Informationssicherheit im Onboarding: Neue Mitarbeiter von Tag 1 mitnehmen

Warum Tag 1 entscheidend ist

Die ersten Arbeitstage eines neuen Mitarbeiters sind eine einmalige Gelegenheit. In keiner anderen Phase ist ein Mensch so aufmerksam, so lernbereit und so empfänglich für die Kultur eines Unternehmens wie in den ersten Wochen. Was in dieser Phase vermittelt wird, prägt Gewohnheiten, die über Jahre bestehen bleiben.

Das gilt genauso für Informationssicherheit wie für alle anderen Aspekte der Arbeit. Ein Mitarbeiter, der vom ersten Tag an lernt, dass starke Passwörter, Bildschirmsperren und das Melden verdächtiger E-Mails zum normalen Arbeitsalltag gehören, wird diese Verhaltensweisen verinnerlichen. Ein Mitarbeiter, der in den ersten Wochen keine Sicherheitsschulung bekommt und beobachtet, dass Kollegen Passwörter auf Post-its am Monitor kleben, wird diese Nachlässigkeit als Normalzustand übernehmen.

Aus Sicht des Risikomanagements kommt ein weiterer Aspekt hinzu: Neue Mitarbeiter sind überproportional anfällig für Sicherheitsvorfälle. Sie kennen die internen Prozesse noch nicht, wissen nicht, an wen sie sich bei Verdachtsfällen wenden sollen, und können echte interne E-Mails noch nicht von Phishing unterscheiden. Eine Studie des Ponemon Institute zeigt, dass Mitarbeiter in den ersten 90 Tagen dreimal häufiger auf Phishing-Mails klicken als etablierte Kollegen. Das allein ist Grund genug, Informationssicherheit im Onboarding ernst zu nehmen.

Trotzdem behandeln viele Unternehmen das Thema stiefmütterlich. Der neue Mitarbeiter bekommt seinen Laptop, ein Passwort auf einem Zettel und den Hinweis "Falls du Fragen hast, frag den Kollegen nebenan". Die Sicherheitsrichtlinien liegen irgendwo im Intranet und die Schulung kommt dann "in ein paar Wochen, wenn sich alles eingespielt hat". Dieses "ein paar Wochen" werden oft zu "nie", und die Sicherheitslücke bleibt offen.

Checkliste für das IT-Sicherheits-Onboarding

Eine strukturierte Checkliste ist das Rückgrat eines guten Sicherheits-Onboardings. Sie stellt sicher, dass kein Schritt vergessen wird und dass der Prozess für jeden neuen Mitarbeiter gleich abläuft, unabhängig davon, welcher Vorgesetzte oder welcher IT-Kollege das Onboarding durchführt.

Vor dem ersten Arbeitstag

Die Sicherheitsvorbereitungen beginnen nicht am ersten Tag, sondern davor. Folgende Schritte sollten abgeschlossen sein, bevor der neue Mitarbeiter sein Büro betritt:

Benutzerkonten einrichten. Active-Directory-Konto, E-Mail, VPN-Zugang und alle benötigten Anwendungen sollten bereitstehen. Die Berechtigungen werden nach dem Least-Privilege-Prinzip vergeben: Nur die Zugänge, die für die Rolle tatsächlich benötigt werden, nicht pauschal alles, was die Vorgängerin hatte.

Hardware vorbereiten. Laptop oder Workstation mit aktuellen Patches, aktivierter Festplattenverschlüsselung, konfiguriertem Virenschutz und vorinstalliertem VPN-Client. Das Gerät sollte direkt einsatzbereit sein, nicht erst am ersten Tag aufgesetzt werden müssen.

MFA einrichten. Falls möglich, wird die Multi-Faktor-Authentifizierung vorab konfiguriert, sodass der Mitarbeiter am ersten Tag nur noch die Aktivierung auf seinem Smartphone durchführen muss.

Zutrittsberechtigung. Schlüssel, Transponder oder Badge mit den rollenspezifischen Zutrittsrechten. Nicht jeder Mitarbeiter braucht Zugang zum Serverraum.

Onboarding-Paket vorbereiten. Die Sicherheitsrichtlinien, die Kurzschulung und die Kenntnisnahme-Formulare sollten vorbereitet und idealerweise digital über ein ISMS-Tool bereitgestellt werden.

