrichtung eines Sozialraums,
  • Vermeidung von Überstunden,
  • Vermeidung von großen Resturlaubsansprüchen,
  • Einhaltung von Pausenzeiten,
  • geregelte Aufgabenverteilung,
  • gleichmäßige Arbeitsauslastung,
  • leistungsgerechte Bezahlung,
  • bestehende Vertreterregelung.

Kommunikationsprobleme in einer Organisation führen fast zwangsläufig auch zu Sicherheitsproblemen. Dies kann im Extremfall zu bewussten Sicherheitsverletzungen führen. Wenn die Benutzer Sicherheitsmaßnahmen nur als "lästig" empfinden, weil sie nicht über deren Zweck informiert worden sind, kann das bereits dazu führen, dass diese umgangen werden.

Auch das Überbringen schlechter Nachrichten muss möglich sein, ohne dass der Bote deswegen Sanktionen befürchten muss. Es sollte ein Betriebsklima vorhanden sein, in dem es für jeden Betroffenen möglich ist, Sicherheitsvorfälle innerhalb des eigenen Unternehmens bzw. der eigenen Behörde zu melden. Nur so können bestehende Sicherheitsdefizite wirkungsvoll und offen angegangen werden.

Mitarbeiter können nicht nur über finanzielle Anreize motiviert werden. Wichtig ist vor allem die Anerkennung ihrer Arbeitsleistung. Mitarbeiter sollten, wo immer möglich, in Entscheidungen mit einbezogen werden.

Zumindest sollten sie über die Gründe für die getroffenen Entscheidungen informiert werden, damit sie aktiv und motiviert an deren Umsetzung mitwirken.

Häufig äußert sich z. B. Protest gegen die Auswahl bestimmter Hard- oder Software darin, dass die Benutzer zu zeigen versuchen, dass die aufgezwungene Hard- oder Software nicht so sicher ist, wie die von ihnen präferierte.

Das Betriebsklima und das Verhalten von Mitarbeitern kann besonders bei großen Veränderungen, wie etwa bei Outsourcing-Vorhaben, von besonderer Bedeutung sein: unzufriedene oder verärgerte Mitarbeiter können ein solches Vorhaben zum Scheitern verurteilen (z. B. Kündigung von Know-how-Trägern in kritischen Phasen der Veränderung oder bewusstes Ignorieren von Sicherheitsanweisungen), was für das Unternehmen in Folge existenzbedrohend sein kann. Bei größeren Umstrukturierungen oder Outsourcing-Vorhaben ist die Beachtung folgender Aspekte empfehlenswert:

  • Die Mitarbeiter sollten frühzeitig in Entscheidungsprozesse wie die Auswahl eines Outsourcing-Dienstleisters eingebunden werden. Im weiteren Projektverlauf sollten sie an der Gestaltung von eventuellen Übernahmeverträgen beteiligt werden.
  • Die Mitarbeiter sollten umfassend und frühzeitig über Veränderungen informiert werden und einen Ansprechpartner für Probleme und Fragen haben. Indirekte Informationen durch die Medien, z. B. über Zeitungen, statt direkte durch die Firmen- oder Behördenleitung schafft Misstrauen, zerstört die Vertrauensbasis und bereitet Spekulationen und Gerüchten den Boden.
  • Bei organisatorischen Veränderungen sollten den betroffenen Mitarbeitern Zukunftsperspektiven aufgezeigt werden. Oftmals sind Outsourcing-Dienstleister darauf angewiesen, dass ein möglichst hoher Anteil der Mitarbeiter des auszulagernden Bereichs zu ihnen wechselt. Nur so kann eine befriedigende Dienstleistungsqualität garantiert werden. Mitarbeiter, die Zukunftsangst haben oder sich unfair behandelt fühlen, lassen in ihrer Arbeitsqualität nach oder verlassen sogar vorzeitig das Unternehmen.
  • Anspruchsvolle oder belastende Tätigkeiten, die im Rahmen von Umstrukturierungen nicht zu vermeiden sind, sollten ausreichend gewürdigt und anerkannt werden. Die erforderliche Mehrarbeit sollte honoriert werden.

2.3 Maßnahmen für erhöhten Schutzbedarf

Im Folgenden sind Maßnahmenvorschläge aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und bei erhöhtem Schutzbedarf in Betracht gezogen werden sollten. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Maßnahme vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).

ORP.2.M11 Analyse der Sicherheitskultur(CIA)

Zu den wichtigsten Grundpfeilern der Informationssicherheit in einer Institution gehören deren Mitarbeiter. Wie die Erfahrung zeigt, sind selbst die aufwendigsten technischen Sicherheitsvorkehrungen ohne das richtige Verhalten der Mitarbeiter wertlos. Ein Bewusstsein dafür, was Informationssicherheit für die Institution und deren Geschäftsprozesse bedeutet und der richtige Umgang der Mitarbeiter mit den zu schützenden Informationen der Institution sind dafür wesentlich.

