- Die Controls A.6.1 bis A.6.8 decken den gesamten Mitarbeiter-Lifecycle ab: Screening vor der Einstellung, vertragliche Regelungen, Awareness-Schulung, Disziplinarverfahren, Pflichten nach Beendigung, Fernarbeit und Meldung von Sicherheitsereignissen.
- Screening (A.6.1) muss verhältnismäßig sein und die gesetzlichen Rahmenbedingungen beachten. In Deutschland sind die Möglichkeiten begrenzter als in anderen Ländern.
- Awareness-Schulungen (A.6.3) müssen regelmäßig, dokumentiert und auf die Rollen der Mitarbeitenden zugeschnitten sein. Einmalige Pflichtschulungen bei der Einstellung reichen nicht.
- Der sichere Austritt (A.6.5) umfasst den Entzug aller Zugriffsrechte, die Rückgabe von Assets und die Erinnerung an fortbestehende Geheimhaltungspflichten.
- Remote-Arbeit (A.6.7) braucht eigene Sicherheitsregeln für VPN-Nutzung, Gerätesicherheit, Arbeitsplatzumgebung und den Umgang mit vertraulichen Informationen.
Der Faktor Mensch
Technische Sicherheitsmaßnahmen können noch so ausgereift sein: Wenn ein Mitarbeitender sein Passwort auf einen Zettel am Monitor schreibt, auf eine Phishing-Mail klickt oder beim Austritt vertrauliche Daten mitnimmt, helfen weder Firewall noch Verschlüsselung. Die Controls A.6.1 bis A.6.8 adressieren genau diesen Faktor und decken den gesamten Lebenszyklus eines Mitarbeitenden aus Sicherheitsperspektive ab.
Die ISO 27001:2022 fasst diese Controls unter der Gruppe „People controls" zusammen. Das ist eine Neuerung gegenüber der Vorgängerversion, in der die Personalsicherheit über mehrere Abschnitte verteilt war. Die Zusammenfassung macht die Struktur klarer und unterstreicht die Bedeutung des Themas.
Für ein Unternehmen mit rund 100 Mitarbeitenden sind diese Controls besonders relevant, weil hier oft noch persönliche Beziehungen und informelle Absprachen dominieren. „Den kenne ich, der ist vertrauenswürdig" ersetzt dann die formale Überprüfung, und „der weiß doch, was er tun soll" ersetzt die dokumentierte Schulung. Im Audit hält das nicht stand.
A.6.1: Screening
Was der Standard fordert
Hintergrundüberprüfungen aller Kandidaten sollen vor der Einstellung durchgeführt werden. Die Überprüfungen müssen verhältnismäßig sein, die gesetzlichen Rahmenbedingungen beachten und dem Schutzbedarf der Informationen entsprechen, zu denen die Person Zugang haben wird.
Umsetzung in Deutschland
In Deutschland sind die Möglichkeiten für Background Checks deutlich eingeschränkter als etwa in den USA oder Großbritannien. Das Bundesdatenschutzgesetz (BDSG) und das Allgemeine Gleichbehandlungsgesetz (AGG) setzen enge Grenzen. Was du tun kannst und solltest:
Überprüfung der Qualifikationen: Verifiziere Zeugnisse und Zertifizierungen, die für die Stelle relevant sind. Ein IT-Administrator, der eine CISSP-Zertifizierung angibt, sollte diese nachweisen können.
Überprüfung des Lebenslaufs: Prüfe auf Plausibilität und Lücken. Rückfragen bei früheren Arbeitgebern sind mit Zustimmung des Bewerbers zulässig.
Führungszeugnis: Für Positionen mit besonderem Vertrauensbedarf (z.B. Zugang zu Finanzsystemen, Administratorrechte, Zugang zu personenbezogenen Daten) kann ein Führungszeugnis angefordert werden. Die Anforderung muss verhältnismäßig sein und sollte in der Stellenausschreibung angekündigt werden.
Identitätsprüfung: Verifiziere die Identität des Bewerbers anhand eines amtlichen Ausweisdokuments.
Bonitätsprüfung: Nur für Positionen mit direktem Zugang zu Finanzressourcen und nur mit Zustimmung des Bewerbers.
