(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Bei der Beendigung eines Beschäftigungsverhältnisses oder bei Änderungen von Rollen, Aufgaben oder Verantwortlichkeiten entstehen besondere Risiken für die Informationssicherheit. Werden Zugriffsrechte, Verantwortlichkeiten oder vertragliche Verpflichtungen nicht rechtzeitig angepasst, kann dies zu unbefugten Zugriffen, Datenverlust oder Missbrauch von Informationen führen. Dieses Control stellt sicher, dass Informationssicherheitsanforderungen auch nach dem Ausscheiden oder bei Veränderungen der Beschäftigung wirksam umgesetzt werden.

Zweck des Controls

A 6.5 soll gewährleisten, dass Verantwortlichkeiten, Zugriffsrechte und Verpflichtungen im Bereich der Informationssicherheit bei Beendigung oder Änderung der Beschäftigung klar geregelt und umgesetzt werden. Ziel ist es, Risiken durch verbleibende Zugriffe, unklare Zuständigkeiten oder nicht zurückgegebene Werte zu minimieren und den Schutz von Informationen dauerhaft sicherzustellen.

Anforderungen und Maßnahmen

1. Festlegung klarer Prozesse für Beendigung und Änderungen

Organisationen müssen Prozesse definieren, die Informationssicherheitsaspekte bei Beendigung oder Änderung der Beschäftigung regeln, insbesondere:

• Kündigung, Vertragsende oder Ruhestand
• interne Versetzungen oder Rollenwechsel
• temporäre Änderungen von Aufgaben oder Verantwortlichkeiten
• Beendigung von Verträgen mit externen Personen

Die Prozesse müssen dokumentiert und organisationsweit bekannt sein.

2. Anpassung und Entzug von Zugriffsrechten

Zugriffsrechte müssen zeitnah angepasst oder entzogen werden:

• Deaktivierung von Benutzerkonten
• Entzug von System-, Netzwerk- und Anwendungszugriffen
• Widerruf privilegierter Berechtigungen
• Anpassung physischer Zugangsberechtigungen

Der Entzug muss vollständig und nachvollziehbar erfolgen.

3. Rückgabe von Informationswerten und Arbeitsmitteln

Alle der Person überlassenen Werte müssen zurückgegeben werden:

• Geräte, Datenträger und Zugangsmittel
• Dokumente und Aufzeichnungen
• kryptografische Schlüssel, Tokens oder Ausweise
• sonstige informationsrelevante Arbeitsmittel

Die Rückgabe muss überprüft und dokumentiert werden.

4. Fortgeltung von Vertraulichkeits- und Sicherheitsverpflichtungen

Verpflichtungen zur Informationssicherheit müssen über das Beschäftigungsende hinaus gelten:

• Vertraulichkeits- und Geheimhaltungspflichten
• Regelungen zum Schutz geistigen Eigentums
• Verpflichtungen aus Verträgen oder Richtlinien
• Hinweis auf rechtliche Konsequenzen bei Verstößen

Diese Verpflichtungen müssen klar kommuniziert sein.

5. Anpassung von Verantwortlichkeiten bei Rollenänderungen

Bei internen Rollen- oder Aufgabenänderungen müssen Verantwortlichkeiten überprüft werden:

• Neubewertung von Zugriffs- und Berechtigungsanforderungen
• Aktualisierung von Rollenbeschreibungen
• Anpassung von Zuständigkeiten und Befugnissen
• Dokumentation der Änderungen

So wird sichergestellt, dass Zugriffe dem aktuellen Bedarf entsprechen.

6. Koordination zwischen beteiligten Stellen

Die Umsetzung muss koordiniert erfolgen:

• Zusammenarbeit zwischen HR, IT, Informationssicherheit und Fachbereichen
• klare Zuständigkeiten für einzelne Schritte
• rechtzeitige Information aller beteiligten Stellen
• Vermeidung von Verzögerungen oder Lücken

Eine gute Koordination ist entscheidend für die Wirksamkeit.

7. Dokumentation und Nachweisführung

Alle Maßnahmen im Zusammenhang mit Beendigung oder Änderung der Beschäftigung müssen dokumentiert werden:

• Zeitpunkt und Art der Änderung
• durchgeführte Anpassungen von Zugriffsrechten
• Rückgabe von Werten
• Bestätigung der fortgeltenden Verpflichtungen

Diese Dokumentation ist wichtig für Audits und Nachvollziehbarkeit.

8. Überprüfung und kontinuierliche Verbesserung

Die Prozesse müssen regelmäßig überprüft werden:

• Bewertung der Wirksamkeit bei realen Fällen
• Identifikation von Schwachstellen oder Verzögerungen
• Anpassung der Prozesse bei Bedarf
• Integration von Lessons Learned

So wird sichergestellt, dass die Prozesse dauerhaft wirksam bleiben.

Zusammenfassung

A 6.5 fordert, dass Organisationen Informationssicherheitsanforderungen bei Beendigung oder Änderung der Beschäftigung systematisch umsetzen. Durch klare Prozesse, zeitnahen Entzug von Zugriffsrechten, Rückgabe von Informationswerten, Fortgeltung von Vertraulichkeitspflichten sowie umfassende Dokumentation werden Risiken durch ausscheidende oder wechselnde Mitarbeitende wirksam reduziert. Das Control ist ein zentraler Baustein für den Schutz von Informationen über den gesamten Lebenszyklus von Beschäftigungsverhältnissen hinweg.