Am ersten Arbeitstag

Hardware-Übergabe mit Sicherheitseinweisung. Nicht einfach den Laptop hinstellen und gehen. Die Übergabe ist der natürliche Zeitpunkt, um Sicherheitsfeatures zu erklären und zu demonstrieren (dazu mehr im nächsten Abschnitt).

Initiales Passwort ändern. Der Mitarbeiter setzt sein eigenes Passwort nach den Vorgaben der Passwort-Richtlinie. Der IT-Kollege erklärt die Anforderungen und empfiehlt einen Passwort-Manager.

MFA aktivieren. Der Mitarbeiter richtet die Zwei-Faktor-Authentifizierung auf seinem Diensthandy oder Authenticator ein.

Security-Awareness-Kurzschulung. 45 Minuten, die die wichtigsten Themen abdecken (Details folgen weiter unten).

Richtlinien-Kenntnisnahme. Der Mitarbeiter liest und bestätigt die wichtigsten Sicherheitsrichtlinien. Digital, nachvollziehbar, mit Zeitstempel.

In der ersten Woche

Ansprechpartner vorstellen. Wer ist der ISB? Wer ist in der IT für Security-Fragen zuständig? An wen melde ich verdächtige E-Mails? Diese Informationen müssen persönlich vermittelt werden, nicht nur als Link im Intranet.

Arbeitsplatz-Rundgang mit Sicherheitsfokus. Wo sind die Fluchtwege? Wo steht der Feuerlöscher? Wo sind die Zutrittsschranken? Was ist ein Clean-Desk und warum ist er wichtig? Das klingt banal, aber viele neue Mitarbeiter wissen nach einer Woche nicht, wo der nächste Feuerlöscher steht.

E-Mail-Sicherheit praktisch zeigen. Der IT-Kollege zeigt am realen Posteingang, wie man verdächtige E-Mails erkennt, wie der Melde-Button im E-Mail-Client funktioniert und was mit gemeldeten E-Mails passiert.

Im ersten Monat

Vertiefende Security-Awareness-Schulung. Die ausführliche Version, entweder als E-Learning oder als Workshop. Deckt alle Themen der Sicherheitsleitlinie ab und geht tiefer als die Kurzschulung am ersten Tag.

Phishing-Simulation (optional). Manche Unternehmen setzen bereits im ersten Monat eine Phishing-Simulation ein, um den Lerneffekt der Schulung zu überprüfen. Das kann sinnvoll sein, sollte aber nicht als Falle wahrgenommen werden. Kommuniziere vorher, dass Phishing-Simulationen Teil des Programms sind.

Feedback-Gespräch. Frage den neuen Mitarbeiter, ob die Sicherheitseinweisung verständlich war, ob Fragen offengeblieben sind und ob die tägliche Arbeit mit den Sicherheitsvorgaben gut funktioniert. Dieses Feedback hilft, das Onboarding kontinuierlich zu verbessern.

Richtlinien-Kenntnisnahme digitalisieren

Die Kenntnisnahme von Sicherheitsrichtlinien ist eine regulatorische Anforderung. ISO 27001 und NIS2 fordern, dass Mitarbeiter die relevanten Richtlinien kennen und nachweislich zur Kenntnis genommen haben. "Der Ordner lag im Büro" reicht im Audit nicht aus.

Welche Richtlinien neue Mitarbeiter kennen müssen

Nicht jede Richtlinie muss am ersten Tag gelesen werden. Die Auswahl sollte sich an der Rolle orientieren, aber ein Kern-Set ist für alle Mitarbeiter relevant:

Pflicht für alle:

• Informationssicherheitsleitlinie (übergeordnete Grundsätze)
• Passwort-Richtlinie
• E-Mail- und Internet-Nutzungsrichtlinie
• Clean-Desk-Richtlinie
• Meldepflicht bei Sicherheitsvorfällen

Zusätzlich nach Rolle:

• Mobile-Device-Richtlinie (für Mitarbeiter mit Diensthandy oder BYOD)
• Remote-Work-Richtlinie (für Mitarbeiter im Homeoffice)
• Zugangssteuerungs-Richtlinie (für Mitarbeiter mit Admin-Rechten)
• Datenschutz-Richtlinie (für Mitarbeiter mit Zugang zu personenbezogenen Daten)

Der digitale Kenntnisnahme-Prozess

Ein digitaler Kenntnisnahme-Prozess hat drei wesentliche Vorteile: Er ist nachvollziehbar (wer hat wann was gelesen), er ist skalierbar (funktioniert genauso gut für 5 wie für 500 neue Mitarbeiter) und er ist aktuell (der Mitarbeiter liest immer die aktuelle Version der Richtlinie).

