Bei Mitarbeiterwechsel vor Datenpannen schützen

Jedes IT-Sicherheitssystem ist nur so gut wie das schwächste Glied der gesamten Kette – in den meisten Fällen ist das der einzelne Mitarbeiter. Das gilt insbesondere bei der Einstellung neuer Mitarbeiter wie auch bei Austritt. So muss zu Beginn eines Arbeitsverhältnisses geklärt werden, auf welche Anwendungen und Daten der neue Mitarbeiter Zugriff erhält. Christian Heutger, IT-Sicherheitsexperte und CTO der PSW Group Consulting erklärt, was zu beachten ist.

Neu eingestellte Mitarbeiterinnen und Mitarbeiter müssen zum einen in ihre neue Aufgabe eingearbeitet werden. Zum anderen jedoch auch in die unternehmensinternen Gepflogenheiten und Verfahrensweisen. Dazu gehört auch, über die Strategie zur Informationssicherheit und die einzuhaltenden Sicherheitsmaßnahmen zu informieren. Neue Mitarbeiter müssen in die wichtigsten IT-Systeme eingewiesen werden, die IT-Verantwortlichen und -Ansprechpartner kennenlernen und die Sicherheitsziele des Unternehmens kennen.

Zu Beginn eines Arbeitsverhältnisses muss demnach geklärt werden, worauf ein Mitarbeiter Zugriff erhält. Hier gilt die Devise: So wenig wie möglich, so viel wie nötig. Zu regeln ist auch, welche Daten auf welchen Geräten gespeichert werden dürfen. Hier bieten sich Sicherheitsrichtlinien an, die fürs gesamte Unternehmen verbindlich gelten. Einfacher wird das Ganze, wenn die Informationen in Datenschutzklassen und Verantwortlichkeiten unterteilt werden. Beispielsweise in die Klassen Null bis Drei, wobei Daten der Klasse Null keiner Vertraulichkeit unterliegen und die der Klasse Drei höchster Vertraulichkeit.

Regelungen für den Umgang mit Daten

Ebenfalls vor dem Eintritt ins Unternehmen ist zu klären, wie mit Daten jedweder Art umgegangen wird. Beispiele sind hier etwa die vertrauliche Vernichtung von sensiblen Daten, die Datensicherung oder das Weiterleiten von Informationen intern sowie extern. Daneben muss festgehalten werden, was nach dem Austritt eines Mitarbeiters mit den Daten auf seinem Rechner passiert, wer darauf in welchem Umfang zugreifen darf. Im Verlauf eines Arbeitsverhältnisses sammeln sich sehr viele Daten an, die auf Rechnern oder auf externen Tools wie Smartphone, USB-Stick und Tablet gespeichert werden.

Es muss geklärt sein, dass bei Weggang eines Mitarbeiters geschäftliche Daten keinesfalls mitgenommen werden dürfen. Das bedeutet, dass sichergestellt werden muss, dass weder eine Datensicherung, zum Beispiel auf einem USB-Stick, erfolgen darf, noch die Daten auf andere Art in das neue Unternehmen umziehen. Sämtliche Dokumente und Informationen unterliegen dem Datenschutz und sind somit im Unternehmen zu belassen.

Rückgabe der Arbeitsmittel nach Ausscheiden

Der ausscheidende Mitarbeiter sollte zudem verpflichtet werden, alle ihm zur Verfügung gestellten Arbeitsmittel, inklusive externer Speichermedien, bis zum Ende des Arbeitsverhältnisses herauszugeben. In vielen Unternehmen ist es Mitarbeitern gestattet, private E-Mails auf dem Firmenrechner zu verwalten. Auch hier muss eine klare Regelung darüber her, was mit diesen E-Mails und den gespeicherten Informationen des E-Mail-Accounts nach Ausscheiden des Mitarbeiters geschieht. Greift ein Unternehmer ohne Erlaubnis auf den E-Mail-Account eines Ex-Mitarbeiters zu, kann er sich strafbar machen. Bezüglich der Löschung privater Daten in E-Mail-Accounts, IT-Systemen, Telefonen und so weiter verfassen Unternehmen deshalb idealerweise eine Pflichtenliste.

Ein weiteres wichtiges Thema ist die Verschwiegenheit: Auch nach dem Ausscheiden eines Mitarbeiters bleiben sämtliche Verschwiegenheitserklärungen in Kraft. Zudem dürfen keine während der Arbeit erhaltenen Informationen weitergegeben werden. Ausgeschiedene Mitarbeitern sollte auch der Zugang zum Firmengelände und insbesondere zu den Räumlichkeiten der IT-Sicherheit, untersagt werden. Dies gilt übrigens auch bei der Funktionsänderung von Mitarbeitern. In solchen Fällen ist zu prüfen, inwieweit Zutrittsberechtigungen zu bestimmten Räumlichkeiten anzupassen sind.

Zum Thema IT-Sicherheit bei Einstellung und Austritt von Mitarbeitern hat die PSW Group Consulting eine Checkliste zusammengestellt, die hier zum Download bereitsteht.

Über den Autor: Christian Heutger ist IT-Sicherheitsexperte und CTO der PSW Group Consulting

0
RSS Feed

Hat Ihnen der Artikel gefallen?
Abonnieren Sie doch unseren Newsletter und verpassen Sie keinen Artikel mehr.

Mit einem * gekennzeichnete Felder sind Pflichtfelder!

CAPTCHA
Diese Frage stellt fest, ob du ein Mensch bist.

Neuen Kommentar schreiben

Entdecken Sie die Printmagazine des WIN-Verlags