Checkliste: Neuer Mitarbeiter & Mitarbeiteraustritt – was ist zu beachten?

Beim Einstellen neuer Mitarbeiter, aber auch beim Austritt bisheriger Mitarbeiter gibt es bezüglich der IT-Sicherheit einiges zu beachten. Neue Mitarbeiter müssen sensibilisiert werden und beim Mitarbeiteraustritt muss diverses geklärt werden. Wir zeigen heute auf, was Sie zu beachten haben.

IT-Sicherheit beim Einstellen neuer Mitarbeiter

Neu eingestellte Mitarbeiterinnen und Mitarbeiter müssen zum einen in ihre neue Aufgabe eingearbeitet werden. Zum anderen jedoch auch in die unternehmensinternen Gepflogenheiten und Verfahrensweisen. Mithilfe einer entsprechenden Einarbeitung können neue Mitarbeiter erfahren, welche Strategie zur Informationssicherheit das Unternehmen verfolgt und welche Sicherheitsmaßnahmen einzuhalten sind. Einer umfassenden Einarbeitung der neuen Mitarbeiter kommt also eine besondere Bedeutung zu. Sie müssen:

• in die wichtigsten IT-Systeme eingewiesen werden,
• die IT-Verantwortlichen sowie -Ansprechpartner kennenlernen und
• die Sicherheitsziele des Unternehmens kennen.

Hier gibt es zwei denkbare Wege: Zum einen wäre es möglich, den neuen Mitarbeiter durch eine Awareness-Schulung vorzubereiten. Es wäre zum anderen auch denkbar, erfahrene Mitarbeiter durch entsprechende Schulungen so zu sensibilisieren, dass diese die neuen Mitarbeiter unterstützen. Erfahrene Mitarbeiter kennen potenzielle Sicherheitsrisiken bereits und können diese mit einer Einweisung der neuen Mitarbeiter schon im Vorfeld auf ein Minimum reduzieren.

IT-Sicherheit beim Austritt von Mitarbeitern

Im Verlauf eines Arbeitsverhältnisses sammeln sich sehr viele Daten an. Diese sind auf den Rechnern der Mitarbeiter gespeichert, aber auch auf externe Tools wie Smartphone, USB-Stick oder Tablet. Was muss mit diesen Daten geschehen, wenn Mitarbeiter das Unternehmen verlassen?

Schon zu Beginn eines Arbeitsverhältnisses gilt es zu klären, worauf ein Mitarbeiter Zugriff erhält. Hier gilt: So wenig wie möglich, so viel wie nötig. Zu regeln ist auch, welche Daten auf welchen Geräten gespeichert werden dürfen. Hier bieten sich Sicherheitsrichtlinien an, die fürs gesamte Unternehmen verbindlich gelten. Einfacher wird das Ganze, wenn die Informationen in Datenschutzklassen und Verantwortlichkeiten unterteilt werden. So ließe sich mit einer „0“ die Stufe „Keine Vertraulichkeit“ einrichten. Dies lässt sich steigern bis zur Klasse 3 – „höchste Vertraulichkeit“.

Ebenfalls vor dem Eintritt ins Unternehmen ist zu klären, wie mit Daten jedweder Art umgegangen wird. Beispiele sind hier etwa die vertrauliche Vernichtung von sensiblen Daten, die Datensicherung oder das Weiterleiten von Informationen intern sowie extern. Daneben muss festgehalten werden, was nach dem Austritt eines Mitarbeiters mit den Daten auf seinem Rechner passiert, wer darauf in welchem Umfang zugreifen darf.

Ganz wichtig: Nach dem Weggang des Mitarbeiters dürfen geschäftliche Daten nicht mitgenommen werden. Das bedeutet: Es darf keine Datensicherung zum Beispiel auf einem USB-Stick stattfinden und die Daten dürfen auch nicht ins neue Unternehmen umziehen. Sämtliche Dokumente und Informationen unterliegen dem Datenschutz und sind somit im Unternehmen zu belassen. Der ausscheidende Mitarbeiter muss zudem alle ihm zur Verfügung gestellten Arbeitsmittel bis zum Ende des Arbeitsverhältnisses herausgegeben haben. Das gilt insbesondere für externe Speichermedien, auf denen womöglich geschäftliche Daten lagern.

Privatnutzung des Rechners

In vielen Unternehmen ist es Mitarbeitern gestattet, ihre privaten E-Mails auf dem Firmenrechner zu verwalten. Auch hier muss eine klare Regelung darüber her, was mit diesen E-Mails und den gespeicherten Informationen des E-Mail-Accounts nach Ausscheiden des Mitarbeiters geschieht. Dies ist auch in Hinblick des Fernmeldegeheimnisses gemäß § 206 StGB relevant: Greift ein Unternehmer ohne Erlaubnis auf den E-Mail-Account eines Ex-Mitarbeiters zu, kann er sich strafbar machen.