Die für die Institution ausgewählten Sicherheitsmaßnahmen sollten sich daher immer an den Mitarbeitern orientieren. Dabei sollte deren Wissen und Umgang mit Informationen und IT einbezogen werden. Daher ist es sinnvoll, die verschiedenen Faktoren zu analysieren, die dazu beitragen, wie sich Mitarbeiter aus Sicherheitssicht verhalten. Darauf aufbauend kann dann untersucht werden, wo die personelle und organisatorische Sicherheit noch verbessert werden kann, beispielsweise durch Sensibilisierung und Schulung zur Informationssicherheit.

Folgende Aspekte sollten durchleuchtet werden:

Sicherheitskultur

Der Begriff Sicherheitskultur umfasst die sicherheitsbezogenen Einstellungen, Werte und grundlegenden Überzeugungen einer Institution und aller ihrer Mitarbeiter. Zur Sicherheitskultur gehört auch, wie offen der Umgang mit Fragen zur Informationssicherheit in der Institution gelebt wird. So ist für die effektive und effiziente Behandlung von Sicherheitsvorfällen eine vertrauensvolle und offene Kommunikationskultur wichtig, damit Sicherheitsvorfälle auch umgehend weitergemeldet und lösungsorientiert angegangen werden.

  • Wie ist der Umgang in der Behörde oder dem Unternehmen mit geschäftsrelevanten Informationen und mit Risiken generell? Ist die Institution eher risiko-orientiert oder eher risiko-vermeidend? Werden Informationen eher freizügig oder nur restriktiv weitergegeben?
  • Wie sind die Anforderungen an Genauigkeit und Präzision? Sind kleinere Fehler beispielsweise in Texten tragbar, weil diese ohnehin noch mehrere Abstimmprozesse durchlaufen müssen? Kann ein Eingabefehler bereits zu folgenschweren Schäden führen?
  • Wie sind die Ansprüche an Verfügbarkeit? Gibt es eine Vielzahl enger Termine? Können Bearbeitungszeiten für Anfragen und Geschäftsprozesse flexibel festgelegt werden? Sind kleinere Terminüberschreitungen oder -änderungen im Allgemeinen tragbar oder führen sie zu harten Konsequenzen?

Stark beeinflusst wird die Sicherheitskultur einer Institution davon, in welcher Branche sie tätig ist. In Hochsicherheitsbereichen wird naturgemäß weniger offen mit Informationen umgegangen als in Forschungseinrichtungen.

Wissen und Können

  • Wie gut kennen sich die Mitarbeiter mit IT aus? Ist IT- und Internet-Nutzung eher eine Notwendigkeit, um Geschäftsprozesse effektiver gestalten zu können, oder sind Leben und Arbeiten ohne IT und Internet nicht mehr vorstellbar?
  • Welche Erfahrungen und Kenntnisse haben die Mitarbeiter über Informationssicherheit und Datenschutz? Wie sind deren Fähigkeiten zu IT-basierten Sicherheitsmaßnahmen wie Verschlüsselung? Wie ist das Wissen in den verschiedenen Bereichen der Institution verteilt?
  • Wie ist der gelebte Umgang der Mitarbeiter mit Fragen der Informationssicherheit und des Datenschutzes? Wie sehen die Mitarbeiter den Bedarf, Informationen vor Veränderungen oder unbefugter Weitergabe zu schützen?
  • Können Mitarbeiter aktiv ihre Ideen und Vorstellungen zur Informationssicherheit in den Sicherheitsprozess einbringen?

Sicherheitsrichtlinien

  • Passen die Sicherheitsrichtlinien der Institution zu den Geschäftsprozessen und der internen Sicherheitskultur? Sind sie einfach umzusetzen? Sind sie praxisnah und den aktuellen Umgebungsbedingungen angepasst? Behindern sie Arbeitsläufe? Unterstützen sie erwünschte Verhaltensweisen?

Anwendungen und IT

  • Ermöglichen die vorhandenen IT-Komponenten einen Umgang mit den geschäftsrelevanten Informationen, der sowohl deren Schutzbedarf als auch den festgelegten Sicherheitsvorgaben entspricht?

Leitungsebene

  • Wie steht die Leitungsebene zur Informationssicherheit? Nehmen Vorgesetzte ihre Vorbildfunktion war? Gibt es Wünsche der Leitungsebene zur Verbesserung der Sicherheitsprozesse?

Kulturelle Hintergründe

  • Auch die kulturellen Hintergründe können den Umgang mit zu schützenden Informationen und mit Sicherheitsvorgaben generell beeinflussen. Daher sollte untersucht werden, ob es regionale und nationale Unterschiede im Umgang mit Informationssicherheit gibt. Vor allem sollte auch ergründet werden, welche unterschiedlichen Herangehensweisen an Informationssicherheit es in den verschiedenen Bereichen der Institution gibt. Auch einzelne Abteilungen können bereits eigene Regeln und Verhaltensweisen im Umgang mit geschäftsrelevanten Informationen entwickeln.

