Personelle Maßnahmen
In dieser Lerneinheit befasst du dich mit den wichtigsten personellen Maßnahmen zur Informationssicherheit, von der Sensibilisierung der Mitarbeiter bis hin zu Zugriffsberechtigungen und Vertraulichkeitsvereinbarungen. Du lernst, wie du durch gezielte Schulungen, klare Verantwortlichkeiten und die richtige Personalauswahl das Sicherheitsniveau in Unternehmen erhöhen kannst. Die erworbenen Kenntnisse helfen dir dabei, Sicherheitsrisiken durch menschliches Verhalten zu minimieren und ein sicherheitsbewusstes Arbeitsumfeld zu schaffen.
Einführung
Trotz modernster Firewalls und komplexer Sicherheitssysteme verschickt ein Mitarbeiter versehentlich vertrauliche Daten an die falsche Adresse – und plötzlich sind sensible Informationen außerhalb des Unternehmens. Solche Vorfälle passieren täglich und machen deutlich: Nicht Technik, sondern Menschen sind oft das größte Sicherheitsrisiko.

Genau hier setzen die personellen Maßnahmen der Informationssicherheit an.
Lernziele
Nach dieser Lerneinheit kannst du:
- erklären, warum personelle Maßnahmen ein zentrales Element der Informationssicherheit sind und wie sie andere Maßnahmen ergänzen.
- typische personelle Maßnahmen wie Schulungen, Sensibilisierung, Vertragsklauseln und Zugriffsrechte-Management beschreiben und begründen.
- erläutern, wie die Auswahl, Einstellung und regelmäßige Überprüfung von Mitarbeitenden zur Reduzierung von Sicherheitsrisiken beiträgt.
- Beispiele für die Umsetzung personeller Maßnahmen in der Praxis erkennen und kritisch einordnen.
Überleitung
Um zu verstehen, wie Unternehmen solche Risiken durch menschliches Fehlverhalten minimieren können, schauen wir uns jetzt an, was personelle Maßnahmen konkret sind und wie sie in der Praxis umgesetzt werden.
Definition: Personelle Maßnahmen der Informationssicherheit
Personelle Maßnahmen der Informationssicherheit umfassen alle Aktivitäten und Regelungen, die sich auf die Mitarbeiter eines Unternehmens beziehen und darauf abzielen, die Sicherheit von Informationen zu gewährleisten.
Bedeutung von personellen Maßnahmen
Personelle Maßnahmen sind aus folgenden Gründen von entscheidender Bedeutung:
-
Menschen als Schwachstelle: Oft sind Mitarbeiter das schwächste Glied in der Sicherheitskette. Ein einziger unachtsamer Mitarbeiter kann die besten technischen Sicherheitssysteme zunichtemachen.
-
Sensibilisierung und Schulung: Alle Mitarbeiter müssen für das Thema Informationssicherheit sensibilisiert und geschult werden, um Risiken zu minimieren.
-
Ergänzung zu technischen und organisatorischen Maßnahmen: Personelle Maßnahmen bilden zusammen mit technischen und organisatorischen Maßnahmen das Fundament der Informationssicherheit.
-
Praxisrelevanz: In der Praxis helfen personelle Maßnahmen Unternehmen dabei, Sicherheitsvorfälle zu reduzieren, das Bewusstsein für Informationssicherheit zu schärfen, Compliance-Anforderungen zu erfüllen und das Vertrauen von Kunden und Partnern zu stärken.
Beispiel: Wirksamkeit personeller Maßnahmen
Ein mittelständisches Unternehmen führt regelmäßige Schulungen zur Informationssicherheit durch. In einer dieser Schulungen lernt ein Mitarbeiter, wie er Phishing-E-Mails erkennt. Wenige Wochen später erhält er eine verdächtige E-Mail und erkennt sie als Phishing-Versuch. Er meldet den Vorfall an die IT-Abteilung und verhindert so möglicherweise einen schwerwiegenden Sicherheitsvorfall.
Dieses Beispiel zeigt, wie personelle Maßnahmen direkt zur Verbesserung der Informationssicherheit beitragen können. Sie sind nicht nur theoretische Konzepte, sondern haben handfeste Auswirkungen auf den Schutz von Unternehmensinformationen.