Was du nicht tun solltest, weil es rechtlich problematisch oder unverhältnismäßig ist: anlasslose Social-Media-Screenings, Anfragen bei Auskunfteien ohne Bezug zur Stelle, medizinische Untersuchungen ohne arbeitsplatzspezifischen Grund.
Abstufung nach Schutzbedarf
Nicht jede Position erfordert die gleiche Tiefe der Überprüfung. Definiere Screening-Stufen basierend auf dem Zugang zu sensiblen Informationen:
Stufe 1 (Standard): Identitätsprüfung, Überprüfung der Qualifikationen. Gilt für alle Mitarbeitenden.
Stufe 2 (Erweitert): Zusätzlich Führungszeugnis und Überprüfung von Referenzen. Gilt für Mitarbeitende mit Zugang zu vertraulichen Daten oder IT-Administrationsrechten.
Stufe 3 (Erhöht): Zusätzlich Bonitätsprüfung. Gilt für Mitarbeitende mit Zugang zu Finanzsystemen oder Zahlungsprozessen.
A.6.2: Arbeitsvertragsklauseln
Was der Standard fordert
Die arbeitsvertraglichen Vereinbarungen müssen die Verantwortlichkeiten der Mitarbeitenden und der Organisation hinsichtlich der Informationssicherheit festlegen.
Typische Vertragsklauseln
Geheimhaltungsvereinbarung (NDA): Eine Vertraulichkeitsklausel, die über die Dauer des Arbeitsverhältnisses hinaus gilt. Sie sollte klar definieren, was als vertrauliche Information gilt und welche Konsequenzen ein Verstoß hat.
Pflicht zur Einhaltung der Sicherheitsrichtlinien: Der Mitarbeitende verpflichtet sich, die Informationssicherheitsleitlinie und alle relevanten untergeordneten Richtlinien einzuhalten.
Verantwortung für zugeteilte Assets: Der Mitarbeitende bestätigt, dass er für die ihm zur Verfügung gestellten Geräte und Zugänge verantwortlich ist.
Meldepflicht für Sicherheitsvorfälle: Der Mitarbeitende verpflichtet sich, Sicherheitsvorfälle und Schwachstellen unverzüglich zu melden.
Konsequenzen bei Verstößen: Ein Verweis auf das Disziplinarverfahren bei Verstößen gegen die Informationssicherheitsrichtlinien.
Regelungen für die Beendigung: Pflichten bei Beendigung des Arbeitsverhältnisses, insbesondere Rückgabe von Assets und Fortgeltung der Geheimhaltung.
Bestehende Arbeitsverträge
Bei neuen Mitarbeitenden kannst du die Klauseln direkt in den Arbeitsvertrag aufnehmen. Bei bestehenden Mitarbeitenden ist das komplizierter, weil Arbeitsvertragsänderungen der Zustimmung bedürfen. Pragmatische Alternativen sind eine separate Geheimhaltungsvereinbarung, die alle Mitarbeitenden unterzeichnen, oder eine Ergänzungsvereinbarung zum bestehenden Arbeitsvertrag.
A.6.3: Awareness, Education and Training
Was der Standard fordert
Mitarbeitende und relevante externe Parteien müssen angemessene Awareness-Schulungen und regelmäßige Aktualisierungen der für ihre Arbeit relevanten Informationssicherheitsrichtlinien erhalten.
Awareness vs. Training
Es gibt einen wichtigen Unterschied zwischen Awareness und Training. Awareness bedeutet: Die Mitarbeitenden wissen, dass Informationssicherheit wichtig ist, kennen die grundlegenden Risiken und wissen, wie sie sich verhalten sollen. Training geht tiefer: Bestimmte Rollen erhalten spezifische Schulungen, z.B. Administratoren zu sicherer Systemkonfiguration oder Entwickler zu sicherem Coding.
Programm für rund 100 Mitarbeitende
Initiale Schulung bei Onboarding: Jeder neue Mitarbeitende erhält innerhalb der ersten Woche eine Einführung in die Informationssicherheit. Inhalte: Sicherheitsleitlinie, relevante Richtlinien, Passworthygiene, Phishing-Erkennung, Meldewege für Sicherheitsvorfälle, Clean Desk, Bildschirmsperre.
Jährliche Auffrischung: Einmal pro Jahr erhalten alle Mitarbeitenden eine Auffrischungsschulung. Diese sollte aktuelle Bedrohungen, neue oder geänderte Richtlinien und Lessons Learned aus Sicherheitsvorfällen behandeln.