Der Prozess sieht typischerweise so aus:

1. Der Mitarbeiter erhält einen Link zu den relevanten Richtlinien in einem Portal oder ISMS-Tool.
2. Er liest die Richtlinien (das Tool kann tracken, ob die Dokumente tatsächlich geöffnet wurden).
3. Er bestätigt die Kenntnisnahme mit einer digitalen Unterschrift oder einem aktiven Bestätigungsschritt.
4. Das System speichert Zeitstempel, Version der Richtlinie und Bestätigung als Nachweis.
5. Der ISB erhält eine Übersicht, welche neuen Mitarbeiter alle Pflicht-Richtlinien bestätigt haben und wo Nachfassbedarf besteht.

Häufige Fehler bei der Kenntnisnahme

Zu viel auf einmal. Wer einem neuen Mitarbeiter am ersten Tag 15 Richtlinien mit insgesamt 120 Seiten zum Lesen gibt, erreicht das Gegenteil von dem, was er will. Der Mitarbeiter scrollt durch, klickt "Bestätigen" und hat nichts verstanden. Besser: Priorisiere die drei bis fünf wichtigsten Richtlinien für den ersten Tag und verteile den Rest über die erste Woche.

Keine Erklärung. Richtlinien sind oft in formaler Sprache verfasst, die für Fachfremde schwer verständlich ist. Ergänze die Richtlinien mit kurzen Erklärungen in Alltagssprache oder bespreche die wichtigsten Punkte in der Kurzschulung.

Keine Aktualisierung. Wenn die Richtlinie aktualisiert wird, müssen alle Mitarbeiter die neue Version zur Kenntnis nehmen, nicht nur neue. Ein digitaler Prozess kann das automatisch anstoßen und tracken.

Security-Awareness-Kurzschulung am ersten Tag

Die Kurzschulung am ersten Tag ist das Herzstück des Sicherheits-Onboardings. Sie muss in 45 Minuten die wichtigsten Themen abdecken, ohne den neuen Mitarbeiter zu überfordern. Weniger ist hier mehr: Lieber fünf Themen verstanden als zwölf Themen gehört und vergessen.

Die fünf Kernthemen

1. Phishing und Social Engineering (10 Minuten). Das mit Abstand größte Risiko für neue Mitarbeiter. Zeige echte Beispiele von Phishing-Mails, die euer Unternehmen erhalten hat (anonymisiert). Erkläre die typischen Merkmale und den Meldeprozess. Das Wichtigste: "Lieber einmal zu viel melden als einmal zu wenig."

2. Passwörter und MFA (8 Minuten). Warum starke Passwörter wichtig sind, wie der empfohlene Passwort-Manager funktioniert und warum MFA ein nicht-verhandelbarer Standard ist. Praktische Demo: Wie sieht ein starkes Passwort aus, wie funktioniert der Authenticator?

3. Bildschirmsperre und Clean Desk (5 Minuten). Windows-Taste + L wird zum Reflex. Warum vertrauliche Dokumente nicht auf dem Schreibtisch liegen bleiben. Was am Ende des Arbeitstages aufgeräumt wird. Kurz, konkret, sofort umsetzbar.

4. Umgang mit vertraulichen Informationen (10 Minuten). Was ist vertraulich? Wie erkennt man die Klassifizierung? Was darf per E-Mail versendet werden und was nicht? Wie geht man mit Kundenanfragen am Telefon um, wenn man die Identität nicht prüfen kann? Diese Themen sind rollenabhängig, aber Grundlagen gelten für alle.

5. Melden von Vorfällen (7 Minuten). Was ist ein Sicherheitsvorfall? Was muss ich melden? An wen melde ich? Was passiert nach der Meldung? Die zentrale Botschaft: Es gibt keine dummen Meldungen. Jede Meldung ist besser als keine Meldung. Niemand wird bestraft, weil er einen Verdacht gemeldet hat, der sich als harmlos herausstellt.

Format und Didaktik

Die Kurzschulung funktioniert am besten als persönliches Gespräch, nicht als E-Learning. Am ersten Tag ist der persönliche Kontakt wertvoller als jede digitale Schulung. Der ISB oder ein geschulter IT-Kollege führt die Schulung durch, idealerweise für kleine Gruppen (zwei bis fünf neue Mitarbeiter) oder im Einzelgespräch.

Nutze konkrete Beispiele aus dem eigenen Unternehmen. "Letzte Woche hat ein Kollege eine Phishing-Mail gemeldet, die so aussah..." ist zehnmal wirksamer als theoretische Erklärungen. Lade zur Interaktion ein: "Was würdest du tun, wenn du diese E-Mail bekommen würdest?" Und halte einen positiven Ton: Informationssicherheit ist kein Angst-Thema, sondern eine Kompetenz, die zum professionellen Arbeiten gehört.

Dokumentation und Nachweis

Dokumentiere für jeden Teilnehmer: Name, Datum, Themen, Trainer. Das ist der Schulungsnachweis, den der Auditor sehen will. Idealerweise bestätigt der Teilnehmer die Teilnahme per Unterschrift oder digitalem Nachweis. In ISMS Lite werden Richtlinien-Kenntnisnahmen, Schulungsnachweise und Onboarding-Checklisten automatisch getrackt, sodass kein Schritt vergessen wird.

Hardware-Übergabe mit Sicherheitseinweisung

Die Hardware-Übergabe ist ein Moment, den die meisten Unternehmen rein logistisch betrachten: Laptop auspacken, einschalten, fertig. Dabei ist es der perfekte Zeitpunkt für eine praktische Sicherheitseinweisung, weil der Mitarbeiter das Gerät zum ersten Mal in der Hand hat und alles, was jetzt erklärt wird, direkt ausprobiert werden kann.

Was bei der Übergabe erklärt werden sollte

Festplattenverschlüsselung. "Dein Laptop ist verschlüsselt. Das bedeutet: Wenn er gestohlen wird, kann niemand auf die Daten zugreifen, solange er das Passwort nicht kennt. Deshalb ist es so wichtig, dass du ein starkes Passwort verwendest und den Laptop nie ungesperrt lässt."

Bildschirmsperre. Direkt demonstrieren: Windows-Taste + L. "Jedes Mal, wenn du den Platz verlässt, auch wenn es nur für zwei Minuten zur Kaffeemaschine ist." Das als Gewohnheit zu etablieren, dauert eine Woche. Wenn es in der ersten Woche nicht passiert, passiert es nie.

VPN-Nutzung. "Wenn du außerhalb des Büros arbeitest, nutzt du immer das VPN. So stellst du sicher, dass die Verbindung verschlüsselt ist." Zeigen, wie man das VPN verbindet und wie man erkennt, ob es aktiv ist.

USB-Sticks und externe Geräte. "Stecke keine privaten USB-Sticks in den Firmenlaptop. Falls du einen USB-Stick findest, bringe ihn zur IT, stecke ihn nicht ein." Diese Regel klingt paranoid, aber USB-basierte Angriffe sind nach wie vor ein effektiver Angriffsvektor.

Softwareinstallation. "Installiere keine Software selbst, auch keine Browser-Erweiterungen. Wenn du etwas brauchst, erstelle ein Ticket bei der IT." Erkläre kurz warum: Jede Software kann Schwachstellen enthalten, und die IT muss den Überblick behalten.

Diebstahl und Verlust. "Falls dein Laptop gestohlen wird oder du ihn verlierst: Melde es sofort bei der IT, auch am Wochenende, auch im Urlaub. Wir können das Gerät aus der Ferne sperren und löschen, aber nur wenn wir davon wissen." Gib die Notfallnummer mit, unter der die IT erreichbar ist.

