Home Blog Compliance

Mitarbeiter Austritt nach BSI: Baustein ORP 2. A2

Helmut Semmelmayer · 27.04.2021

Die korrekte Verfahrensweise bezรผglich des Austritts von Mitarbeitern ist im Baustein ORP 2, in der MaรŸnahme ORP 2. A2 des BSI-IT-Grundschutzes festgeschrieben. Wir schauen uns an, was das Bundesamt fรผr Sicherheit in der Informationstechnik in Bezug auf die geregelte Verfahrensweise beim Weggang von Mitarbeitern (ORP 2. A2) empfiehlt, und wie Sie diese Empfehlungen mit tenfold umsetzen kรถnnen.

Mitarbeiter Austritt BSI โ€“ ORP 2. A2

Die MaรŸnahmenempfehlung ORP 2. A2 (Geregelte Verfahrensweise beim Weggang von Mitarbeitern) lรถst die MaรŸnahme M. 3.6 der vorherigen Version des BSI-Grundschutz-Kompendiums ab. Die MaรŸnahme ist Teil des zweiten Themenbereichs (ORP: Organisation und Personal) des BSI-Kompendiums 2022 und befindet sich in Baustein ORP. 2 (Personal).

Der BSI-IT-Grundschutz ist eine Sammlung von Standards fรผr das IT-Sicherheitsmanagement in Unternehmen und รถffentlichen Einrichtungen. Der umfangreiche MaรŸnahmenkatalog umfasst technische, infrastrukturelle, organisatorische und personelle Empfehlungen.

Wir haben alle MaรŸnahmen, die den Bereich Identitรคts- und Berechtigungsmanagement betreffen, fรผr Sie zusammengefasst und auf ihre Umsetzbarkeit in tenfold geprรผft.

Verfahrensweise beim Weggang von Mitarbeitern nach BSI

Die MaรŸnahme ORP 2. A2 des BSI-Grundschutz-Kompendiums besagt folgendes:

โ€œVerlรคsst ein Mitarbeiter die Institution, MUSS der Nachfolger rechtzeitig eingewiesen werden. [โ€ฆ] Ist eine direkte รœbergabe nicht mรถglich, MUSS vom ausscheidenden Mitarbeiter eine ausfรผhrliche Dokumentation angefertigt werden. AuรŸerdem MรœSSEN von ausscheidenden Mitarbeitern alle im Rahmen ihrer Tรคtigkeit erhaltenen Unterlagen, Schlรผssel und Gerรคte sowie Ausweise und Zutrittsberechtigungen eingezogen werden. [โ€ฆ]

Alle betroffenen Stellen innerhalb der Institution, wie z. B. das Sicherheitspersonal oder die IT-Abteilung, MรœSSEN รผber das Ausscheiden des Mitarbeiters informiert werden. Damit alle verbundenen Aufgaben, die beim Ausscheiden des Mitarbeiters anfallen, erledigt werden, SOLLTE hier ebenfalls eine Checkliste angelegt werden. [โ€ฆ]โ€

Was bedeutet das in Bezug auf Access Management?

In MaรŸnahme ORP 2. A2 ist geregelt, dass fรผr einen Mitarbeiter, der aus der Organisation ausscheidet, alle Zugangsberechtigungen und Zugriffsrechte zu entziehen bzw. zu lรถschen sind. Der Personalverantwortliche oder der Vorgesetzte sind dafรผr zustรคndig, den Firmenaustritt an die IT-Abteilung zu melden.

Problemfall Mitarbeiter-Austritt

In Unternehmen und anderen Organisationen, die ohne IAM-Software arbeiten, laufen die Joiner-Mover-Leaver-Prozesse manuell ab. Fรผr die Einstellung neuer Mitarbeiter gibt es in der Regel einen recht gut organisierten Prozess, immerhin ist es wichtig, dass der neue Kollege seine Arbeit so schnell wie mรถglich aufnimmt. Und dafรผr braucht er natรผrlich nicht nur einen Arbeitsplatz, sondern auch alle notwendigen Zugriffsberechtigungen.

In der Regel entstehen die Probleme durch manuelle Verwaltung aber spรคtestens, wenn Mitarbeiter die Abteilung wechseln oder das Unternehmen verlassen. Sind in solchen Fรคllen kein klarer Ablauf und klare Verantwortlichkeiten definiert, ist es eher die Regel als die Ausnahme, dass Berechtigungen zu spรคt oder gar nicht gelรถscht werden.

