Einsatz von Fremdpersonal nach BSI: ORP 2. A4

Die Regelungen für den Einsatz von Fremdpersonal sind im Baustein ORP 2, in der Maßnahme ORP 2. A4 des BSI-IT-Grundschutzes festgeschrieben. Wir schauen uns an, was das Bundesamt für Sicherheit in der Informationstechnik in Bezug auf die Regelungen für den Einsatz von Fremdpersonal (ORP 2. A4) empfiehlt, und wie Sie diese Empfehlungen mit tenfold umsetzen können.

Die Maßnahmenempfehlung ORP 2. A4 (Festlegung von Regelungen für den Einsatz von Fremdpersonal) löst die Maßnahme M 2.226 der vorherigen Version des BSI-Grundschutz-Kompendiums ab. Die Maßnahme ist Teil des zweiten Themenbereichs (ORP: Organisation und Personal) des BSI-Kompendiums 2022 und befindet sich in Baustein ORP. 2 (Personal).

Der BSI-IT-Grundschutz ist eine Sammlung von Standards für das IT-Sicherheitsmanagement in Unternehmen und öffentlichen Einrichtungen. Der umfangreiche Maßnahmenkatalog umfasst technische, infrastrukturelle, organisatorische und personelle Empfehlungen.

Die Maßnahme ORP 2. A4 des BSI-Grundschutz-Kompendiums besagt folgendes:

“Wird externes Personal beschäftigt, MUSS dieses wie alle eigenen Mitarbeiter dazu verpflichtet werden, geltende Gesetze, Vorschriften und interne Regelungen einzuhalten. Fremdpersonal, das kurzfristig oder einmalig eingesetzt wird, MUSS in sicherheitsrelevanten Bereichen beaufsichtigt werden. […] Verlässt das Fremdpersonal die Institution, MÜSSEN Arbeitsergebnisse wie bei eigenem Personal geregelt übergeben und eventuell ausgehändigte Zugangsberechtigungen zurückgegeben werden.”

Wesentliche Teile im BSI Maßnahmenkatalog befassen sich mit dem Umgang mit externem Personal, für das einschlägige Gesetze und interne Regelungen gelten. Auftraggeber müssen zum Beispiel beachten, dass bei der Beendigung des Arbeitsverhältnisses alle ausgehändigten Betriebsmittel übergeben werden. Außerdem sind eingerichtete Zugangsberechtigungen und Zugriffsrechte zu entziehen bzw. zu löschen.

Wenn ein Arbeitsverhältnis mit Fremdpersonal beendet wird, dann hat dies in der Regel einen von zwei Gründen:

In Unternehmen und anderen Organisationen, die ohne IAM-Software arbeiten, ist die Wahrscheinlichkeit, dass die Information über das Ausscheiden des Fremdpersonals zuverlässig und rechtzeitig an die IT-Abteilung gelangt, in beiden Szenarien sehr gering.

Das liegt ganz einfach daran, dass es in vielen Unternehmen keine geregelten Abläufe für Joiner-Mover-Leaver-Prozesse gibt. Dass die IT-Abteilung die entsprechenden Zugänge nicht gesperrt oder gelöscht hat, fällt dann in der Regel erst im Rahmen sporadischer Überprüfungen auf.

Mithilfe von tenfold können Sie externes Personal problemlos verwalten, indem Sie Externe in tenfold als eigenen Personentyp abbilden. Auf diese Weise können Sie bei vielen Einstellungen zwischen internem Personal und Fremdpersonal unterscheiden.

Um Zugangsberechtigungen und Zugriffsrechte von Fremdpersonal nach einem Ausscheiden zuverlässig sperren zu können, empfiehlt es sich, für jeden Externen einen internen Verantwortlichen zu hinterlegen, welcher die Zugänge des Externen regelmäßig (z.B. alle drei Monate) nach automatischer Aufforderung aktiv verlängern muss (Rezertifizierung). Im Falle einer Nicht-Verlängerung sperrt die Software sämtliche Zugänge des Externen automatisch.

Einrichtung und Löschung von Benutzern und Benutzergruppen (ORP 4. A1)

Einrichtung, Änderung und Entzug von Berechtigungen (ORP 4. A2)

Dokumentation der Benutzerkennungen und Rechteprofile (ORP 4. A3)

Vergabe von Zugriffsrechten (ORP 4. A7)

Richtlinien für die Zugriffs- und Zugangskontrolle (ORP 4. A16)

Geeignete Auswahl von Identitäts- und Berechtigungsmanagement-Systemen (ORP 4. A17)

Geregelte Verfahrensweise beim Weggang von Mitarbeitern (ORP 2. A2)