Dokumentation der Hardware-Übergabe

Dokumentiere, welches Gerät (Seriennummer, Asset-Tag) an welchen Mitarbeiter übergeben wurde, inklusive Zubehör (Headset, Dockingstation, Diensthandy). Das ist nicht nur aus Sicherheitsgründen wichtig, sondern auch für das IT-Asset-Management und das Offboarding, wenn der Mitarbeiter das Unternehmen verlässt.

Probezeitende als Review-Punkt

Das Ende der Probezeit ist ein natürlicher Zeitpunkt für ein Review, nicht nur für die fachliche Leistung, sondern auch für die Informationssicherheit. Dieser Punkt wird in den meisten Unternehmen komplett ignoriert, obwohl er wertvoll ist.

Was am Probezeitende geprüft werden sollte

Alle Pflichtschulungen absolviert? Hat der Mitarbeiter die Kurzschulung am ersten Tag erhalten? Hat er die vertiefende Awareness-Schulung durchlaufen? Sind die Nachweise dokumentiert?

Alle Richtlinien zur Kenntnis genommen? Sind alle relevanten Richtlinien bestätigt? Gibt es offene Kenntnisnahmen?

Berechtigungen noch angemessen? Haben sich die Aufgaben des Mitarbeiters in den ersten Monaten verändert? Braucht er die initial vergebenen Zugänge noch oder sind Anpassungen nötig? Hat er vielleicht zusätzliche Zugänge erhalten, die nicht mehr benötigt werden?

Sicherheitsverhalten beobachtet? Gibt es Auffälligkeiten? Hat der Mitarbeiter wiederholt gegen Richtlinien verstoßen? Oder umgekehrt: Hat er Sicherheitsvorfälle gemeldet oder vorbildliches Verhalten gezeigt?

Integration ins Probezeitgespräch

Der pragmatischste Ansatz: Integriere die Sicherheits-Review-Punkte ins reguläre Probezeitgespräch. Das muss keine separate Veranstaltung sein. Zwei bis drei Fragen reichen:

• "Hattest du in den letzten Monaten Situationen, in denen du unsicher warst, wie du dich aus Sicherheitssicht verhalten sollst?"
• "Hast du alle Schulungen absolviert und die Richtlinien gelesen? Gibt es Punkte, die du nicht verstanden hast?"
• "Weißt du, an wen du dich wendest, wenn du einen Sicherheitsvorfall vermutest?"

Wenn die Antworten zufriedenstellend sind, dokumentiere das. Wenn nicht, plane eine Nachschulung.

Unterschied nach Rolle: Büro, Produktion, Führungskraft

Nicht jeder neue Mitarbeiter braucht dasselbe Onboarding. Ein Sachbearbeiter im Büro hat andere Sicherheitsrisiken als ein Produktionsmitarbeiter an der Maschine oder eine neue Abteilungsleiterin. Das Basis-Onboarding ist für alle gleich, aber die rollenspezifischen Ergänzungen machen den Unterschied.

Büro-Mitarbeiter

Das Standard-Onboarding, wie oben beschrieben, ist auf Büro-Mitarbeiter zugeschnitten. Ergänzende Themen je nach Aufgabenbereich:

• Mitarbeiter mit Kundenkontakt: Umgang mit Kundenanfragen, Identitätsprüfung am Telefon, Versand vertraulicher Dokumente
• Mitarbeiter mit Zugang zu Finanzdaten: Business-E-Mail-Compromise (CEO Fraud), Freigabeprozesse für Zahlungen, Vier-Augen-Prinzip
• Mitarbeiter in der Personalabteilung: Besonderer Umgang mit personenbezogenen Daten, Datenschutz im Bewerbungsprozess, Löschfristen

Produktions-Mitarbeiter

In der Produktion sind die Risiken teilweise andere als im Büro. Viele Produktionsmitarbeiter arbeiten nicht primär am PC, haben aber Zugang zu Produktionssystemen (OT/ICS) oder nutzen Terminals für Zeiterfassung und Auftragsmanagement.

