:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/cd/b0cd6ad0db8b7b584295c04c4084023d/0125494472v2.jpeg "Am 3. Juli waren auf einmal die Webseiten des Distributors Ingram Micro nicht mehr erreichbar. Schnell wurde von Mitarbeitern und Kunden ein Cyberangriff vermutet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6c/dd/6cddbcf249f31748feae7096189632a2/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/f7/b3f75dd711f2385a1e7d528acc79b1c7/0128774540v1.jpeg "Mit der Übernahme von Armis will ServiceNow eine einheitliche Sicherheitsplattform für die gesamte Angriffsfläche schaffen, die die Lücke zwischen dem Erkennen von Schwachstellen und deren Behebung schließt und so Milliarden von vernetzten Geräten autonom schützt. (Bild: © twindesigner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/11/63115ba1d37c1e9499d599c744c80ab4/0123849100v1.jpeg "Jörg Hollerith, Produktmanager bei Paessler, betont die Bedeutung klar definierter Schwellenwerte, um Warnmeldungen verlässlicher einzuordnen. (Bild: Paessler)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/d0/cfd05fb7d685daeef671838eb3edf725/0128875949v2.jpeg "Drei teils kritische Schwachstellen betreffen lokale Windows-Versionen von Trend Micro Apex Central. Sie ermöglichen eine vollständige Systemübernahme durch Remote-Code-Ausführung sowie Denial-of-Service-Angriffe. (Bild: Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/09/a809c2b47ea5879bc108f0e713988bb5/0129070533v2.jpeg "Das Ziel der EU-Kommission hinter der Änderung des Cybersecurity Acts besteht darin, die Cybersicherheitsresilienz und -kapazitäten zu stärken, um Unternehmen und Institutionen besser gegen wachsende Cyberbedrohungen zu schützen und gleichzeitig die Compliance-Anforderungen zu vereinfachen. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
ISO 27001:2005 – Human Resources Security Maßnahmen für Mitarbeiter-Management und IT-Sicherheit
ISO/IEC 27001:2005 beschreibt ein Managementsystem für Informationssicherheit. Innerhalb eines solchen Systems ist die IT-Sicherheit für das Humankapital das vierte von elf Überwachungsbereichen. Die Norm schreibt vor, wie alle Mitarbeiter sich vor, während und nach der Berufsausübung verhalten sollen. Dieser Artikel benennt und erläutert die entsprechenden Norm-Inhalte. Weiterhin werden praktische Informationen und Vergleiche zur BSI-Norm gezogen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
Alle in eine Organisation eingebundenen Personen müssen sich Ihrer Aufgaben und Pflichten gewahr sein, um das Risiko von Datendiebstahl, Betrug und Missbrauch zu minimieren. Dies gilt während der gesamten Einstellungsphase eines Mitarbeiters, also vor, während und nach der Beschäftigung. Aber nicht nur der Mitarbeiter, sondern auch die Geschäftsleitung und die Personalabteilung haben ihre Pflichten.
Viele Punkte der Kontrollliste im Paragraphen 8 des Annex A finden sich auch in anderen Überwachungsbereichen wieder. Das gilt besonders für Informationssicherheits-Richtlinien (§ 5, Annex A), Vermögensverwaltung (§ 7, Annex A) und IT-Compliance (§ 15, Annex A). Genauso wie bei anderen Kontrollzielen referenziert ISO 27001:2005 auf ISO 1799:2005.
Vor einem Beschäftigungsverhältnis
ISO 27001:2005 beschreibt sehr allgemein die Aufgaben vor der Einstellung eines festen Mitarbeiters, Teilzeitmitarbeiters oder externen Mitarbeiters. Hierbei handelt es sich – praktisch umgesetzt – um folgende Kontrollziele:
- Rollen und Verantwortlichkeiten interner und externer Mitarbeiter. Zur Einrichtung von Sicherheitsrollen und Verantwortlichkeiten sind die Informationssicherheits-Richtlinien zu verwenden. Des Weiteren muss alles getan werden, um das Organisationsvermögen vor unbefugtem Zugriff zu schützen. Was zu einem Organisationsvermögen gehört, ist im Kontrollziel „Vermögensverwaltung“ aufgelistet.
