VadimGuzhva - stock.adobe.com
IT-Sicherheit: Wenn Mitarbeiter das Unternehmen verlassen
Wenn Mitarbeiter aus dem Unternehmen ausscheiden, kann dies in Sachen IT-Sicherheit Risiken mit sich bringen, wenn Personalverantwortliche nicht einige Best Practices befolgen.
Wenn Personalverantwortliche über das Offboarding nachdenken, haben wahrscheinlich zunächst die HR-Aufgaben Priorität, die beim Ausscheiden von Mitarbeitern Teil des Prozesses sind. Aber Cybersicherheit ist dabei ein sehr wichtiger Aspekt, der einen entsprechenden Stellenwert einnehmen sollte. Der Personalabteilung sollte hier mit den Fach- und IT-Abteilungen zusammenarbeiten, um sicherzustellen, dass sie und andere während des Offboarding-Prozesses die richtigen Security-Protokolle befolgen. Damit kann dann auch geregelt werden, dass alle Vorschriften in Sachen Datenschutz und Compliance eingehalten werden.
Ordnungsgemäße Vorgehensweisen für die Cybersicherheit beim Offboarding beginnen bereits während des Onboarding-Prozesses und beinhalten die Zusammenarbeit der Personalabteilung mit anderen Abteilungen, wie der IT-Abteilung und der Rechtsabteilung des Unternehmens sowie des Betriebsrats.
Nachfolgend haben wir einige Schritte zusammengefasst, mit denen Personalabteilungen sicherstellen können, dass sie ihren Teil zur Minimierung von Sicherheitsrisiken beitragen, die durch einen ausscheidenden Mitarbeiter verursacht werden können.
1. Zusammenarbeit und Kommunikation ist von Anfang an wichtig
Entscheidungen in Sachen Sicherheit sollten nicht nur von den Mitarbeitern getroffen werden, die für die Implementierung und Überwachung von Computersystemen und Netzwerken zuständig sind. Personalverantwortliche sollten an Entscheidungen über den physischen und elektronischen Zugang von Mitarbeitern und Auftragnehmern zu Unternehmenssystemen mitwirken, und die Personalabteilung sollte auf hoher Ebene an Entscheidungen über IT- und Sicherheitsthemen beteiligt sein.
Idealerweise sollte ein Vertreter der Personalabteilung im IT- und Sicherheitsgremium oder im Risikomanagement des Unternehmens vertreten sein.
2. Einführung bewährter Verfahren für die Cybersicherheit während des Einstellungsprozesses
Ein effektiver Offboarding-Prozess beginnt bereits beim Onboarding. Natürlich ist es wichtig, eine vertrauenswürdige Person einzustellen, aber die Mitarbeiter der Personalabteilung müssen auch klare Sicherheitserwartungen an den neuen Mitarbeiter oder Auftragnehmer stellen und sich die Unterschrift des Mitarbeiters oder Auftragnehmers unter diese Richtlinien geben lassen. Die Mitarbeiter werden die Sicherheitsrichtlinien wahrscheinlich ernster nehmen, wenn sie sie abzeichnen müssen.
Die Personalabteilung sollten die Mitarbeiter auch regelmäßig an die Erwartungen in Bezug auf die Cybersicherheit erinnern und sich kreative Wege ausdenken, um diese immer wieder ins Bewusstsein zu bringen. Moderne Schulungsmethoden und interaktive Kurse sind mögliche Ansätze, ebenso wie Lösungen mit Gamification-Faktor. Fast alles ist besser, als den Mitarbeitern einfach ein Exemplar des Mitarbeiterhandbuchs auszuhändigen und keine Folgemaßnahmen zu ergreifen.
Die Mitarbeiter der Personalabteilung sollten auch dafür sorgen, dass die Belegschaft die Folgen von Verstößen gegen die Sicherheitsrichtlinien des Unternehmens versteht, und dass Verstöße gegen diese Richtlinien Konsequenzen haben. Wenn die Unternehmensleitung die Sicherheitsrichtlinien und -protokolle als zweitrangig betrachtet, werden die Mitarbeiter dies auch tun. Es ist wichtig, dass Mitarbeiter verstehen, dass jeder Einzelne seinen Beitrag zur Unternehmenssicherheit leistet und ein wichtiger Baustein ist.