Die Kurzschulung für Produktionsmitarbeiter sollte folgende Schwerpunkte setzen:

• Zutrittskontrolle: Keine Türen aufhalten für unbekannte Personen, Badge immer tragen, Besucher melden
• USB-Sticks und mobile Geräte: Keine privaten Geräte an Produktionsmaschinen anschließen
• Social Engineering vor Ort: Personen, die vorgeben, Techniker oder Lieferanten zu sein, aber keinen Besucherausweis haben, immer beim Empfang oder Vorgesetzten verifizieren
• Meldewege: Wer ist der Ansprechpartner in der Produktion, wenn etwas Ungewöhnliches auffällt? Der Weg zur IT-Hotline ist in der Produktion oft weniger offensichtlich als im Büro

Das Format der Schulung muss an die Zielgruppe angepasst werden. Eine 45-minütige PowerPoint-Präsentation funktioniert in der Produktion weniger gut als ein 20-minütiges Gespräch mit praktischen Beispielen direkt am Arbeitsplatz.

Führungskräfte

Neue Führungskräfte brauchen zusätzlich zum Standard-Onboarding ein Verständnis für ihre besondere Verantwortung:

• Vorbildfunktion: Führungskräfte setzen den Ton für ihre Teams. Wenn die Abteilungsleiterin den Bildschirm nicht sperrt, werden es die Teammitglieder auch nicht tun.
• Entscheidungskompetenz: Führungskräfte müssen wissen, welche sicherheitsrelevanten Entscheidungen sie treffen dürfen und welche eskaliert werden müssen.
• NIS2-Haftung: Für Geschäftsführer und Vorstände ist die persönliche Haftung ein Thema, das im Onboarding angesprochen werden muss. Idealerweise zusammen mit einer Management-Schulung zu Cybersicherheit, wie NIS2 sie fordert.
• Berechtigungsverwaltung: Führungskräfte sind oft für die Freigabe von Zugriffsberechtigungen ihrer Teammitglieder verantwortlich. Sie müssen verstehen, was das Least-Privilege-Prinzip bedeutet und warum nicht jeder Mitarbeiter Zugang zu allem braucht.
• Incident-Eskalation: Führungskräfte müssen den Eskalationsweg kennen und wissen, wann sie selbst einen Vorfall eskalieren müssen. Gleichzeitig müssen sie eine Kultur schaffen, in der Mitarbeiter Vorfälle ohne Angst vor Konsequenzen melden können.

Den Prozess lebendig halten

Ein Onboarding-Prozess für Informationssicherheit ist nur so gut wie seine letzte Aktualisierung. Richtlinien ändern sich, neue Bedrohungen tauchen auf, Schulungsmaterialien veralten. Plane feste Review-Zyklen ein:

Halbjährlich: Schulungsinhalte prüfen. Sind die Phishing-Beispiele noch aktuell? Gibt es neue Angriffsmuster, die aufgenommen werden sollten? Hat sich an den internen Prozessen etwas geändert?

Jährlich: Gesamtprozess reviewen. Funktioniert die Checkliste? Gibt es Feedback von neuen Mitarbeitern oder von den Kollegen, die das Onboarding durchführen? Gibt es neue regulatorische Anforderungen?

Bei Richtlinien-Updates: Sofort. Wenn eine Richtlinie aktualisiert wird, muss auch das Onboarding-Material angepasst werden. Sonst passiert es, dass der neue Mitarbeiter in der Schulung eine Information erhält, die der Richtlinie widerspricht, die er anschließend zur Kenntnis nimmt.

Sammle systematisch Feedback von neuen Mitarbeitern. Frage zwei Wochen nach dem Onboarding: Was war hilfreich? Was war unklar? Was hat gefehlt? Dieses Feedback ist Gold wert, weil es dir zeigt, wie das Onboarding tatsächlich wahrgenommen wird, nicht wie du denkst, dass es wahrgenommen wird.

Und schließlich: Vergiss das Offboarding nicht. Alles, was beim Onboarding eingerichtet wird, muss beim Austritt eines Mitarbeiters wieder deaktiviert werden. Benutzerkonten sperren, Hardware zurücknehmen, Zutrittsberechtigungen entziehen, Zugriff auf Cloud-Dienste widerrufen. Der Onboarding-Prozess und der Offboarding-Prozess sind zwei Seiten derselben Medaille, und beide müssen gleich sorgfältig geplant sein.

Weiterführende Artikel

• Security-Awareness-Programm aufbauen
• Schulungsnachweise im ISMS: Was dokumentiert werden muss
• Berechtigungskonzept erstellen
• User Lifecycle Management
• Passwort-Richtlinie erstellen