Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Personenbezogene Kontrolle

A.6.1 — Sicherheitsüberprüfung

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.6.1 ISO 27001ISO 27002BSI ORP.2

Eine neue Mitarbeiterin beginnt am Montag in der IT-Abteilung. Am ersten Tag erhält sie Zugang zu Kundendaten, internen Systemen und dem Ticketsystem. Ob sie tatsächlich die angegebene Qualifikation mitbringt, ob Referenzen stimmen und ob es frühere Auffälligkeiten gab — das hat niemand geprüft. A.6.1 fordert, dass diese Prüfung vor Arbeitsbeginn stattfindet.

Die Kontrolle verlangt Hintergrundüberprüfungen für alle Personen, die Zugang zu Informationswerten erhalten sollen. Der Prüfumfang richtet sich nach der Rolle, dem Zugriffsniveau und den gesetzlichen Rahmenbedingungen.

Was verlangt die Norm?

  • Hintergrundüberprüfung vor Beschäftigungsbeginn. Alle Kandidaten — Vollzeit, Teilzeit, temporär — durchlaufen eine Überprüfung, bevor sie Zugang zu Informationswerten erhalten.
  • Proportionalität. Der Prüfumfang richtet sich nach der Rolle: Je sensibler der Zugang, desto gründlicher die Überprüfung. Eine Rezeptionistin braucht andere Prüfungen als ein Datenbank-Administrator.
  • Gesetzliche Rahmenbedingungen einhalten. Datenschutzgesetze, Arbeitsrecht und Branchenregelungen definieren, welche Prüfungen zulässig sind. In Deutschland setzt das BDSG enge Grenzen.
  • Periodische Wiederholung. Bei sicherheitskritischen Rollen kann eine wiederholte Überprüfung notwendig sein — etwa bei Verlängerung einer Sicherheitsfreigabe.
  • Überbrückungsmaßnahmen. Ist die Überprüfung bei Arbeitsbeginn noch nicht abgeschlossen, greift ein eingeschränkter Zugang bis zum Vorliegen der Ergebnisse.

In der Praxis

Checkliste pro Risikoklasse erstellen. Für jede Risikoklasse legst du fest, welche Prüfungen durchgeführt werden: Identitätsnachweis, Qualifikationsbestätigung, Referenzprüfung, Führungszeugnis, Bonitätsauskunft. Die Checkliste wird Teil des Onboarding-Prozesses und dokumentiert, wann welcher Schritt abgeschlossen wurde.

HR und IT verzahnen. Die Freigabe von Zugängen hängt am Abschluss der Überprüfung. Technisch heißt das: IT provisioniert den Account erst, wenn HR den Status „Überprüfung abgeschlossen” meldet. Ohne diese Verknüpfung entsteht die Lücke, die A.6.1 schließen soll.

Externe Dienstleister einbeziehen. Auch für Auftragnehmer, Berater und Zeitarbeitskräfte gilt A.6.1. In der Praxis regelst du das über den Lieferantenvertrag: Der Dienstleister bestätigt, dass seine Mitarbeitenden eine Überprüfung durchlaufen haben, die deinen Anforderungen entspricht.

Dokumentation sauber halten. Prüfergebnisse enthalten personenbezogene Daten. Speichere nur das Ergebnis (bestanden/nicht bestanden, Datum), nicht die Rohdaten. Löschfristen nach BDSG beachten — typischerweise spätestens sechs Monate nach Ende der Beschäftigung.

Typische Audit-Nachweise

Auditoren erwarten bei A.6.1 typischerweise diese Nachweise:

  • Personalsicherheitsrichtlinie — das dokumentierte Regelwerk für Überprüfungen (→ Personalsicherheitsrichtlinie im Starter Kit)
  • Checkliste je Risikoklasse — welche Prüfungen für welche Rollenklasse vorgesehen sind
  • Überprüfungsprotokolle — Nachweis, dass Prüfungen durchgeführt wurden (Datum, Ergebnis, verantwortliche Person)
  • Vertragsklauseln für Externe — Nachweis, dass Lieferanten Überprüfungspflichten vertraglich übernommen haben
  • Freigabeprotokoll — Dokumentation, dass Zugänge erst nach abgeschlossener Überprüfung freigeschaltet wurden

KPI

% der Neueinstellungen mit abgeschlossener Überprüfung vor Arbeitsbeginn

Gemessen als Prozentsatz: Wie viele der in den letzten 12 Monaten eingestellten Personen hatten eine vollständig abgeschlossene Sicherheitsüberprüfung vor ihrem ersten Arbeitstag? Ziel: 100%. In der Praxis starten viele Organisationen bei 60–80%, weil bei kurzfristigen Einstellungen die Überprüfung nicht rechtzeitig abgeschlossen wird.

Ergänzende KPIs:

  • Anteil der externen Dienstleister mit dokumentierter Überprüfungsbestätigung
  • Mittlere Dauer zwischen Vertragsunterschrift und Abschluss der Überprüfung
  • Anzahl der Fälle mit Überbrückungszugang (Zugang vor Abschluss der Prüfung)

BSI IT-Grundschutz

A.6.1 mappt auf mehrere BSI-Anforderungen im Bereich Personalmanagement und Betrieb:

  • ORP.2.A7 (Überprüfung der Vertrauenswürdigkeit) — der Kernbaustein. Verlangt die Überprüfung von Mitarbeitenden auf Vertrauenswürdigkeit vor Beschäftigungsbeginn, insbesondere bei sicherheitsrelevanten Aufgaben.
  • ORP.2.A13 (Sicherheitsüberprüfung) — fordert anlassbezogene und periodische Überprüfungen für Beschäftigte in Bereichen mit erhöhtem Schutzbedarf.
  • OPS.1.1.6.A16 (Personal im Bereich Software-Entwicklung) — spezifische Überprüfungsanforderungen für Entwickler mit Zugang zu Quellcode und Produktionssystemen.
  • OPS.2.2.A19 (Cloud-Nutzung) — Anforderungen an die Überprüfung von Personal bei Cloud-Dienstleistern.

Verwandte Kontrollen

Ergänzt wird die Kontrolle durch A.5.20 (Lieferantenbeziehungen), die Überprüfungsanforderungen an externe Dienstleister regelt.

Quellen

Häufig gestellte Fragen

Welche Überprüfungen darf ich in Deutschland durchführen?

In Deutschland sind Identitätsprüfung, Qualifikationsnachweis und die Einholung von Arbeitszeugnissen grundsätzlich zulässig. Führungszeugnisse darfst du nur verlangen, wenn ein berechtigtes Interesse besteht — bei Rollen mit Zugang zu sensiblen Informationen ist das regelmäßig der Fall. Bonitätsauskünfte sind nur bei Positionen mit finanzieller Verantwortung vertretbar.

Muss ich auch Praktikanten und Werkstudenten überprüfen?

Ja. A.6.1 gilt für alle Personen, die Zugang zu Informationswerten erhalten — unabhängig vom Beschäftigungsstatus. Bei Praktikanten reicht in der Regel eine einfache Prüfung (Identität, Immatrikulationsbescheinigung). Der Prüfumfang sollte dem Zugriffsniveau entsprechen.

Was passiert, wenn die Überprüfung nicht vor Arbeitsbeginn abgeschlossen ist?

Du kannst die Person mit eingeschränktem Zugang starten lassen — dokumentiere die Einschränkung und definiere eine Frist. Wichtig: Der eingeschränkte Zugang muss technisch durchgesetzt werden, eine mündliche Absprache reicht nicht.