- Eine Eignungsauslese aller internen und externen Mitarbeiter. Unter Wahrung des gültigen Rechts sollten Bewerbungsunterlagen und Werdegang potentieller Bewerber unter die Lupe genommen werden. Lebenslauf, Referenzen und die akademische Qualifikation sind zu überprüfen. Auch ein polizeiliches Führungszeugnis und eine Bankauskunft sind wichtig. Hierbei können Behörden und Dienstleister wie beispielsweise die Creditreform helfen.
- Alles für das Ziel „IT-Compliance“. Alle Mitarbeiter (Angestellte, Teilzeitarbeiter, Subunternehmer, etc.) erhalten Arbeitsverträge, in denen die IT-Sicherheit der betreffenden Organisation beschrieben ist. Auch hier ist die Wahrung der gesetzlichen Vorschriften wichtig. Die Norm nennt in diesem Zusammenhang Geheimhaltungsverträge, Handhabung von Patenten und die Verwendung von vertraulichen Informationen jeder Art. Ebenso dürfen in dem Arbeitsvertrag die Aufgabengebiete, Arbeitszeiten und die Verantwortlichkeiten nicht fehlen. Bei Verletzung des Vertrags sollten auch mögliche Strafen beschrieben sein.
Während des Beschäftigungsverhältnisses
Die Aufgaben der Mitarbeiter sollten genau definiert sein. Dies geschieht nicht nur hinsichtlich der IT-Sicherheit, sondern auch um sonstige Fehlerquellen zu beseitigen. Die ISO-Norm beschreibt zu diesem Punkt drei Kontrollziele:
- Die Verantwortung des Managements
- IT-Sicherheitsbewusstsein durch laufende Fortbildungen
- Disziplinarmaßnahmen bei Verstößen
Bei der Verantwortung des Managements ist die Rolle der Geschäftsführung gemeint. Sie hat die Pflicht, alle Mitarbeiter gemäß Ihrer IT-Sicherheitsrolle anzuleiten und entsprechend der Arbeitsbeschreibung die notwendigen Berechtigungen auf das Organisationsvermögen zu erteilen. Hierbei helfen die in ISO 27001:2005 ausgearbeiteten Informationssicherheits-Richtlinien.
Durch eigenes Verhalten ist die Führungsebene auch Vorbild für alle Mitarbeiter, um ein IT-Sicherheitsbewusstsein aufzubauen. Eher problematisch wirkt der in der Norm vorgesehene „disziplinarische Prozess“. In einigen Ländern sind die Bestimmungen für Arbeitsrecht womöglich locker gestrickt – hingegen können sie in Deutschland als sehr „heikel“ für den Arbeitgeber eingestuft werden, sodass Rechtsberater dringend erforderlich sind.
Bezüglich des Sicherheitsbewusstseins merkt das BSI in seiner Richtline 100-2 noch an, dass ein „Arbeitsklima positiv beeinflusst“ wird, wenn Mitarbeiter sich in die Entscheidungen der Geschäftsleitung eingebunden fühlen.
Änderung oder Beendigung des Beschäftigungsverhältnisses
Sobald eine Änderung im Beschäftigungsverhältnis auftritt, ist die Rolle der Person innerhalb der IT-Sicherheit unverzüglich neu zu definieren. Das könnte zum Beispiel bei einer „Degradierung“ der sofortige Entzug von Berechtigungen oder die Rückgabe von Smartcards sein. Die ISO-Norm nennt hierzu folgende Kontrollziele:
- Verantwortlichkeiten innerhalb der Organisation sollten klar definiert sein (Ansprechpartner müssen zum Beispiel vorhanden sein)
- Rückgabe von Vermögenswerten (Laptops, elektronische Planer, Unterlagen, Schlüssel, etc.)
