Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Organisatorische Kontrolle

A.5.11 — Rückgabe von Vermögenswerten

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.5.11 ISO 27001ISO 27002BSI ORP.2

Freitag, 17 Uhr: Der letzte Arbeitstag eines Entwicklers. Er gibt seinen Laptop ab, vergisst aber das Firmenhandy. Die Zutrittskarte bleibt in seiner Jackentasche. Seine VPN-Zugangsdaten funktionieren noch drei Wochen lang. Auf seiner privaten Festplatte liegen Quellcode-Repositories. A.5.11 fordert einen systematischen Rückgabeprozess, der all diese Fälle abdeckt.

Was verlangt die Norm?

  • Rückgabeprozess definieren. Beim Austritt, Ablauf eines Vertrags oder Rollenwechsel werden alle Vermögenswerte der Organisation zurückgegeben.
  • Alle Personengruppen einbeziehen. Der Prozess gilt für Mitarbeitende, Auftragnehmer, Zeitarbeitskräfte und andere externe Kräfte.
  • Daten von privaten Geräten entfernen. Wenn Firmendaten auf privaten Geräten gespeichert wurden (BYOD), müssen diese sicher übertragen und dann gelöscht werden.
  • Wissenstransfer sicherstellen. Kritisches Wissen wird vor dem Austritt übergeben, um die Geschäftskontinuität zu wahren.

In der Praxis

Checkliste pro Gerätetyp erstellen. Laptop: Rückgabe + Festplattenverschlüsselung prüfen + Datenübernahme. Mobilgeräte: Rückgabe oder Remote-Wipe. Zutrittskarten: Einzug + Deaktivierung. Schlüssel: Rückgabe + Schließanlage prüfen. Token/YubiKeys: Rückgabe + Deregistrierung.

Prozess zwischen HR und IT verzahnen. HR kennt den Austrittstermin, IT muss die Zugänge sperren und die Geräte einziehen. Ohne automatisierten Trigger (HR-System benachrichtigt IT) entstehen Lücken. Definiere: Wie viele Tage vor dem letzten Arbeitstag wird IT informiert?

BYOD-Szenario vorbereiten. Wenn Mitarbeitende private Geräte für die Arbeit nutzen, muss der Rückgabeprozess die Datenlöschung umfassen. MDM-Lösungen können einen selektiven Wipe durchführen (Firmendaten löschen, private Daten behalten). Ohne MDM: dokumentierte Selbstauskunft und Stichproben.

Wissenstransfer formalisieren. Für Schlüsselpositionen (ISB, Asset-Eigentümer, einzige Fachexperten): dokumentierter Wissenstransfer mindestens zwei Wochen vor Austritt. Inhalte: Passwörter für Dienstkonten, laufende Projekte, Kontakte, undokumentiertes Wissen.

Typische Audit-Nachweise

Auditoren erwarten bei A.5.11 typischerweise diese Nachweise:

  • Offboarding-Checkliste — standardisierte Liste aller zurückzugebenden Assets (→ Personalsicherheit im Starter Kit)
  • Abgeschlossene Checklisten — ausgefüllte Checklisten für tatsächliche Austritte
  • Rückgabeprotokolle — signierte Bestätigung der Rückgabe pro Asset
  • Zugangssperrung — Nachweis, dass Konten und Zugangsrechte zeitnah deaktiviert wurden
  • BYOD-Löschbestätigung — Nachweis der Datenlöschung auf privaten Geräten

KPI

% der ausscheidenden Mitarbeitenden, deren Assets vollständig zurückgegeben und dokumentiert wurden

Ziel: 100%. Gemessen über die abgeschlossenen Offboarding-Checklisten. Jeder Austritt ohne vollständige Checkliste senkt den Wert. Typischer Schwachpunkt: Zeitarbeitskräfte und externe Dienstleister, deren Vertragsende nicht systematisch getrackt wird.

Ergänzende KPIs:

  • Durchschnittliche Dauer von Austrittsdatum bis Sperrung aller Zugänge (Ziel: unter 1 Arbeitstag)
  • Anzahl der nicht zurückgegebenen Assets pro Quartal
  • Anteil der Austritte mit dokumentiertem Wissenstransfer

BSI IT-Grundschutz

A.5.11 mappt auf die BSI-Anforderungen zum Personalmanagement:

  • ORP.2.A2 (Geordnetes Ausscheiden von Mitarbeitern) — verlangt einen definierten Prozess für den Austritt, der Rückgabe, Zugangsdeaktivierung und Wissenstransfer umfasst.
  • ORP.4.A2 (Einrichtung, Änderung und Entzug von Berechtigungen) — beim Austritt müssen alle Berechtigungen zeitnah entzogen werden.
  • ORP.2.A4 (Aufgaben bei Personalveränderungen) — auch bei internem Wechsel müssen Berechtigungen und Assets angepasst werden.

Verwandte Kontrollen

A.5.11 ergänzt den Personallebenszyklus:

Quellen

Häufig gestellte Fragen

Was muss bei Austritt alles zurückgegeben werden?

Laptop, Diensthandy, Tokens, Zutrittskarten, Schlüssel, Parkkarten, Firmenkreditkarten, physische Dokumente. Dazu: Firmendaten von privaten Geräten löschen (bei BYOD), Wissenstransfer dokumentieren, Zugriffsrechte entziehen. Eine Checkliste pro Gerätetyp verhindert, dass etwas vergessen wird.

Was passiert, wenn ein Mitarbeiter Geräte nicht zurückgibt?

Dokumentiere den Sachverhalt, eskaliere über HR und die Vorgesetzte. Bei wertvollen oder sicherheitsrelevanten Assets: Remote-Wipe für Laptops und Mobilgeräte, Sperrung aller Zugänge. Im Arbeitsvertrag sollte die Rückgabepflicht und die Konsequenz bei Nicht-Rückgabe geregelt sein.

Gilt A.5.11 auch bei internem Abteilungswechsel?

Ja. Bei jedem Rollenwechsel muss geprüft werden, ob Assets zurückgegeben oder übertragen werden müssen. Typisch: Zutrittskarten für den alten Standort zurückgeben, Berechtigungen der alten Rolle entziehen, neue Assets der neuen Rolle zuweisen.