Rollenspezifische Schulungen: IT-Administratoren, Führungskräfte und Mitarbeitende mit Zugang zu besonders sensiblen Daten erhalten zusätzliche, auf ihre Rolle zugeschnittene Schulungen.
Phishing-Simulationen: Regelmäßige Phishing-Simulationen (vierteljährlich) testen das Verhalten der Mitarbeitenden unter realistischen Bedingungen. Wer auf eine simulierte Phishing-Mail klickt, erhält eine zusätzliche Kurzschulung.
Anlassbezogene Schulungen: Nach Sicherheitsvorfällen, bei Einführung neuer Systeme oder bei wesentlichen Richtlinienänderungen werden zusätzliche Schulungen durchgeführt.
Dokumentation
Jede Schulung muss dokumentiert werden: Datum, Inhalte, Teilnehmerliste, ggf. Testergebnis. In ISMS Lite werden Schulungsnachweise pro Mitarbeitendem verwaltet, und überfällige Auffrischungen erscheinen automatisch auf dem Dashboard. Die Dokumentation ist der Nachweis für den Auditor, dass A.6.3 gelebt wird.
A.6.4: Disciplinary Process
Was der Standard fordert
Ein formalisierter und kommunizierter Disziplinarprozess für den Umgang mit Verstößen gegen die Informationssicherheitsrichtlinien muss existieren.
Umsetzung
Der Disziplinarprozess muss nicht eigenständig für die Informationssicherheit entwickelt werden. Er kann in das bestehende Disziplinarverfahren des Unternehmens integriert werden. Wichtig ist, dass Verstöße gegen Informationssicherheitsrichtlinien explizit als disziplinarisch relevantes Fehlverhalten benannt werden.
Der Prozess sollte gestuft sein:
Stufe 1: Gespräch und Belehrung: Bei erstmaligen, leichteren Verstößen (z.B. Bildschirm nicht gesperrt, Besucherbegleitung vergessen) erfolgt ein klärendes Gespräch mit dem Vorgesetzten und ggf. dem ISB.
Stufe 2: Schriftliche Ermahnung: Bei wiederholten oder schwerwiegenderen Verstößen (z.B. Weitergabe von Zugangsdaten, Nutzung nicht genehmigter Software) folgt eine dokumentierte Ermahnung.
Stufe 3: Abmahnung: Bei schwerwiegenden oder wiederholten Verstößen trotz Ermahnung.
Stufe 4: Arbeitsrechtliche Konsequenzen: In gravierenden Fällen (z.B. vorsätzlicher Datendiebstahl, bewusste Sabotage) können arbeitsrechtliche Konsequenzen bis zur Kündigung folgen.
Wichtig: Der Disziplinarprozess muss den Mitarbeitenden bekannt sein, bevor er angewendet wird. Wenn ein Mitarbeitender zum ersten Mal erfährt, dass es Konsequenzen gibt, wenn er dagegen verstößt, ist das zu spät.
A.6.5: Responsibilities After Termination or Change of Employment
Was der Standard fordert
Die Pflichten und Verantwortlichkeiten im Bereich der Informationssicherheit, die auch nach Beendigung oder Änderung des Arbeitsverhältnisses bestehen bleiben, müssen definiert, durchgesetzt und kommuniziert werden.
Der sichere Austritt
Der Austritt eines Mitarbeitenden ist aus Sicherheitsperspektive ein kritischer Moment. Ein strukturierter Offboarding-Prozess umfasst:
Zugangsentzug: Alle Benutzerkonten werden am letzten Arbeitstag deaktiviert, VPN-Zugänge gesperrt, Zertifikate widerrufen. Bei einer fristlosen Kündigung geschieht das sofort.
Rückgabe von Assets: Laptop, Smartphone, Schlüssel, Zugangskarten, Token, USB-Sticks, gedruckte Dokumente. Führe eine Checkliste, die bei der Ausgabe der Assets angelegt und bei der Rückgabe abgezeichnet wird.
Erinnerung an Geheimhaltungspflichten: Im Abschlussgespräch wird der Mitarbeitende an die fortbestehende Geheimhaltungsvereinbarung erinnert. Das sollte dokumentiert werden.
