Gefahr von innen?

Risikokontrolle 6.1: Sicherheitsüberprüfung


Die Risikokontrolle „Sicherheitsüberprüfung“ (Screening) gemäß ISO 27002:2022 (Abschnitt 6.1) verlangt, dass Hintergrundüberprüfungen für alle Kandidaten durchgeführt werden, die eine Position in einer Organisation anstreben. Diese Überprüfungen sollten vor dem Eintritt in die Organisation und in regelmäßigen Abständen während der Anstellung erfolgen. Sie müssen unter Berücksichtigung geltender Gesetze, Vorschriften und ethischer Standards durchgeführt werden und proportional zu den geschäftlichen Anforderungen sowie den Risiken gestaltet sein. Die Sicherheitsüberprüfung zielt darauf ab, sicherzustellen, dass Mitarbeiter vertrauenswürdig sind und keine Gefahr für die Sicherheit der Organisation oder ihrer Informationen darstellen.


Welche Gefahren sollen durch die Risikokontrolle vermindert werden?

Die Sicherheitsüberprüfung dient dazu, mehrere wesentliche Gefahren zu minimieren, die aus dem unkontrollierten Zugang von Mitarbeitern zu sensiblen Informationen oder kritischen Systemen resultieren können:

  1. Insider-Bedrohungen: Eine der größten Gefahren für die Informationssicherheit kommt von innen. Ohne eine gründliche Hintergrundüberprüfung könnten Personen eingestellt werden, die potenziell kriminelle Absichten haben oder in der Vergangenheit an sicherheitsrelevanten Verstößen beteiligt waren. Diese Personen könnten vertrauliche Informationen stehlen, IT-Systeme sabotieren oder den Ruf der Organisation schädigen.
  2. Unqualifiziertes Personal: Wenn keine gründliche Überprüfung der Qualifikationen und Erfahrungen erfolgt, besteht das Risiko, dass unqualifizierte Personen in sicherheitsrelevanten Bereichen arbeiten. Dies könnte zu Fehlern führen, die die Sicherheit der Organisation gefährden.
  3. Falsche Identitäten oder gefälschte Informationen: Ohne Screening könnten Kandidaten, die falsche Angaben zu ihrer Identität oder ihrem beruflichen Werdegang machen, Zugang zu sensiblen Informationen oder kritischen Positionen erhalten, was erhebliche Risiken birgt.
  4. Missachtung von Vorschriften: Viele Branchen, wie der Finanzsektor oder das Gesundheitswesen, unterliegen strengen rechtlichen Vorschriften bezüglich der Einstellung von Personal. Ohne eine angemessene Sicherheitsüberprüfung könnte die Organisation gegen diese Vorschriften verstoßen und rechtliche Konsequenzen erleiden.


Welche typische Schwachstellen in Organisationen werden damit adressiert?

Die Sicherheitsüberprüfung behebt mehrere häufige Schwachstellen in Organisationen, insbesondere in Bezug auf die Einstellung und Überwachung von Personal:

  1. Fehlende oder unzureichende Überprüfungsprozesse: In vielen Unternehmen werden neue Mitarbeiter eingestellt, ohne dass eine gründliche Überprüfung ihrer Hintergrundinformationen durchgeführt wird. Dies erhöht das Risiko, dass unsichere oder unzuverlässige Personen Zugang zu sensiblen Daten erhalten.
  2. Keine regelmäßigen Nachkontrollen: Während viele Organisationen eine Hintergrundüberprüfung vor der Einstellung durchführen, fehlen oft regelmäßige Überprüfungen während der Anstellung. Mitarbeiter können sich jedoch im Laufe der Zeit verändern, was das Risiko erhöht, dass bestehende Mitarbeiter zu einem Sicherheitsrisiko werden.
  3. Mangel an konsistenten Überprüfungsrichtlinien: In einigen Unternehmen gibt es keine standardisierten Prozesse oder klare Richtlinien, wie und wann Sicherheitsüberprüfungen durchgeführt werden sollten. Dies führt zu Inkonsistenzen, die es potenziellen Bedrohungen ermöglichen, unentdeckt zu bleiben.
  4. Unzureichende Berücksichtigung gesetzlicher Vorschriften: Viele Organisationen führen keine Sicherheitsüberprüfungen durch, die den geltenden Gesetzen oder Branchenvorschriften entsprechen. Dies kann zu rechtlichen und regulatorischen Problemen führen.


Beispiel für die Umsetzung der Risikokontrolle

Ein konkretes Beispiel stammt aus der Finanzbranche, wo der Zugang zu hochsensiblen Kundendaten streng kontrolliert werden muss. Eine große Bank, die sowohl im Privat- als auch im Geschäftskundenbereich tätig ist, hat ein umfassendes Screening-Programm für alle neuen Mitarbeiter sowie bestehende Mitarbeiter in sicherheitskritischen Positionen eingeführt.

