Informationen und andere damit verbundene Werte werden Mitarbeitenden, Auftragnehmenden oder externen Parteien häufig zur Erfüllung ihrer Aufgaben überlassen. Beim Ende eines Beschäftigungs- oder Vertragsverhältnisses oder bei einem Rollenwechsel besteht ein erhöhtes Risiko, dass diese Werte nicht vollständig zurückgegeben, weiterhin genutzt oder unbefugt offengelegt werden. Dieses Control stellt sicher, dass alle Werte der Organisation ordnungsgemäß zurückgegeben, entzogen oder sicher behandelt werden, um Informationssicherheitsrisiken zu minimieren.
Zweck des Controls
A 5.11 soll gewährleisten, dass Informationen und andere damit verbundene Werte bei Beendigung oder Änderung eines Arbeits-, Vertrags- oder Nutzungsverhältnisses vollständig zurückgegeben oder kontrolliert entzogen werden. Ziel ist es, unbefugte Zugriffe, Datenabflüsse oder Missbrauch von Informationen nach dem Ausscheiden oder Rollenwechsel von Personen zu verhindern und die Integrität sowie Vertraulichkeit der Informationswerte zu schützen.
Anforderungen und Maßnahmen
1. Festlegung von Rückgabepflichten
Organisationen müssen klar definieren, welche Werte bei Beendigung oder Änderung eines Verhältnisses zurückzugeben sind, insbesondere:
physische Assets wie Geräte, Ausweise, Schlüssel oder Datenträger
IT-Assets wie Laptops, Mobilgeräte oder Tokens
Informationen in physischer oder elektronischer Form
Zugangsdaten, Authentifizierungsmittel und Zertifikate
Dokumentationen, Unterlagen und Arbeitsmaterialien
Diese Pflichten müssen eindeutig dokumentiert und kommuniziert werden.
2. Integration in Onboarding- und Offboarding-Prozesse
Die Rückgabe von Werten muss fester Bestandteil definierter Prozesse sein:
Verankerung in Offboarding- und Rollenwechselprozessen
Nutzung von Checklisten zur Sicherstellung der Vollständigkeit
Abstimmung zwischen HR, IT, ISMS und Fachbereichen
Klare Zuständigkeiten für Durchführung und Kontrolle
So wird eine konsistente und nachvollziehbare Umsetzung sichergestellt.
3. Entzug von Zugriffsrechten
Neben der physischen Rückgabe müssen Zugriffsrechte rechtzeitig entzogen werden:
Deaktivierung von Benutzerkonten und Zugängen
Entzug privilegierter Berechtigungen
Sperrung von Remote-Zugängen und Cloud-Zugriffen
Widerruf von Zertifikaten, Tokens oder Schlüsseln
Der Entzug muss zeitnah erfolgen, um Missbrauch zu verhindern.
4. Umgang mit Informationen und Datenbeständen
Organisationen müssen sicherstellen, dass Informationen ordnungsgemäß behandelt werden:
Rückgabe oder sichere Übergabe von Dokumenten und Dateien
Löschung oder Übertragung personenbezogener oder sensibler Daten
Sicherstellung, dass keine Kopien verbleiben
Kontrolle privater Speicherorte oder externer Medien, soweit zulässig
Dies gilt insbesondere für vertrauliche oder geschützte Informationen.
5. Einbindung externer Parteien
Auch externe Parteien müssen zur Rückgabe verpflichtet werden:
vertragliche Regelungen zur Rückgabe von Werten
klare Fristen und Verantwortlichkeiten
Kontrolle der Rückgabe bei Vertragsende
Durchsetzung vertraglicher Verpflichtungen bei Abweichungen
Die Organisation behält die Gesamtverantwortung für ihre Werte.
6. Dokumentation und Nachweisführung
Die Rückgabe von Werten muss dokumentiert werden:
Protokolle oder Checklisten zur Rückgabe
Bestätigungen durch verantwortliche Stellen
Dokumentation des Entzugs von Zugriffsrechten
Archivierung der Nachweise gemäß interner Vorgaben
Diese Nachweise sind wichtig für Audits und Compliance.
7. Umgang mit Sonderfällen
Für besondere Situationen müssen Regelungen bestehen, z. B.:
kurzfristige oder ungeplante Beendigungen
Verlust oder Beschädigung von Werten
rechtliche Auseinandersetzungen
Sonderregelungen bei leitenden oder privilegierten Rollen
Solche Fälle müssen risikoorientiert und kontrolliert behandelt werden.
8. Überprüfung und Verbesserung der Verfahren
Die Verfahren zur Rückgabe von Werten müssen regelmäßig überprüft werden:
Bewertung der Wirksamkeit im Rahmen interner Audits
Anpassung bei organisatorischen oder technischen Änderungen
Berücksichtigung von Lessons Learned aus Vorfällen
Aktualisierung von Checklisten und Prozessen
So wird eine dauerhafte Wirksamkeit sichergestellt.
Zusammenfassung
A 5.11 fordert, dass Organisationen sicherstellen, dass Informationen und andere damit verbundene Werte bei Beendigung oder Änderung von Arbeits- oder Vertragsverhältnissen vollständig zurückgegeben oder kontrolliert entzogen werden. Durch klar definierte Rückgabepflichten, integrierte Offboarding-Prozesse, rechtzeitigen Entzug von Zugriffsrechten und umfassende Dokumentation werden Risiken durch unbefugte Nutzung oder Datenabfluss wirksam reduziert. Das Control ist ein zentraler Bestandteil eines ganzheitlichen und nachhaltigen Informationssicherheitsmanagementsystems.
Leave a comment