Personelle Maßnahmen vor Beginn des Arbeitsverhältnisses

Vor Beginn des Arbeitsverhältnisses sind folgende personelle Maßnahmen wichtig:
- Sorgfältige Personalauswahl und Überprüfung von Bewerbern:
- Überprüfung der Qualifikationen
- Referenzen einholen
- Lückenloser Lebenslauf prüfen
- Online-Präsenz checken
- Vertragliche Vereinbarungen zur Informationssicherheit:
- Verschwiegenheitsklausel
- Nutzungsrichtlinien für IT-Systeme
- Datenschutzverpflichtung
- Konsequenzen bei Verstößen
- Sicherheitsüberprüfungen für sensible Positionen:
- Erweitertes polizeiliches Führungszeugnis
- Überprüfung der finanziellen Situation
- Befragung von Referenzpersonen
- Detaillierte Hintergrundüberprüfung
Wichtig: Alle diese Maßnahmen müssen im Einklang mit den geltenden Datenschutzbestimmungen durchgeführt werden und erfordern oft die Einwilligung des Bewerbers.
Vertragliche Vereinbarungen zur Informationssicherheit
Folgende vertragliche Vereinbarungen zur Informationssicherheit sollten getroffen werden:
- Verschwiegenheitsklausel:
- Verpflichtung, vertrauliche Informationen nicht an Dritte weiterzugeben
- Definition, was als vertrauliche Information gilt
- Nutzungsrichtlinien für IT-Systeme:
- Klare Regeln für den Umgang mit Unternehmenshardware und -software
- Richtlinien für die private Nutzung von Firmensystemen
- Datenschutzverpflichtung:
- Besonders wichtig im Hinblick auf personenbezogene Daten
- Schulung und Verpflichtung zur Einhaltung der DSGVO
- Konsequenzen bei Verstößen:
- Welche Folgen hat ein Verstoß gegen Sicherheitsrichtlinien?
- Abgestufte Maßnahmen von Verwarnung bis zur Kündigung
Diese vertraglichen Vereinbarungen bilden die rechtliche Grundlage für ein sicherheitsbewusstes Verhalten des Mitarbeiters. Sie müssen durch Schulungen und eine gelebte Sicherheitskultur ergänzt werden.
Sicherheitsüberprüfungen für sensible Positionen
Sicherheitsüberprüfungen für sensible Positionen sind in folgenden Fällen angebracht:
- Zugang zu hochsensiblen Daten:
- Wenn der Mitarbeiter mit streng vertraulichen Informationen arbeitet
- Bei Positionen mit umfassenden Administratorrechten
- Kritische Systeme:
- Für Mitarbeiter, die Zugriff auf kritische Infrastrukturen haben
- Bei Positionen mit Einfluss auf die Unternehmenssicherheit
- Sicherheitsrelevanz für das Unternehmen oder den Staat:
- In Branchen mit hohen Sicherheitsanforderungen (z.B. Rüstung, Energie)
- Bei Positionen mit möglichen Auswirkungen auf die nationale Sicherheit
- Gesetzliche Vorgaben:
- Wenn rechtliche Bestimmungen eine Überprüfung vorschreiben
- In regulierten Branchen mit spezifischen Sicherheitsanforderungen
Der Umfang der Überprüfung kann variieren und muss immer im Einklang mit geltendem Recht und unter Wahrung der Persönlichkeitsrechte des Bewerbers durchgeführt werden.
Personelle Maßnahmen während des Arbeitsverhältnisses
Während des Arbeitsverhältnisses sind folgende personelle Maßnahmen von Bedeutung:
- Schulungen und Sensibilisierungsmaßnahmen:
- Regelmäßige Präsenzschulungen
- E-Learning-Module
- Phishing-Simulationen
- Awareness-Kampagnen
- Verpflichtung zur Einhaltung von Sicherheitsrichtlinien:
- Dokumentierte Sicherheitsrichtlinien
- Regelmäßige Erinnerungen
- Verpflichtungserklärungen
- Konsequenzen bei Verstößen
- Zugriffsrechte-Management und Berechtigungskonzepte:
- Least Privilege Principle
- Rollenbasierte Zugriffssteuerung (RBAC)
- Regelmäßige Überprüfungen
- Dokumentation
- Umgang mit mobilen Geräten und Heimarbeit:
- Verschlüsselung
- VPN-Nutzung
- Mobile Device Management (MDM)
- Klare Richtlinien für Heimarbeit und Unterwegs-Nutzung
Diese Maßnahmen helfen, ein kontinuierliches Bewusstsein für Informationssicherheit zu schaffen und aufrechtzuerhalten.