In vielen Fรคllen erhรคlt die IT-Abteilung die Information รผber den Weggang z.B. gar nicht oder nicht zeitgerecht. Entsprechende โ€œKartei-Leichenโ€ werden in der Praxis dann erst im Rahmen sporadischer รœberprรผfungen entdeckt.

Webinar

Die TOP 5 Grรผnde fรผr Identity & Access Management

Jetzt anmelden

Mitarbeiter-Austritt: Was ist zu tun?

Das Benutzerkonto fรผr zentrale Dienste wie Anmeldung, Fileserver und E-Mail ist in den meisten Fรคllen im Active Directory zu finden. Eine Sperre des AD-Kontos fรผhrt also dazu, dass diese Dienste nicht mehr genutzt werden kรถnnen. So weit, so gut. Das Problem ist in den meisten Unternehmen und anderen Organisationen aber nicht das AD-Konto, sondern
zusรคtzliche, nicht mit Active Directory verknรผpfte Systeme und Anwendungen. Diese sind von der Sperre im Active Directory natรผrlich nicht betroffen.

Wie der Gefรคhrdungsbaustein 2.3 รผber โ€œSorglosigkeit im Umgang mit Informationenโ€ treffend formuliert, ist es durchaus mรถglich, dass Zimmerkollegen das Passwort fรผr solche Anwendungen kennen.

Fรผr diese Personen wรคre eine unbefugte Nutzung mรถglich, wenn nicht auch diese Zugรคnge fรผr die betreffenden Anwendungen gesperrt werden. Damit eine Sperre erfolgen kann, muss allerdings eine Dokumentation darรผber existieren, in welchen Systemen der ausgeschiedene Mitarbeiter angelegt wurde.

Manueller Aufwand bei Mitarbeiter-Austritt

Unternehmen, die kein Tool fรผr Identity und Access Management einsetzen, stehen im Falle des Weggangs eines Mitarbeiters hรคufig vor dem Problem, dass sie manuell รผberprรผfen mรผssen, in welchen Anwendungen und Systemen der betreffende Mitarbeiter (zusรคtzlich zum AD) ein Benutzerkonto hatte.

Darรผber hinaus mรผssten diese Firmen und Organisationen ein unternehmensweites Verzeichnis fรผhren, in dem jede Ausgabe von Gerรคten (Laptop, Mobiltelefone usw.) und Karten oder Schlรผsseln vermerkt wird. Anderenfalls ist es so gut wie unmรถglich, sicherzustellen, dass der Mitarbeiter tatsรคchlich alle Gegenstรคnde zuverlรคssig zurรผckgibt.

Lรถsung in tenfold

Die notwendigen Prozesse beim Ausscheiden von Personal werden in tenfold im Optimalfall รผber eine direkte technische Schnittstelle zur Personalmanagement-Software realisiert. Sobald tenfold รผber die Schnittstelle (oder durch manuelle Eingabe auf der Oberflรคche) die Information erhรคlt, dass ein Mitarbeiter ausscheidet, sperrt die Software alle Zugรคnge des Mitarbeiters und entzieht automatisch sรคmtliche Zugriffsrechte.

Sofern die Ausgabe von Gegenstรคnden wie Hardware oder Authentifizierungs-Tokens รผber Workflows in tenfold abgebildet wurde, generiert die Software auch automatisch Auftrรคge fรผr die Rรผckholung dieser Gegenstรคnde.

Warum tenfold?

Was macht tenfold zur besten IAM Software fรผr mittelstรคndische Organisationen?

รœberzeugen Sie sich selbst!

Berechtigungsmanagement im BSI-Grundschutz

Einrichtung und Lรถschung von Benutzern und Benutzergruppen (ORP 4. A1)

Einrichtung, ร„nderung und Entzug von Berechtigungen (ORP 4. A2)

Dokumentation der Benutzerkennungen und Rechteprofile (ORP 4. A3)

Vergabe von Zugriffsrechten (ORP 4. A7)

Richtlinien fรผr die Zugriffs- und Zugangskontrolle (ORP 4. A16)

Geeignete Auswahl von Identitรคts- und Berechtigungsmanagement-Systemen (ORP 4. A17)

Festlegung von Regelungen fรผr den Einsatz von Fremdpersonal (ORP 2. A4)

Verfasst von: Helmut Semmelmayer

Helmut Semmelmayer ist seit 2012 als VP Revenue Operations beim Software-Hersteller tenfold tรคtig. Er ist damit fรผr den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmรครŸig themenbezogene Beitrรคge aus dem Bereich Identity & Access Management.