Sie befinden sich hier: Themen. IT-Grundschutz. IT-Grundschutz-Kataloge. Dokument: B 1.2 Personal - IT-Grundschutz-Kataloge - 10. EL Stand 2008
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

B 1.2 Personal

Logo Personal

Beschreibung

In diesem Baustein werden die übergeordneten IT-Grundschutzmaßnahmen erläutert, die im Bereich Personalwesen standardmäßig durchgeführt werden sollten. Beginnend mit der Einstellung von Mitarbeitern bis hin zu deren Ausscheiden ist eine Vielzahl von Maßnahmen erforderlich. Personelle Empfehlungen, die an eine bestimmte Funktion gebunden sind, wie z. B. die Ernennung des Systemadministrators eines LAN, werden in den IT-spezifischen Bausteinen angeführt.

Gefährdungslage

In diesem Baustein werden für den IT-Grundschutz die folgenden typischen Gefährdungen betrachtet:

Höhere Gewalt:

- G 1.1 Personalausfall
- G 1.2 Ausfall des IT-Systems

Organisatorische Mängel:

- G 2.2 Unzureichende Kenntnis über Regelungen
- G 2.7 Unerlaubte Ausübung von Rechten

Menschliche Fehlhandlungen:

- G 3.1 Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.2 Fahrlässige Zerstörung von Gerät oder Daten
- G 3.3 Nichtbeachtung von IT-Sicherheitsmaßnahmen
- G 3.8 Fehlerhafte Nutzung des IT-Systems
- G 3.9 Fehlerhafte Administration des IT-Systems
- G 3.36 Fehlinterpretation von Ereignissen
- G 3.37 Unproduktive Suchzeiten
- G 3.43 Ungeeigneter Umgang mit Passwörtern
- G 3.44 Sorglosigkeit im Umgang mit Informationen

Vorsätzliche Handlungen:

- G 5.1 Manipulation/Zerstörung von IT-Geräten oder Zubehör
- G 5.2 Manipulation an Informationen oder Software
- G 5.20 Missbrauch von Administratorrechten
- G 5.23 Computer-Viren
- G 5.42 Social Engineering
- G 5.43 Makro-Viren
- G 5.80 Hoax
- G 5.104 Ausspähen von Informationen

Maßnahmenempfehlungen

Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Für das in einem Unternehmen oder einer Behörde tätige Personal sind eine Reihe von Maßnahmen umzusetzen, beginnend mit einer geregelten Einarbeitung neuer Mitarbeiter, über Schulungen, die den Umgang mit der IT betreffen, bis hin zu einem geregelten Ausscheiden eines Mitarbeiters. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt.

Umsetzung

Das Unternehmen bzw. die Behörde muss neuen Mitarbeitern bestehende Regelungen und Handlungsanweisungen bekannt machen (siehe M 3.1 Geregelte Einarbeitung/Einweisung neuer Mitarbeiter , damit diese zügig in die bestehenden Prozesse integriert werden können. Ebenso ist es unerlässlich, alle Mitarbeiter über Veränderungen dieser Regelungen und ihre spezifischen Auswirkungen auf einen Prozess oder auf den einzelnen Mitarbeiter zu unterrichten. Insbesondere bei sicherheitskritischen Betriebsumgebungen empfiehlt es sich, die Mitarbeiter entsprechend zu verpflichten (siehe M 3.2 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen ) und die Vertrauenswürdigkeit von Mitarbeitern bestätigen zu lassen (siehe M 3.33 Sicherheitsüberprüfung von Mitarbeitern ). Besonderes Gewicht ist hierbei auf die Vertrauenswürdigkeit von Personen mit besonderen Funktionen und Berechtigungen zu legen (siehe M 3.10 Auswahl eines vertrauenswürdigen Administrators und Vertreters .

Betrieb

Die Motivation aller Mitarbeiter, IT-Sicherheit in den Betriebsprozessen zu akzeptieren und auch eigenverantwortlich umzusetzen, muss durch geeignete Schulungen (siehe M 3.5 Schulung zu IT-Sicherheitsmaßnahmen ) und durch detaillierte Kenntnisse der Anwendungen (siehe M 3.4 Schulung vor Programmnutzung ) auf fachlicher Ebene motiviert und gefördert werden. Hierbei kommt der Ausbildung des Administrations- und Wartungspersonals (siehe M 3.11 Schulung des Wartungs- und Administrationspersonals ) ein besonderer Stellenwert zu, da dieser Personenkreis aufgrund seiner weitgehenden Rechte im Umgang mit der IT eine hohe Verantwortung trägt.

Um eine kontinuierliche Verfügbarkeit wichtiger Prozesse zu erreichen, muss dafür gesorgt werden, dass Schlüsselpositionen immer besetzt sind, wenn dies von den Abläufen her gefordert wird (siehe M 3.3 Vertretungsregelungen ).

Kommunikationsprobleme, persönliche Probleme, schlechtes Betriebsklima, weitreichende organisatorische Veränderungen und Ähnliches sind ebenfalls Faktoren, die zu Sicherheitsrisiken führen können. Für solche Fälle sollten Vertrauenspersonen und Anlaufstellen eingerichtet sein (siehe M 3.7 Anlaufstelle bei persönlichen Problemen ).

Funktionsänderungen

Bei Mitarbeitern, die die Institution verlassen oder andere Funktionen übernehmen, müssen bestehende Regelungen mit erhöhter Sorgfalt umgesetzt werden (siehe M 3.6 Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern ). Bei kurzfristig ausscheidenden Mitarbeitern kann ein potentielles Risiko vorhanden sein, dass unberechtigterweise vertrauliche Informationen mitgenommen werden oder erst im nachhinein gezielte Manipulationen an IT-Objekten und Daten bemerkt werden.

Nachfolgend wird das Maßnahmenbündel für den Bereich "Personal" vorgestellt:

Planung und Konzeption

- M 3.51 (Z) Geeignetes Konzept für Personaleinsatz und -qualifizierung

Beschaffung

- M 3.50 (Z) Auswahl von Personal

Umsetzung

- M 3.1 (A) Geregelte Einarbeitung/Einweisung neuer Mitarbeiter
- M 3.2 (A) Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen
- M 3.10 (A) Auswahl eines vertrauenswürdigen Administrators und Vertreters
- M 3.33 (Z) Sicherheitsüberprüfung von Mitarbeitern
- M 3.55 (C) Vertraulichkeitsvereinbarungen

Betrieb

- M 3.3 (A) Vertretungsregelungen
- M 3.4 (A) Schulung vor Programmnutzung
- M 3.5 (A) Schulung zu IT-Sicherheitsmaßnahmen
- M 3.7 (Z) Anlaufstelle bei persönlichen Problemen
- M 3.8 (Z) Vermeidung von Störungen des Betriebsklimas
- M 3.11 (A) Schulung des Wartungs- und Administrationspersonals

Aussonderung

- M 3.6 (A) Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern