Beim Einstellen neuer Mitarbeiter, aber auch beim Austritt bisheriger Mitarbeiter gibt es bez\u00fcglich der IT-Sicherheit einiges zu beachten. Neue Mitarbeiter m\u00fcssen sensibilisiert werden und beim Mitarbeiteraustritt muss diverses gekl\u00e4rt werden. Wir zeigen heute auf, was Sie zu beachten haben.<\/p>\n
Neu eingestellte Mitarbeiterinnen und Mitarbeiter m\u00fcssen zum einen in ihre neue Aufgabe eingearbeitet werden. Zum anderen jedoch auch in die unternehmensinternen Gepflogenheiten und Verfahrensweisen. Mithilfe einer entsprechenden Einarbeitung k\u00f6nnen neue Mitarbeiter erfahren, welche Strategie zur Informationssicherheit das Unternehmen verfolgt und welche Sicherheitsma\u00dfnahmen einzuhalten sind. Einer umfassenden Einarbeitung der neuen Mitarbeiter kommt also eine besondere Bedeutung zu. Sie m\u00fcssen:<\/p>\n
Hier gibt es zwei denkbare Wege: Zum einen w\u00e4re es m\u00f6glich, den neuen Mitarbeiter durch eine Awareness-Schulung<\/a> vorzubereiten. Es w\u00e4re zum anderen auch denkbar, erfahrene Mitarbeiter durch entsprechende Schulungen<\/a> so zu sensibilisieren, dass diese die neuen Mitarbeiter unterst\u00fctzen. Erfahrene Mitarbeiter kennen potenzielle Sicherheitsrisiken bereits und k\u00f6nnen diese mit einer Einweisung der neuen Mitarbeiter schon im Vorfeld auf ein Minimum reduzieren.<\/p>\n Im Verlauf eines Arbeitsverh\u00e4ltnisses sammeln sich sehr viele Daten an. Diese sind auf den Rechnern der Mitarbeiter gespeichert, aber auch auf externe Tools wie Smartphone, USB-Stick oder Tablet. Was muss mit diesen Daten geschehen, wenn Mitarbeiter das Unternehmen verlassen?<\/p>\n Schon zu Beginn eines Arbeitsverh\u00e4ltnisses gilt es zu kl\u00e4ren, worauf ein Mitarbeiter Zugriff erh\u00e4lt. Hier gilt: So wenig wie m\u00f6glich, so viel wie n\u00f6tig. Zu regeln ist auch, welche Daten auf welchen Ger\u00e4ten gespeichert werden d\u00fcrfen. Hier bieten sich Sicherheitsrichtlinien an, die f\u00fcrs gesamte Unternehmen verbindlich gelten. Einfacher wird das Ganze, wenn die Informationen in Datenschutzklassen und Verantwortlichkeiten unterteilt werden. So lie\u00dfe sich mit einer „0“ die Stufe „Keine Vertraulichkeit“ einrichten. Dies l\u00e4sst sich steigern bis zur Klasse 3 \u2013 „h\u00f6chste Vertraulichkeit“.<\/p>\n Ebenfalls vor dem Eintritt ins Unternehmen ist zu kl\u00e4ren, wie mit Daten jedweder Art umgegangen wird. Beispiele sind hier etwa die vertrauliche Vernichtung von sensiblen Daten, die Datensicherung oder das Weiterleiten von Informationen intern sowie extern. Daneben muss festgehalten werden, was nach dem Austritt eines Mitarbeiters mit den Daten auf seinem Rechner passiert, wer darauf in welchem Umfang zugreifen darf.<\/p>\n Ganz wichtig: Nach dem Weggang des Mitarbeiters d\u00fcrfen gesch\u00e4ftliche Daten nicht mitgenommen werden. Das bedeutet: Es darf keine Datensicherung zum Beispiel auf einem USB-Stick stattfinden und die Daten d\u00fcrfen auch nicht ins neue Unternehmen umziehen. S\u00e4mtliche Dokumente und Informationen unterliegen dem Datenschutz und sind somit im Unternehmen zu belassen. Der ausscheidende Mitarbeiter muss zudem alle ihm zur Verf\u00fcgung gestellten Arbeitsmittel bis zum Ende des Arbeitsverh\u00e4ltnisses herausgegeben haben. Das gilt insbesondere f\u00fcr externe Speichermedien, auf denen wom\u00f6glich gesch\u00e4ftliche Daten lagern.<\/p>\n In vielen Unternehmen ist es Mitarbeitern gestattet, ihre privaten E-Mails auf dem Firmenrechner zu verwalten. Auch hier muss eine klare Regelung dar\u00fcber her, was mit diesen E-Mails und den gespeicherten Informationen des E-Mail-Accounts nach Ausscheiden des Mitarbeiters geschieht. Dies ist auch in Hinblick des Fernmeldegeheimnisses gem\u00e4\u00df \u00a7 206 StGB relevant: Greift ein Unternehmer ohne Erlaubnis auf den E-Mail-Account eines Ex-Mitarbeiters zu, kann er sich strafbar machen.<\/p>\n Schafft man vorher Klarheit, vermeidet das viel Stress. Den Zugriff auf den Rechner des Mitarbeiters sollte man sich schriftlich best\u00e4tigen lassen. Anhand der unten stehenden Checklisten k\u00f6nnen Sie genau dokumentieren, wer im Hause Zugriff worauf erh\u00e4lt, welche Unterlagen auszuh\u00e4ndigen sind oder welche Verantwortungen noch \u00fcbergeben werden m\u00fcssen.<\/p>\n Ein weiterer wichtiger Punkt ist das Thema Verschwiegenheit: Auch nach dem Ausscheiden eines Mitarbeiters bleiben s\u00e4mtliche Verschwiegenheitserkl\u00e4rungen in Kraft. Keine w\u00e4hrend der Arbeit erhaltenen Informationen d\u00fcrfen weitergegeben werden.<\/p>\n Weiter sollte ausgeschiedenen Mitarbeitern der Zugang zum Firmengel\u00e4nde, vor allem zu den R\u00e4umlichkeiten der IT-Sicherheit, untersagt werden. Dies gilt \u00fcbrigens auch bei Funktions\u00e4nderung von Mitarbeitern: Dann ist zu pr\u00fcfen, inwieweit Zutrittsberechtigungen zu bestimmten R\u00e4umlichkeiten anzupassen sind. Bez\u00fcglich der L\u00f6schung privater Daten in E-Mail-Accounts, IT-Systemen, Telefonen und so weiter verfassen Sie idealerweise eine Pflichtenliste.<\/p>\n Im Folgenden finden Sie unsere Checklisten (PDF – PSW GROUP Consulting Checkliste<\/a>) zum Ein- und Austritt von Mitarbeitern.<\/p>\nIT-Sicherheit beim Austritt von Mitarbeitern<\/h2>\n
Privatnutzung des Rechners<\/h3>\n
Verschwiegenheit muss gewahrt bleiben<\/h3>\n
Checklisten: IT-Sicherheit bei Einstellung und Austritt von Mitarbeitern<\/h2>\n
Checkliste Einweisung neuer Mitarbeiter<\/h3>\n