Mitarbeitende haben im Rahmen ihrer Tätigkeit häufig Zugriff auf sensible Informationen, Systeme und Prozesse. Unzureichende oder fehlende Sicherheitsüberprüfungen können dazu führen, dass Personen eingesetzt werden, die ein erhöhtes Risiko für Informationssicherheitsvorfälle darstellen. Dieses Control stellt sicher, dass vor der Einstellung, während der Beschäftigung und bei Rollenänderungen angemessene Sicherheitsüberprüfungen durchgeführt werden, um Risiken für die Informationssicherheit zu minimieren.
Zweck des Controls
A 6.1 soll gewährleisten, dass Mitarbeitende entsprechend ihrer Rolle, Verantwortung und dem Schutzbedarf der Informationen überprüft werden, auf die sie Zugriff erhalten. Ziel ist es, das Risiko von vorsätzlichen oder unbeabsichtigten Sicherheitsverletzungen zu reduzieren und Vertrauen in die Zuverlässigkeit von Mitarbeitenden zu schaffen, ohne dabei rechtliche, arbeitsrechtliche oder datenschutzrechtliche Vorgaben zu verletzen.
Anforderungen und Maßnahmen
1. Festlegung von Anforderungen an Sicherheitsüberprüfungen
Organisationen müssen festlegen, für welche Rollen Sicherheitsüberprüfungen erforderlich sind, insbesondere für:
Tätigkeiten mit Zugriff auf vertrauliche oder kritische Informationen
sicherheitsrelevante Funktionen (z. B. IT-Administration, ISMS-Rollen)
Rollen mit Entscheidungs- oder Kontrollbefugnissen
Positionen mit Zugriff auf personenbezogene oder regulatorisch relevante Daten
Die Anforderungen müssen risikoorientiert definiert werden.
2. Durchführung von Sicherheitsüberprüfungen vor Beschäftigungsbeginn
Vor der Einstellung oder Rollenübernahme müssen geeignete Überprüfungen durchgeführt werden, zum Beispiel:
Prüfung von Identität und Qualifikationen
Überprüfung von Referenzen oder bisherigen Tätigkeiten
Bewertung von Zuverlässigkeit im zulässigen rechtlichen Rahmen
Einholung erforderlicher Einwilligungen
Die Art und Tiefe der Überprüfung muss verhältnismäßig sein.
3. Einhaltung rechtlicher und datenschutzrechtlicher Vorgaben
Sicherheitsüberprüfungen müssen im Einklang mit geltendem Recht erfolgen:
Beachtung arbeitsrechtlicher Vorgaben
Einhaltung datenschutzrechtlicher Anforderungen
Transparenz gegenüber den betroffenen Personen
Zweckbindung und Verhältnismäßigkeit der erhobenen Daten
Die Einhaltung dieser Vorgaben ist zwingend sicherzustellen.
4. Berücksichtigung von Rollen- und Aufgabenänderungen
Bei Änderungen von Aufgaben oder Rollen müssen Sicherheitsüberprüfungen überprüft oder angepasst werden:
Bewertung neuer Zugriffs- oder Verantwortungsbereiche
Anpassung der Überprüfung an veränderte Risiken
Aktualisierung von Berechtigungen und Verantwortlichkeiten
Dokumentation der Entscheidungen
So wird sichergestellt, dass Überprüfungen stets dem aktuellen Risiko entsprechen.
Die Dokumentation muss geschützt und vertraulich behandelt werden.
6. Umgang mit Auffälligkeiten oder Risiken
Ergebnisse von Sicherheitsüberprüfungen müssen angemessen behandelt werden:
Bewertung identifizierter Risiken
Festlegung geeigneter Maßnahmen oder Einschränkungen
Einbindung relevanter Stellen (z. B. HR, Management)
Wahrung von Vertraulichkeit und Fairness
Maßnahmen müssen nachvollziehbar und verhältnismäßig sein.
7. Integration in Personal- und Sicherheitsprozesse
Sicherheitsüberprüfungen müssen in bestehende Prozesse integriert sein:
Einbindung in Recruiting- und Onboarding-Prozesse
Abstimmung mit Identitäts- und Zugriffsmanagement
Berücksichtigung im Rollen- und Berechtigungskonzept
Integration in das ISMS
So wird eine konsistente Umsetzung sichergestellt.
8. Regelmäßige Überprüfung und Verbesserung
Die Verfahren zur Sicherheitsüberprüfung müssen regelmäßig überprüft werden:
Bewertung der Wirksamkeit der Überprüfungen
Anpassung an veränderte Bedrohungslagen
Berücksichtigung rechtlicher Änderungen
Integration von Lessons Learned aus Vorfällen
Dies stellt eine nachhaltige Wirksamkeit sicher.
Zusammenfassung
A 6.1 fordert, dass Organisationen Sicherheitsüberprüfungen von Mitarbeitenden risikoorientiert, rechtskonform und nachvollziehbar durchführen. Durch klare Anforderungen, angemessene Überprüfungen vor Beschäftigungsbeginn, Berücksichtigung von Rollenänderungen, sorgfältige Dokumentation sowie Integration in Personal- und Sicherheitsprozesse wird das Risiko von Informationssicherheitsvorfällen durch Mitarbeitende deutlich reduziert. Das Control ist ein zentraler Baustein für Vertrauen, Prävention und die Wirksamkeit des Informationssicherheitsmanagementsystems.