3. Deaktivieren von Benutzerkonten für Unternehmenssysteme
Mitarbeiter können nach ihrem Ausscheiden aus dem Unternehmen leicht Computer-, Netzwerk- und Anwendungsbenutzerkonten missbrauchen, wenn die Personalabteilung nicht mit der IT-Abteilung zusammenarbeitet, um sicherzustellen, dass die IT-Abteilung diese Benutzerkonten deaktiviert hat. Die Entfernung von Konten ist ebenfalls eine Option, wenn dies rechtlich einwandfrei oder anderweitig erforderlich ist. Eine Bestätigung der Personalabteilung, dass die IT-Abteilung diese Aufgaben erledigt hat, kann als gute Absicherung dienen. Werden Konten nicht ordentlich deaktiviert oder gelöscht, wenn der Mitarbeiter das Unternehmen verlässt, spricht man auch von verwaisten Konten. Eine ordentliche Deprovisionierung ist daher unerlässlich.
Diese Arbeit sollte vor dem Ausscheiden eines Mitarbeiters beginnen. Die Personalabteilung und die IT-Abteilung sollten ein Inventar der Systemzugriffe aller Mitarbeiter erstellen, um das Entfernen dieser Berechtigungen so einfach wie möglich zu gestalten.
4. Unternehmenseigentum einsammeln
Das Einsammeln von Geräten und anderer Hardware von Mitarbeitern ist von entscheidender Bedeutung, um zu verhindern, dass ein Mitarbeiter sensible Informationen oder Zugriffsmöglichkeiten behält. Die Personalabteilung und die IT-Abteilung sollten sich gemeinsam vergewissern, dass der ausscheidende Mitarbeiter sämtliches Firmeneigentum zurückgegeben hat.
Dieses Eigentum reicht von offensichtlichen Gegenständen wie Notebooks, Tablets und Telefonen bis hin zu anderen Geräten wie Eintrittskarten, Token oder Dongles, die für den Systemzugang verwendet werden, und USB-Laufwerken. Die Personalabteilung und die IT-Abteilung sollten auch Notizen und andere sachdienliche Unterlagen, die geistiges Eigentum oder Kundeninformationen enthalten können, berücksichtigen.
Wenn Mitarbeiter oder Auftragnehmer ihre eigenen Computer, Tablets und Telefone verwenden, kann eine Überprüfung dieser Systeme erforderlich sein. Die Mitarbeiter der Personalabteilung können auch vom Vorgesetzten des Mitarbeiters mehr Informationen über dessen Firmengeräte erhalten. Manchmal werden beim Ausscheiden von Mitarbeitern Regelungen getroffen, dass dieser Firmengeräte privat übernehmen kann. Dann muss sichergestellt sein, dass diese zurückgesetzt werden, beziehungsweise auf sensible Daten und Zugänge hin bereinigt werden.
5. Zusammenarbeit mit Rechtsabteilung und Betriebsrat
Personalverantwortliche sollten gemeinsam mit der Rechtsabteilung festlegen, wie die Beschäftigungsbedingungen, einschließlich Vertraulichkeitsvereinbarungen, nach dem Ausscheiden des Mitarbeiters überwacht und durchgesetzt werden können. Dabei kann auch der Betriebsrat eingebunden werden.
Es sollte klar sein, welche Bedingungen auch nach dem Ausscheiden des Mitarbeiters weiter gelten, weshalb die Personalabteilung bestätigen muss, dass der Mitarbeiter dies vollständig verstanden hat. Die Personalabteilung sollte auch Verstöße gegen die Vereinbarung und deren Behandlung mit der Rechtsabteilung besprechen.
6. Geschäftspartner und Kunden informieren
Die Mitarbeiter der Personalabteilung sollten festlegen, wer die Partner und Kunden des Unternehmens darüber informiert, dass der Mitarbeiter nicht mehr für das Unternehmen tätig ist. Hier können je nach Gegebenheiten unterschiedliche Ansätze sinnvoll sein.
Es ist schon aus Gründen der Professionalität und Höflichkeit wichtig, die Ansprechpartner entsprechend zu informieren, damit diese wissen, an wen sie sich zukünftig wenden können. Damit lassen sich zeitgleich mögliche Risiken eingrenzen, etwa im Hinblick auf sensible Informationen, die ausschließlich die richtigen Personen erreichen sollten. Eine professionelle Übergabe sollte eigentlich Standard sein, ist es in der Praxis aber dann doch häufig nicht.