- Entfernen von Zugriffsrechten
Eine deutsche Besonderheit, die das BSI zu Recht noch erwähnt, ist die Rolle von Personal- und Betriebsräten. Diese Gremien und Personen sollten frühzeitig in die IT-Sicherheit eingebunden werden, um Missverständnisse und Verstöße gegen das deutsche Arbeitsrecht zu vermeiden.
In der Praxis zeigt es sich leider zu oft, dass Unkenntnis der Betriebsräte zu viel Unruhe innerhalb der Belegschaft führen kann. Hier hilft nur eine besondere IT-Sensibilisierung der Arbeitnehmervertreter und Gewerkschaftsmitglieder.
In der Praxis?
Man darf selbstverständlich nicht alle Organisationen über einen Kamm scheren. IT-Sicherheitsstufen und Risiken mögen überall verschieden beurteilt werden. Ein Vermögenswert einer Organisation ist sein Humankapital (Human Resources). Dieses Kapital sollte immer gefördert und durch transparente Maßnahmen geschützt werden. Eine Schulung des IT-Sicherheitsbewusstseins Aller ist der erste Schritt. Die Umsetzung durch Geschäftsleitung und IT-Sicherheitsstab bzw. IT-Sicherheitsbeauftragte ein weiterer.
Zu den am IT-Sicherheitssystem partizipierenden Mitarbeitern gehören auch Subunternehmer. Wenn abends die Putzkolonne beginnt die Büroräume zu säubern, dürfen die Räume und teilweise auch das Firmengebäude nicht unbeaufsichtigt offen stehen. Das gilt auch, wenn die Feuchtigkeit der gewischten Böden nicht so schnell entweichen kann. Ähnliches gilt auch für Anlieferung, bei der aus Bequemlichkeit gleich mehrere Türen permanent unbewacht offen stehen. Da handelt es sich beinahe um eine Aufforderung zum Diebstahl.
Man denke aber auch an die „heikle“ Benutzung von E-Mail und Internet seiten der Mitarbeiter. Auch elektronische Post, und dazu zählt auch die E-Mail, fällt unter das Post- oder Fernmeldegesetz. Eine Verletzung des Gesetzes ist laut § 206 StGB unter Strafe gestellt, wenn zum Beispiel ein Unternehmen eine zur Übermittlung anvertraute Sendung unterdrückt. Erlaubt ein Unternehmen seinen Mitarbeitern die private E-Mail-Nutzung, dann kann es sich der Verletzung des Post- oder Fernmeldegesetzes strafbar machen, wenn es an einen Mitarbeiter adressierte E-Mails ausfiltert.
Fazit
Leider kann die ISO-Norm wegen der unterschiedlichen Gesetzgebungen der Länder nur allgemeine Empfehlungen herausgeben. Die Norm liefert Aufgaben und Pflichten der Mitarbeiter und der Firmenleitung, die sie vor-, während und nach einem Beschäftigungsverhältnis beachten müssen. Das betrifft beispielsweise Aufgaben, wie die genaue Überprüfung der neuen Mitarbeiter oder das Löschen der Zugangsdaten bei Beendigung des Arbeitsverhältnisses.
Artikelfiles und Artikellinks
(ID:2006658)
:quality(80)/p7i.vogel.de/wcms/2d/e2/2de255489b819a58426e3f3f47922c0a/0124528190v1.jpeg "Die Vorbereitung auf einen Cyber-Ernstfall minimiert Ausfallzeiten und verringert somit auch die Schäden innerhalb der Organisation. Zusätzlich schützt man damit Unternehmenswerte wie Kundendaten und IT-Infrastruktur. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/04/04/0404ff494ae793255c252788d20428cd/0126256656v1.jpeg "Im Dschungel der Cybersecurity-Zertifizierungen reicht es nicht, einfach drauflos zu marschieren. Wer die Spielregeln kennt und klug kombiniert, sichert sich nicht nur die Gunst von Auditoren, sondern auch das Vertrauen der Kunden. (Bild: Midjourney / KI-generiert)")