Wissenstransfer: Vor dem Austritt muss sichergestellt werden, dass das für den Betrieb relevante Wissen des Mitarbeitenden gesichert ist. Passwörter, die nur der Mitarbeitende kennt, Dokumentationen, die nur in seinem Kopf existieren, und Konfigurationen, die nur er versteht, müssen übergeben werden.
Änderung geteilter Zugangsdaten: Wenn der Mitarbeitende Zugang zu gemeinsam genutzten Accounts oder Passwörtern hatte (was eigentlich nicht sein sollte, aber in der Praxis vorkommt), müssen diese Zugangsdaten geändert werden.
Rollenwechsel
Nicht nur der Austritt, auch ein interner Rollenwechsel ist sicherheitsrelevant. Wenn ein Mitarbeitender von der Buchhaltung in den Vertrieb wechselt, muss er die Zugriffsrechte der Buchhaltung verlieren und die des Vertriebs erhalten. In der Praxis sammeln Mitarbeitende bei jedem Rollenwechsel neue Rechte an, ohne dass die alten entzogen werden (sogenanntes „Privilege Creep"). A.6.5 fordert, dass auch diese Situationen adressiert werden.
A.6.6: Confidentiality or Non-Disclosure Agreements
Was der Standard fordert
Anforderungen an Geheimhaltungs- oder Vertraulichkeitsvereinbarungen müssen identifiziert, dokumentiert, regelmäßig überprüft und von Mitarbeitenden und relevanten externen Parteien unterzeichnet werden.
Umsetzung
Für Mitarbeitende ist die Geheimhaltungsvereinbarung typischerweise Teil des Arbeitsvertrags oder eine separate Vereinbarung, die bei der Einstellung unterzeichnet wird (siehe A.6.2).
Für externe Parteien (Berater, Freelancer, Lieferanten, Besucher mit Zugang zu sensiblen Bereichen) brauchst du separate NDAs. Diese sollten definieren, welche Informationen vertraulich sind, wie lange die Geheimhaltungspflicht gilt, welche Nutzungsbeschränkungen gelten und welche Konsequenzen ein Verstoß hat.
A.6.7: Remote Working
Was der Standard fordert
Sicherheitsmaßnahmen müssen implementiert werden, wenn Mitarbeitende an entfernten Standorten arbeiten, um Informationen zu schützen, die außerhalb der Räumlichkeiten der Organisation abgerufen, verarbeitet oder gespeichert werden.
Regelungen für Remote-Arbeit
Für ein Unternehmen mit rund 100 Mitarbeitenden, von denen vermutlich ein signifikanter Anteil regelmäßig im Homeoffice arbeitet, ist A.6.7 ein wichtiges Control. Die wesentlichen Regelungen:
VPN-Pflicht: Der Zugriff auf interne Systeme erfolgt ausschließlich über ein VPN. Ausnahmen nur für Cloud-Dienste, die über das offene Internet mit MFA gesichert sind.
Gerätesicherheit: Nur freigegebene, von der IT verwaltete Geräte dürfen für die Arbeit genutzt werden (oder es gibt klare BYOD-Regeln). Festplattenverschlüsselung, aktuelle Patches, Endpoint Protection sind Pflicht.
Arbeitsplatzumgebung: Vertrauliche Gespräche dürfen nicht in öffentlichen Umgebungen (Café, Zug) geführt werden. Bildschirme müssen vor Einsichtnahme durch Dritte geschützt werden (Sichtschutzfolie, Positionierung). Ausgedruckte vertrauliche Dokumente müssen sicher aufbewahrt und vernichtet werden.
Netzwerksicherheit: Öffentliche WLANs dürfen nur mit VPN genutzt werden. Die Nutzung ohne VPN ist verboten.
Physische Sicherheit zu Hause: Wenn regelmäßig im Homeoffice gearbeitet wird, sollte der Arbeitsplatz abschließbar sein. Firmenlaptops werden bei Nichtgebrauch gesperrt und nicht offen herumliegen gelassen.
A.6.8: Information Security Event Reporting
Was der Standard fordert
Mitarbeitende müssen einen Mechanismus haben, um beobachtete oder vermutete Informationssicherheitsereignisse zeitnah über geeignete Kanäle zu melden.
