Mitarbeitende haben direkten oder indirekten Zugang zu Informationswerten, Systemen und vertraulichen Daten. Ihre Vertrauenswürdigkeit, Integrität und Eignung sind daher entscheidend für die Informationssicherheit. Die Sicherheitsüberprüfung (Screening) dient dazu sicherzustellen, dass Personen, die sicherheitsrelevante Aufgaben wahrnehmen, angemessen geprüft sind und kein erhöhtes Risiko für die Organisation darstellen.
Zweck des Controls
A 6.1 soll gewährleisten, dass Mitarbeitende — einschließlich externer Kräfte, Zeitarbeitskräfte oder Dienstleister mit Zugang zu sensiblen Bereichen — vor Aufnahme ihrer Tätigkeit geprüft werden. Ziel ist, die Risiken durch ungeeignete Qualifikationen, fehlende Zuverlässigkeit oder potenziell risikobehaftete Vorgeschichten zu reduzieren. Die Überprüfung unterstützt zudem die Einhaltung gesetzlicher und regulatorischer Vorgaben.
Anforderungen und Maßnahmen
1. Definition eines strukturierten Screening-Prozesses
Die Organisation muss einen formalisierten Überprüfungsprozess festlegen, der folgende Schritte enthält:
Erfassung der Aufgaben und des erforderlichen Sicherheitsniveaus der Position.
Definition der Art und Tiefe der Überprüfung in Abhängigkeit vom Risikoprofil.
Dokumentation der Bewertungsergebnisse und Entscheidungsgrundlagen.
Sicherstellung der Einhaltung rechtlicher und datenschutzrechtlicher Vorgaben.
Der Prozess muss konsistent, nachvollziehbar und rechtskonform sein.
2. Hintergrundüberprüfungen vor Arbeitsbeginn
Die Sicherheitsüberprüfung kann, abhängig vom Schutzbedarf, folgende Elemente umfassen:
Überprüfung von Qualifikationen, Zertifikaten und beruflicher Erfahrung.
Referenzprüfungen früherer Arbeitgeber.
Prüfung relevanter beruflicher Lizenzen oder Zulassungen.
Bonitäts- oder Zuverlässigkeitsprüfungen, sofern rechtlich zulässig und angemessen.
Strafregisterauszug (nur sofern gesetzlich erlaubt und im Kontext zwingend erforderlich).
Ziel ist es, sicherzustellen, dass Mitarbeitende fachlich und persönlich für ihre Aufgaben geeignet sind.
3. Risikobasierte Ausgestaltung der Überprüfung
Die Screening-Tiefe richtet sich nach:
Art der Rolle (z. B. IT-Administrator, Sicherheitsverantwortlicher, HR, Finanzwesen).
Kritikalität des Zugriffs (physisch, logisch, remote, privilegiert).
Schutzbedarf der Informationen und Assets, mit denen die Person arbeitet.
Branchen- oder regulatorischen Anforderungen (z. B. Finanzsektor, Gesundheitswesen, KRITIS).
So bleibt der Prozess verhältnismäßig und wirksam zugleich.
4. Umgang mit externen Mitarbeitenden und Dienstleistern
Externe Personen müssen dem gleichen Sicherheitsniveau entsprechen wie interne Mitarbeitende:
Vertragsklauseln, die die Durchführung geeigneter Screening-Maßnahmen vorschreiben.
Nachweis der Überprüfung durch den Dienstleister / Personaldienstleister.
Zugriff erst nach bestätigter Eignung und dokumentierter Freigabe.
Regelmäßige Nachprüfungen bei langfristigen Einsätzen.
Dadurch wird das Risiko durch Drittparteien kontrolliert.
5. Dokumentation und Schutz der Screening-Daten
Die Organisation muss alle relevanten Screening-Ergebnisse dokumentieren:
Vollständige, nachvollziehbare und überprüfbare Screening-Unterlagen.
Klare Aufbewahrungsfristen und datenschutzkonforme Löschvorgaben.
Beschränkung des Zugriffs auf autorisierte HR- oder Sicherheitsverantwortliche.
Trennung zwischen Bewerbungsunterlagen und sicherheitsrelevanten Screening-Daten.
Dies gewährleistet Transparenz unter Einhaltung der Datenschutzgrundsätze.
6. Umgang mit Auffälligkeiten oder negativen Ergebnissen
Wenn die Überprüfung Bedenken ergibt, muss es klare Vorgaben geben:
Ein strukturiertes Bewertungsverfahren für Risiko und Relevanz.
Beteiligung der Rechtsabteilung, HR oder des Sicherheitsmanagements.
Dokumentierte Entscheidung, ob Einstellung, Einschränkung oder Ablehnung erfolgt.
Transparente Kommunikation unter Einhaltung arbeitsrechtlicher Vorgaben.
So wird sicher und fair entschieden.
7. Aktualisierung während der Beschäftigung
Bei bestimmten Rollen kann eine regelmäßige oder anlassbezogene Nachprüfung erforderlich sein:
Tätigkeiten mit besonders hohen Risiken (z. B. privilegierte Zugriffe, Geldverkehr, kritische Infrastruktur).
Veränderungen der Rolle, des Verantwortungsbereichs oder der Berechtigungen.
Hinweise auf sicherheitsrelevante Auffälligkeiten (unter Einhaltung gesetzlicher Vorgaben).
Anforderungen aus Gesetzen, Normen oder Verträgen.
Dadurch bleibt die Sicherheitsüberprüfung langfristig aktuell.
8. Einbindung in Onboarding- und Offboarding-Prozesse
Die Sicherheitsüberprüfung muss in die organisatorischen Abläufe integriert sein:
Einstellung und Zugriffsfreigabe erst nach erfolgreich abgeschlossenem Screening.
Zentrale Dokumentation im Onboarding-Prozess.
Bei Offboarding: Bewertung, ob sicherheitsrelevante Risiken bestehen (z. B. Umgang mit sensiblen Informationen).
Dies schafft konsistente Abläufe über den gesamten Beschäftigungszyklus hinweg.
Zusammenfassung
A 6.1 verlangt, dass Organisationen Mitarbeitende vor Aufnahme ihrer Tätigkeit einer strukturierten, risikobasierten Sicherheitsüberprüfung unterziehen. Dazu gehören Identitäts- und Qualifikationsprüfungen, Hintergrundchecks, die Bewertung externer Mitarbeitender und die datenschutzkonforme Dokumentation der Ergebnisse. Das Control reduziert Risiken durch ungeeignete oder unzuverlässige Personen und unterstützt die Einhaltung gesetzlicher und regulatorischer Anforderungen.
Leave a comment