Schafft man vorher Klarheit, vermeidet das viel Stress. Den Zugriff auf den Rechner des Mitarbeiters sollte man sich schriftlich bestätigen lassen. Anhand der unten stehenden Checklisten können Sie genau dokumentieren, wer im Hause Zugriff worauf erhält, welche Unterlagen auszuhändigen sind oder welche Verantwortungen noch übergeben werden müssen.

Verschwiegenheit muss gewahrt bleiben

Ein weiterer wichtiger Punkt ist das Thema Verschwiegenheit: Auch nach dem Ausscheiden eines Mitarbeiters bleiben sämtliche Verschwiegenheitserklärungen in Kraft. Keine während der Arbeit erhaltenen Informationen dürfen weitergegeben werden.

Weiter sollte ausgeschiedenen Mitarbeitern der Zugang zum Firmengelände, vor allem zu den Räumlichkeiten der IT-Sicherheit, untersagt werden. Dies gilt übrigens auch bei Funktionsänderung von Mitarbeitern: Dann ist zu prüfen, inwieweit Zutrittsberechtigungen zu bestimmten Räumlichkeiten anzupassen sind. Bezüglich der Löschung privater Daten in E-Mail-Accounts, IT-Systemen, Telefonen und so weiter verfassen Sie idealerweise eine Pflichtenliste.

Checklisten: IT-Sicherheit bei Einstellung und Austritt von Mitarbeitern

Im Folgenden finden Sie unsere Checklisten (PDF – PSW GROUP Consulting Checkliste) zum Ein- und Austritt von Mitarbeitern.

Checkliste Einweisung neuer Mitarbeiter

• Awareness: Ist der neue Mitarbeiter in die Nutzung der für die Stelle wesentlichen IT-Systeme und Anwendungen eingewiesen/ geschult worden? Wurde zu allen relevanten Sicherheitsmaßnahmen sensibilisiert? Prüfen Sie auch externe Schulungsmaßnahmen! Wurde dem neuen Mitarbeiter ausreichend Zeit zum Einarbeiten gegeben?
• Ansprechpartner: Wurden alle Ansprechpartner – insbesondere die für Fragen rund um die Informationssicherheit und den Datenschutz – vorgestellt?
• Sicherheitsziele: Welche Sicherheitsziele verfolgt das Unternehmen? Existieren hausinterne Regelungen zum Thema Informationssicherheit? Welche potenziellen Sicherheitsrisiken existieren? Welche Verhaltensregeln und Meldewege gibt es dafür?

Checkliste Mitarbeiteraustritt

• Einweisung: Wurde der Nachfolger des ausscheidenden Mitarbeiters umfassend eingewiesen?
• Rückgabe: Wurden alle Unterlagen, sämtliche Schlüssel sowie Geräte (Speichermedien, mobile Rechner, Dokumentationen) zurückgegeben? Sind alle Firmenausweise und sonstige Ausweise zur Zutrittsberechtigung eingezogen worden? Wurden bei biometrischen Verfahren wie Fingerabdruck- oder Irisscanner die Zutrittsberechtigungen gelöscht bzw. auf die Vertretungsregelung angepasst?
• Verschwiegenheit: Wurde der ausscheidende Mitarbeiter noch einmal explizit darauf hingewiesen, dass sämtliche Verschwiegenheitserklärungen auch nach dem Ausscheiden in Kraft bleiben und dass keine im Arbeitsverhältnis erhaltenen Informationen weitergegeben werden dürfen?
• Notfallplan: Gehört der ausscheidende Mitarbeiter zu den Funktionsträgern in einem Notfallplan? Wenn ja, ist dieser Notfallplan zu aktualisieren.
• Information: Sind alle Personen, die mit Sicherheitsaufgaben betreut sind, vor allem der Pförtner, über den Weggang informiert?
• Zutritt: Ist allen Mitarbeitern klar, dass der unkontrollierte Zutritt des ausgeschiedenen Mitarbeiters aufs Firmengelände, insbesondere aber in Räumlichkeiten der IT-Sicherheit, zu verwehren ist? Sind bei Funktionsänderung des Mitarbeiters die Zutrittsberechtigungen aktualisiert und angepasst worden?
• Private Daten: Wurde geklärt, was mit den privaten Daten des ausscheidenden Mitarbeiters passiert? Wie wird mit E-Mail-Accounts auf dem Arbeitsrechner umgegangen? Wurde eine schriftliche Bestätigung für den Zugriff auf den Arbeitsrechner des Mitarbeiters eingeholt?
• Dokumentation: Welche Unterlagen wurden ausgehändigt? Welche Daten müssen im Zugriff enthalten sein? Muss dieser Zugriff bei Funktionsänderung aktualisiert werden?
• Pflichtenliste: Existiert bereits eine Pflichtenliste bezüglich der Löschung von privaten Daten in E-Mail-Accounts, den IT-Systemen, den Telefonen usw.?