  1. Vor der Einstellung: Für alle neuen Mitarbeiter werden Hintergrundüberprüfungen durchgeführt, die die Prüfung von Identität, Strafregisterauszügen, finanzieller Stabilität und beruflicher Qualifikationen umfassen. Besonders bei Positionen, die Zugriff auf Finanztransaktionssysteme oder Kundendaten haben, ist diese Überprüfung besonders streng.
  2. Regelmäßige Nachkontrollen: Für alle Mitarbeiter in kritischen Positionen führt die Bank regelmäßige Nachkontrollen durch, um sicherzustellen, dass keine neuen Risiken auftreten. Diese Nachkontrollen umfassen regelmäßige Finanzprüfungen und die Überprüfung von eventuellen strafrechtlichen Vergehen, die während der Anstellung aufgetreten sein könnten.
  3. Ethische Berücksichtigung: Das Screening-Programm der Bank ist streng an die geltenden Datenschutzgesetze und Ethikstandards angepasst. Jede Überprüfung erfolgt im Einklang mit dem Schutz der Privatsphäre der Mitarbeiter und wird nur in dem Umfang durchgeführt, der für die jeweilige Position notwendig ist.

Durch diese Maßnahmen konnte die Bank verhindern, dass eine Person mit einer langen Vorgeschichte von Finanzbetrug in eine Position gelangte, in der sie Zugriff auf Kundendaten gehabt hätte. Die Hintergrundüberprüfung deckte die kriminelle Vergangenheit auf, bevor die Person eingestellt wurde, und verhinderte so potenziellen Schaden.


Notwendige Ressourcen

Die Umsetzung eines umfassenden Screening-Programms erfordert Investitionen in Zeit, Technologie und Personal. Die genauen Kosten hängen von der Größe der Organisation, der Branche und den spezifischen Anforderungen ab.

  1. Kosten für externe Dienstleister: Viele Unternehmen lagern die Sicherheitsüberprüfung an spezialisierte Dienstleister aus. Die Kosten für solche Dienstleistungen variieren je nach Umfang der Überprüfung, können aber pro Kandidat zwischen 50 und 500 Euro liegen. Bei regelmäßigen Nachkontrollen kommen entsprechende laufende Kosten hinzu.
  2. Interne Ressourcen: Wenn eine Organisation die Sicherheitsüberprüfung intern durchführt, sind die Kosten für Schulung, Personal und die Integration in bestehende HR-Prozesse zu berücksichtigen. Größere Unternehmen benötigen möglicherweise dedizierte Mitarbeiter oder Abteilungen, um diese Prozesse zu verwalten.
  3. Zeitaufwand: Die Durchführung von Sicherheitsüberprüfungen kann je nach Umfang und Tiefe der Überprüfung einige Tage bis mehrere Wochen dauern. Die Zeitplanung ist besonders bei der Einstellung neuer Mitarbeiter wichtig, um Verzögerungen im Rekrutierungsprozess zu vermeiden.
  4. Einfachheit vs. Komplexität: Einfache Überprüfungen, wie Identitätsprüfungen oder die Überprüfung von Qualifikationen, sind relativ leicht durchzuführen. Komplexere Überprüfungen, insbesondere in regulierten Branchen oder bei Positionen mit hohem Sicherheitsrisiko, erfordern mehr Aufwand. Hier müssen umfassendere Maßnahmen wie die Überprüfung der Finanzhistorie, Referenzen oder potenzielle Verbindungen zu kriminellen Aktivitäten berücksichtigt werden.
  5. Gesetzliche Anforderungen: Die Sicherheitsüberprüfung muss stets im Einklang mit den geltenden Gesetzen und Vorschriften stehen. Die Einhaltung von Datenschutzgesetzen und der Schutz der Privatsphäre der Mitarbeiter sind dabei besonders wichtig. Dies erfordert möglicherweise die Konsultation von Rechtsexperten, was zusätzliche Kosten verursachen kann.


Fazit

Die Risikokontrolle „Sicherheitsüberprüfung“ gemäß ISO 27002:2022 ist ein kritischer Baustein im Rahmen der Informationssicherheit und des Zugangsmanagements in jeder Organisation. Durch eine gründliche und regelmäßige Überprüfung von Mitarbeitern vor und während ihrer Anstellung kann das Risiko von Insider-Bedrohungen, unqualifiziertem Personal und Sicherheitslücken erheblich reduziert werden. Obwohl die Umsetzung Zeit und finanzielle Ressourcen erfordert, ist der langfristige Nutzen für die Sicherheit der Organisation enorm. Eine gut durchdachte Sicherheitsüberprüfung schützt nicht nur die Organisation selbst, sondern auch ihre Kunden und sensiblen Daten vor potenziellen Bedrohungen.