Schulungen und Sensibilisierungsmaßnahmen
Schulungen und Sensibilisierungsmaßnahmen sind entscheidend für die Informationssicherheit. Hier sind die wichtigsten Aspekte:
- Regelmäßige Präsenzschulungen:
- Vermittlung grundlegender Konzepte
- Diskussion aktueller Bedrohungen
- Interaktive Übungen und Fallstudien
- E-Learning-Module:
- Flexibles Lernen im eigenen Tempo
- Leicht aktualisierbar bei neuen Entwicklungen
- Möglichkeit zur Überprüfung des Gelernten durch Tests
- Phishing-Simulationen:
- Praktische Übungen zum Erkennen verdächtiger E-Mails
- Analyse des Mitarbeiterverhaltens
- Gezielte Nachschulung bei Bedarf
- Awareness-Kampagnen:
- Plakate und Infografiken im Büro
- Newsletter mit Sicherheitstipps
- Intranet-Beiträge zu aktuellen Themen
Das Ziel ist, nicht nur Wissen zu vermitteln, sondern ein echtes Bewusstsein für die Bedeutung der Informationssicherheit im Unternehmensalltag zu schaffen.
Effektives Zugriffsrechte-Management
Ein effektives Zugriffsrechte-Management basiert auf folgenden Prinzipien:
- Least Privilege Principle:
- Mitarbeiter erhalten nur die minimal notwendigen Rechte
- Reduziert das Risiko von Datenlecks und unbefugtem Zugriff
- Rollenbasierte Zugriffssteuerung (RBAC):
- Rechte werden anhand von definierten Rollen vergeben
- Erleichtert die Verwaltung bei Personalwechseln
- Regelmäßige Überprüfungen:
- Periodische Kontrolle, ob zugewiesene Rechte noch aktuell sind
- Anpassung bei Änderungen der Aufgaben oder Position
- Dokumentation:
- Lückenlose Aufzeichnung von Rechtevergaben und -änderungen
- Wichtig für Audits und Nachvollziehbarkeit
Ein Beispiel für die Umsetzung:
| Rolle | Zugriff auf | Berechtigungen |
|---|---|---|
| Sachbearbeiter | Kundendaten | Lesen, Bearbeiten |
| Teamleiter | Kundendaten, Teamberichte | Lesen, Bearbeiten, Löschen |
| IT-Admin | Systemkonfiguration | Vollzugriff |
Dieses System hilft, Zugriffsrechte effektiv zu verwalten und das Risiko von Datenmissbrauch zu minimieren.
Herausforderungen beim Umgang mit mobilen Geräten und Heimarbeit
Der Umgang mit mobilen Geräten und Heimarbeit stellt besondere Herausforderungen für die Informationssicherheit dar:
- Verschlüsselung:
- Alle mobilen Geräte und Datenübertragungen müssen verschlüsselt sein
- Schutz vor unbefugtem Zugriff bei Verlust oder Diebstahl
- VPN-Nutzung:
- Sichere Verbindung zum Unternehmensnetzwerk
- Verschlüsselung des Datenverkehrs auch in unsicheren Netzwerken
- Mobile Device Management (MDM):
- Zentrale Verwaltung und Kontrolle von Mobilgeräten
- Möglichkeit zur Fernlöschung bei Verlust
- Klare Richtlinien: Regeln für die Nutzung öffentlicher WLAN-Netze Umgang mit vertraulichen Dokumenten im Homeoffice
Hier eine Übersicht der Sicherheitsaspekte in verschiedenen Arbeitsumgebungen:
| Aspekt | Büro | Homeoffice | Unterwegs |
|---|---|---|---|
| Netzwerksicherheit | Unternehmensfirewall | VPN-Verbindung | Mobiles Datennetz oder VPN |
| Gerätesicherheit | Zentral verwaltet | MDM-kontrolliert | MDM-kontrolliert |
| Datenzugriff | Direkt | Über Remote-Zugang | Über Remote-Zugang |
| Physische Sicherheit | Durch Zugangskontrollen | Eigenverantwortung | Erhöhte Wachsamkeit nötig |
Die Herausforderung besteht darin, Flexibilität und Produktivität mit den notwendigen Sicherheitsmaßnahmen in Einklang zu bringen.
