Mitarbeiter Austritt nach BSI: Baustein ORP 2. A2

Die korrekte Verfahrensweise bezüglich des Austritts von Mitarbeitern ist im Baustein ORP 2, in der Maßnahme ORP 2. A2 des BSI-IT-Grundschutzes festgeschrieben. Wir schauen uns an, was das Bundesamt für Sicherheit in der Informationstechnik in Bezug auf die geregelte Verfahrensweise beim Weggang von Mitarbeitern (ORP 2. A2) empfiehlt, und wie Sie diese Empfehlungen mit tenfold umsetzen können.

Die Maßnahmenempfehlung ORP 2. A2 (Geregelte Verfahrensweise beim Weggang von Mitarbeitern) löst die Maßnahme M. 3.6 der vorherigen Version des BSI-Grundschutz-Kompendiums ab. Die Maßnahme ist Teil des zweiten Themenbereichs (ORP: Organisation und Personal) des BSI-Kompendiums 2022 und befindet sich in Baustein ORP. 2 (Personal).

Der BSI-IT-Grundschutz ist eine Sammlung von Standards für das IT-Sicherheitsmanagement in Unternehmen und öffentlichen Einrichtungen. Der umfangreiche Maßnahmenkatalog umfasst technische, infrastrukturelle, organisatorische und personelle Empfehlungen.

Die Maßnahme ORP 2. A2 des BSI-Grundschutz-Kompendiums besagt folgendes:

“Verlässt ein Mitarbeiter die Institution, MUSS der Nachfolger rechtzeitig eingewiesen werden. […] Ist eine direkte Übergabe nicht möglich, MUSS vom ausscheidenden Mitarbeiter eine ausführliche Dokumentation angefertigt werden. Außerdem MÜSSEN von ausscheidenden Mitarbeitern alle im Rahmen ihrer Tätigkeit erhaltenen Unterlagen, Schlüssel und Geräte sowie Ausweise und Zutrittsberechtigungen eingezogen werden. […]

Alle betroffenen Stellen innerhalb der Institution, wie z. B. das Sicherheitspersonal oder die IT-Abteilung, MÜSSEN über das Ausscheiden des Mitarbeiters informiert werden. Damit alle verbundenen Aufgaben, die beim Ausscheiden des Mitarbeiters anfallen, erledigt werden, SOLLTE hier ebenfalls eine Checkliste angelegt werden. […]”

In Maßnahme ORP 2. A2 ist geregelt, dass für einen Mitarbeiter, der aus der Organisation ausscheidet, alle Zugangsberechtigungen und Zugriffsrechte zu entziehen bzw. zu löschen sind. Der Personalverantwortliche oder der Vorgesetzte sind dafür zuständig, den Firmenaustritt an die IT-Abteilung zu melden.

In Unternehmen und anderen Organisationen, die ohne IAM-Software arbeiten, laufen die Joiner-Mover-Leaver-Prozesse manuell ab. Für die Einstellung neuer Mitarbeiter gibt es in der Regel einen recht gut organisierten Prozess, immerhin ist es wichtig, dass der neue Kollege seine Arbeit so schnell wie möglich aufnimmt. Und dafür braucht er natürlich nicht nur einen Arbeitsplatz, sondern auch alle notwendigen Zugriffsberechtigungen.

In vielen Fällen erhält die IT-Abteilung die Information über den Weggang z.B. gar nicht oder nicht zeitgerecht. Entsprechende “Kartei-Leichen” werden in der Praxis dann erst im Rahmen sporadischer Überprüfungen entdeckt.

Das Benutzerkonto für zentrale Dienste wie Anmeldung, Fileserver und E-Mail ist in den meisten Fällen im Active Directory zu finden. Eine Sperre des AD-Kontos führt also dazu, dass diese Dienste nicht mehr genutzt werden können. So weit, so gut. Das Problem ist in den meisten Unternehmen und anderen Organisationen aber nicht das AD-Konto, sondern
zusätzliche, nicht mit Active Directory verknüpfte Systeme und Anwendungen. Diese sind von der Sperre im Active Directory natürlich nicht betroffen.

Wie der Gefährdungsbaustein 2.3 über “Sorglosigkeit im Umgang mit Informationen” treffend formuliert, ist es durchaus möglich, dass Zimmerkollegen das Passwort für solche Anwendungen kennen.

Für diese Personen wäre eine unbefugte Nutzung möglich, wenn nicht auch diese Zugänge für die betreffenden Anwendungen gesperrt werden. Damit eine Sperre erfolgen kann, muss allerdings eine Dokumentation darüber existieren, in welchen Systemen der ausgeschiedene Mitarbeiter angelegt wurde.

Unternehmen, die kein Tool für Identity und Access Management einsetzen, stehen im Falle des Weggangs eines Mitarbeiters häufig vor dem Problem, dass sie manuell überprüfen müssen, in welchen Anwendungen und Systemen der betreffende Mitarbeiter (zusätzlich zum AD) ein Benutzerkonto hatte.

Darüber hinaus müssten diese Firmen und Organisationen ein unternehmensweites Verzeichnis führen, in dem jede Ausgabe von Geräten (Laptop, Mobiltelefone usw.) und Karten oder Schlüsseln vermerkt wird. Anderenfalls ist es so gut wie unmöglich, sicherzustellen, dass der Mitarbeiter tatsächlich alle Gegenstände zuverlässig zurückgibt.

Die notwendigen Prozesse beim Ausscheiden von Personal werden in tenfold im Optimalfall über eine direkte technische Schnittstelle zur Personalmanagement-Software realisiert. Sobald tenfold über die Schnittstelle (oder durch manuelle Eingabe auf der Oberfläche) die Information erhält, dass ein Mitarbeiter ausscheidet, sperrt die Software alle Zugänge des Mitarbeiters und entzieht automatisch sämtliche Zugriffsrechte.

Sofern die Ausgabe von Gegenständen wie Hardware oder Authentifizierungs-Tokens über Workflows in tenfold abgebildet wurde, generiert die Software auch automatisch Aufträge für die Rückholung dieser Gegenstände.

Einrichtung und Löschung von Benutzern und Benutzergruppen (ORP 4. A1)

Einrichtung, Änderung und Entzug von Berechtigungen (ORP 4. A2)

Dokumentation der Benutzerkennungen und Rechteprofile (ORP 4. A3)

Vergabe von Zugriffsrechten (ORP 4. A7)

Richtlinien für die Zugriffs- und Zugangskontrolle (ORP 4. A16)

Geeignete Auswahl von Identitäts- und Berechtigungsmanagement-Systemen (ORP 4. A17)

Festlegung von Regelungen für den Einsatz von Fremdpersonal (ORP 2. A4)