Meldewege einrichten
Definiere klare Meldewege, die jeder Mitarbeitende kennt:
Primärer Meldeweg: E-Mail an eine definierte Adresse (z.B. security@firma.de) oder Ticket im IT-Helpdesk-System.
Sekundärer Meldeweg: Telefonisch an den ISB oder die IT-Leitung, wenn der primäre Weg nicht verfügbar ist oder bei besonders dringenden Vorfällen.
Anonymer Meldeweg: Eine Möglichkeit zur anonymen Meldung kann sinnvoll sein, um Hemmschwellen abzubauen, insbesondere wenn der Mitarbeitende befürchtet, dass die Meldung auf ihn selbst zurückfällt (z.B. weil er selbst einen Fehler gemacht hat).
Meldekultur fördern
Die technischen Meldewege allein reichen nicht. Entscheidend ist die Kultur: Mitarbeitende müssen wissen, dass sie Sicherheitsereignisse melden sollen, auch wenn es sich als Fehlalarm herausstellt. „Lieber einmal zu viel als einmal zu wenig" muss die klare Botschaft sein. Und sie müssen darauf vertrauen können, dass eine Meldung keine negativen Konsequenzen für den Melder hat, auch wenn er selbst einen Fehler gemacht hat, der zu dem Ereignis geführt hat (No-Blame-Kultur).
Typische Audit-Findings bei A.6.1-A.6.8
Finding 1: Kein dokumentiertes Screening-Verfahren
Überprüfungen finden informell statt, aber es gibt keinen dokumentierten Prozess, der definiert, welche Überprüfungen für welche Positionen durchgeführt werden.
Finding 2: Fehlende Schulungsnachweise
Awareness-Schulungen finden statt, aber es gibt keine Teilnehmerlisten, keine Dokumentation der Inhalte und keine Nachweise über die Regelmäßigkeit.
Finding 3: Unvollständiges Offboarding
Beim Austritt von Mitarbeitenden werden nicht alle Zugänge zeitnah gesperrt. Es gibt keine Checkliste, und die Verantwortlichkeiten zwischen HR, IT und Fachabteilung sind unklar.
Finding 4: Remote-Arbeit ohne Sicherheitsregelung
Mitarbeitende arbeiten regelmäßig im Homeoffice, aber es gibt keine dokumentierte Richtlinie, die die Sicherheitsanforderungen für Remote-Arbeit definiert.
Finding 5: Mitarbeitende kennen die Meldewege nicht
Im Interview mit Mitarbeitenden zeigt sich, dass diese nicht wissen, wie und wo sie einen Sicherheitsvorfall melden sollen.
Wie ISMS Lite den Nachweis unterstützt
Onboarding-Checkliste: Eine konfigurierbare Checkliste, die alle sicherheitsrelevanten Schritte für neue Mitarbeitende enthält: Screening, Vertragsklauseln, Kenntnisnahme der Richtlinien, initiale Schulung, Ausgabe von Assets.
Schulungsverwaltung: Planung, Durchführung und Dokumentation von Awareness-Schulungen. Automatische Erinnerungen an fällige Auffrischungsschulungen. Nachweis pro Mitarbeitendem.
Offboarding-Workflow: Strukturierter Prozess für den sicheren Austritt: Asset-Rückgabe, Zugangsentzug, Erinnerung an Geheimhaltungspflichten. Mit Bestätigungsschritten und Audit-Trail.
Dokumentenmanagement: Geheimhaltungsvereinbarungen und Kenntnisnahmebestätigungen werden versioniert und mit dem Mitarbeitenden-Profil verknüpft.
Dashboard: Übersicht über den Sicherheitsstatus aller Mitarbeitenden: Wer hat welche Schulung absolviert? Wessen Kenntnisnahmebestätigung ist überfällig? Welche Offboarding-Prozesse sind offen?
Weiterführende Artikel
- Security Awareness Programm aufbauen: Von der Pflichtübung zur Sicherheitskultur
- Schulungsnachweise im ISMS: Was du dokumentieren musst
- Informationssicherheit im Onboarding: Neue Mitarbeitende von Tag eins sensibilisieren
- Phishing erkennen und melden: Praxiswissen für alle Mitarbeitenden
- Sichere Remote-Arbeit und Homeoffice: Richtlinien und technische Maßnahmen