Personelle Maßnahmen bei der Beendigung des Arbeitsverhältnisses
Bei Beendigung des Arbeitsverhältnisses sind folgende personelle Maßnahmen von großer Bedeutung:
- Entzug von Zugangsrechten und Rückgabe von Arbeitsmitteln:
- Deaktivierung von Benutzerkonten
- Änderung von Passwörtern
- Widerruf von VPN-Zugängen
- Entfernung aus Verteilerlisten und Gruppen
- Rückgabe von Hardware, Zugangskarten, Schlüsseln etc.
- Sicherstellung der Vertraulichkeit nach Ausscheiden:
- Erinnerung an Verschwiegenheitspflichten
- Nachvertragliche Wettbewerbsverbote
- Dokumentation sensibler Informationen
- Nachverfolgung von Sicherheitsvorfällen nach Beendigung:
- Monitoring von Systemen
- Überprüfung von Logfiles
- Marktbeobachtung
Diese Maßnahmen helfen, das Risiko von Datenlecks oder Missbrauch von Unternehmensinformationen durch ausscheidende Mitarbeiter zu minimieren.
Entzug von Zugangsrechten und die Rückgabe von Arbeitsmitteln
Ein strukturierter Prozess für den Entzug von Zugangsrechten und die Rückgabe von Arbeitsmitteln ist entscheidend.
Hier eine Checkliste als Beispiel:
| Zu entziehendes Recht / zurückzugebendes Arbeitsmittel | Erledigt? |
|---|---|
| Benutzerkonto im Unternehmensnetzwerk | |
| E-Mail-Account | |
| VPN-Zugang | |
| Zugangskarte zum Gebäude | |
| Firmenlaptop | |
| Firmenhandy | |
| Firmenkreditkarte | |
| Schlüssel / Zugangscodes | |
| Unterlagen und Datenträger |
Es ist wichtig, diesen Prozess zeitnah und vollständig durchzuführen, um potenzielle Sicherheitsrisiken zu minimieren. Eine klare Zuständigkeit und Dokumentation des Prozesses sind ebenfalls entscheidend.
Zusammenfassung und Ausblick
Zusammenfassung:
Personelle Maßnahmen sind alle Regelungen und Aktivitäten, die Mitarbeitende einbinden, um Informationssicherheit im Unternehmen zu gewährleisten. Sie ergänzen technische und organisatorische Maßnahmen und sind unverzichtbar, weil Menschen oft das größte Sicherheitsrisiko darstellen.
Kernelemente personeller Maßnahmen
- Schwachstelle Mensch: Fehlverhalten oder Unachtsamkeit von Mitarbeitenden kann selbst die beste Technik wirkungslos machen.
- Sensibilisierung und Schulung: Kontinuierliche Trainings, E-Learning und Awareness-Kampagnen stärken das Sicherheitsbewusstsein.
- Vertragliche Verpflichtungen: Arbeitsverträge müssen Verschwiegenheitsklauseln, IT-Nutzungsrichtlinien und Datenschutzverpflichtungen enthalten. Verstöße werden klar geregelt.
- Sorgfältige Personalauswahl: Für sicherheitskritische Bereiche ist eine umfassende Überprüfung der Bewerbenden nötig, etwa durch Referenzen, polizeiliches Führungszeugnis und spezielle Sicherheitschecks.
- Zugriffsrechte-Management: Nach dem Prinzip „Least Privilege“ erhalten Mitarbeitende nur die Rechte, die sie tatsächlich benötigen. Rollenbasierte Zugriffssteuerung (RBAC), regelmäßige Überprüfung und lückenlose Dokumentation sind Pflicht.
Ablauf und Praxisbezug
Vor Arbeitsbeginn:
- Qualifikation, Referenzen und Integrität der Bewerbenden werden geprüft.
- Vertragsbestandteile regeln vertraulichen Umgang mit Informationen.
Im laufenden Arbeitsverhältnis:
- Mitarbeitende werden regelmäßig geschult (z.B. zum Erkennen von Phishing).
- Das Einhalten von Sicherheitsrichtlinien wird eingefordert und kontrolliert.
- Mobile Arbeit und Heimarbeit erfordern zusätzliche Regelungen, z.B. für Verschlüsselung und VPN.
Ausblick:
In der nächsten Lerneinheit geht es um infrastrukturelle Maßnahmen der Informationssicherheit. Du erfährst, wie bauliche, technische und physische Schutzmaßnahmen – etwa Zutrittskontrollen, Alarmanlagen oder Klimasysteme im Serverraum – dazu beitragen, Informationen und IT-Systeme vor physischen Gefahren zu schützen.