Veränderungen

  • Alle Arten von weitreichenden Veränderungen für die Beschäftigten können deren Umgang mit Informationen, Geschäftsprozessen und IT ändern. Dazu gehören beispielsweise Umstrukturierungen, Entlassungen, Wechsel von Aufgaben oder Vorgesetzten.

Sollte sich bei der Analyse herausstellen, dass sich Mitarbeiter anders verhalten als es aus Sicherheitssicht sinnvoll ist, gibt es verschiedene Wege, um hiermit umzugehen. Es kann z. B. versucht werden, das Verhalten zu ändern (siehe ORP.3: Sensibilisierung und Schulung). Andererseits kann es in vielen Fällen einfacher sein, die Sicherheitsvorgaben oder Arbeitsabläufe umzugestalten, da Änderungen von Verhaltensweisen nur langfristig zu erreichen sind. Dabei ist zu beachten, dass dem Schutzbedarf unverändert durch angemessene Sicherheitsvorgaben bzw. Maßnahmenumsetzungen Rechnung getragen wird.

ORP.2.M12 Benennung separater Ansprechpartner(CIA)

Für eine unzureichende Aufgabenerfüllung können oftmals persönliche Probleme eines Arbeitnehmers ursächlich sein. Als Probleme lassen sich beispielsweise hohe Schulden, Suchtkrankheiten aber auch Schwierigkeiten am Arbeitsplatz (Über-/Unterforderung, Mobbing) aufzählen. Um dem Betroffenen bei der Bewältigung dieser Probleme zu helfen, kann es in vielen Fällen hilfreich sein, wenn eine Vertrauensperson zur Verfügung steht. Dieser Ansprechpartner sollte dabei sowohl die Interessen des Betroffenen im Auge haben und konkrete Hilfestellung anbieten als auch die Interessen des Unternehmens bzw. Behörde wahren und gemeinsam mit dem Betroffenen nach Lösungsmöglichkeiten suchen.

An diese Vertrauensperson müssen sich aber auch Vorgesetzte und Kollegen wenden können, wenn wiederholt Auffälligkeiten Dritter wahrgenommen wurden, die auf eine verminderte Zuverlässigkeit schließen lassen. Die Vertrauensperson muss dann die Möglichkeit haben, sich an den Betroffenen zu wenden und Hilfe anzubieten.

Eine solche Stelle können Personalrat, Betriebsrat, Betriebsärzte einnehmen. Die Einrichtung einer solchen Anlaufstelle ist allen Mitarbeitern bekannt zu geben. Externe Stellen sind zum Beispiel die Beratungsstellen der gesetzlichen Krankenkassen.

ORP.2.M13 Sicherheitsüberprüfung(CIA)

Die Möglichkeiten, die Vertrauenswürdigkeit von neuem oder externem Personal überprüfen zu lassen, sind in Deutschland, aber auch in vielen anderen Ländern, rechtlich sehr eingeschränkt. Dazu kommt, dass die Ergebnisse meist wenig aussagekräftig sind, wie z. B. bei polizeilichen Führungszeugnissen. Im Hochsicherheitsbereich kann die grundlegende Überprüfung der Vertrauenswürdigkeit von Mitarbeitern, wie zuvor beschrieben nicht ausreichen. Hier sollte eine zusätzliche Sicherheitsüberprüfung durchgeführt werden.

3 Weiterführende Informationen

3.1 Wissenswertes

Hier werden ergänzende Informationen aufgeführt, die im Rahmen der Maßnahmen keinen Platz finden, aber dennoch beachtenswert sind. Derzeit liegen für diesen Baustein keine entsprechenden Informationen vor. Sachdienliche Hinweise nimmt die IT-Grundschutz-Hotline gerne unter grundschutz@bsi.bund.de entgegen.

3.2 Literatur

Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Bereich "Personal" finden sich unter anderem in folgenden Veröffentlichungen:

  • [27001A7] ISO/IEC 27001:2013 - Annex A.7 Human resource security

    Information technology- Security techniques- Information security management systems- Requirements, Insebsondere Annex A, A.7 Human resource security, ISO, 2013

  • [ISFCF2] The Standard of Good Practice

    insbesondere Area CF2 Human Resource Security, Information Security Forum (ISF), 06.2014

  • [NIST80053F145] NIST Special Publication 800-53 - REVISION 4 - APPENDIX PAGE F-145

    Revision 4, Security and Privacy Controls for Federal Information Systems and Organizations, insbesondere APPENDIX F-PS PAGE F-145, FAMILY: SYSTEM AND SERVICES ACQUISITION, FAMILY: SYSTEM AND COMMUNICATIONS PROTECTION and FAMILY: SYSTEM AND INFORMATION INTEGRITY, NIST, 2015
    http://nvlpubs.nist.gov/GGTSPU-fw1.bsi.bund.de-8690-598708-um44WKCwoM5r2JP4-LOD/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK