Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Personenbezogene Kontrolle

A.6.4 — Disziplinarverfahren

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.6.4 ISO 27001ISO 27002BSI ISMS.1

Ein Mitarbeiter leitet vertrauliche Kundendaten an seine private E-Mail-Adresse weiter, um „zu Hause weiterzuarbeiten”. Die IT entdeckt es im DLP-Log. Was jetzt? Ohne einen dokumentierten Prozess hängt die Reaktion am Bauchgefühl der Führungskraft. A.6.4 fordert ein formales Verfahren, das bei IS-Verstößen greift — nachvollziehbar, verhältnismäßig und allen bekannt.

Die Kontrolle hat zwei Funktionen: Sie schreckt ab (präventiv) und sie regelt, wie mit tatsächlichen Verstößen umgegangen wird (korrektiv). Beides braucht einen dokumentierten Rahmen.

Was verlangt die Norm?

  • Formaler Prozess. Ein dokumentiertes Verfahren für den Umgang mit IS-Richtlinienverstößen, das Schweregrade, Eskalationsstufen und mögliche Maßnahmen definiert.
  • Verhältnismäßigkeit. Die Reaktion richtet sich nach der Schwere des Verstoßes, dem Vorsatz (absichtlich vs. fahrlässig) und ob es ein Erst- oder Wiederholungsfall ist.
  • Rechtskonformität. Das Verfahren muss arbeitsrechtlichen Anforderungen entsprechen — in Deutschland bedeutet das: Anhörungspflicht, Verhältnismäßigkeitsgrundsatz, Beteiligung des Betriebsrats.
  • Kommunikation. Alle Beschäftigten kennen den Prozess und die möglichen Konsequenzen — bevor ein Verstoß eintritt.
  • Positive Verstärkung. Die Norm erwähnt ausdrücklich, dass auch gutes Sicherheitsverhalten anerkannt werden kann.

In der Praxis

Bestehendes HR-Verfahren erweitern. Die meisten Organisationen haben bereits ein Disziplinarverfahren. Ergänze es um einen IS-spezifischen Abschnitt: Schweregrad-Matrix für Sicherheitsverstöße, Einbindung des ISB bei der Bewertung und Dokumentationspflicht im Schulungsregister (Nachschulung bei geringen Verstößen).

ISB in die Bewertung einbinden. Die Führungskraft allein kann die Schwere eines IS-Verstoßes oft nicht einschätzen. Der ISB bewertet den technischen Schweregrad und die Auswirkungen. HR bewertet die arbeitsrechtliche Seite. Beide gemeinsam empfehlen die Maßnahme an die Geschäftsführung.

Dokumentation lückenlos führen. Jeder Verstoß und jede Maßnahme wird dokumentiert: Zeitpunkt, Art des Verstoßes, Schweregrad, beteiligte Personen, getroffene Maßnahme, Frist für Nachschulung. Diese Dokumentation ist bei einem Audit der Nachweis, dass der Prozess gelebt wird.

Positive Verstärkung einbauen. Ein rein strafender Ansatz erzeugt eine Kultur des Vertuschens. Ergänze den Disziplinarprozess um Anerkennung: Wer eine Phishing-Mail meldet, wer einen Konfigurationsfehler aufdeckt, bekommt öffentliche Anerkennung. Das senkt die Hemmschwelle für Meldungen erheblich.

Typische Audit-Nachweise

Auditoren erwarten bei A.6.4 typischerweise diese Nachweise:

  • Personalsicherheitsrichtlinie — das dokumentierte Verfahren für Disziplinarmaßnahmen bei IS-Verstößen (→ Personalsicherheitsrichtlinie im Starter Kit)
  • Schweregrad-Matrix — Zuordnung von Verstößen zu Maßnahmen
  • Kommunikationsnachweis — Beleg, dass der Prozess allen Beschäftigten bekannt gemacht wurde (z. B. Schulungsprotokoll, Intranet-Veröffentlichung)
  • Fallakten — Dokumentation konkreter Disziplinarfälle (anonymisiert, falls datenschutzrechtlich erforderlich)
  • Arbeitsverträge mit Verweis — Stichprobe, die zeigt, dass Verträge auf den Disziplinarprozess verweisen

KPI

Ist ein dokumentierter Disziplinarprozess für IS-Verstöße vorhanden und kommuniziert?

Dies ist ein binärer KPI: Ja oder Nein. Die Kontrolle ist erfüllt, wenn der Prozess (1) dokumentiert ist, (2) eine Schweregrad-Zuordnung enthält, (3) allen Beschäftigten kommuniziert wurde und (4) bei konkreten Vorfällen angewendet wird.

Ergänzende KPIs:

  • Anzahl der dokumentierten IS-bezogenen Disziplinarfälle pro Jahr
  • Anteil der Fälle, bei denen der dokumentierte Prozess eingehalten wurde
  • Anzahl der Nachschulungen, die aus Disziplinarfällen resultierten

BSI IT-Grundschutz

A.6.4 mappt auf übergreifende BSI-Anforderungen:

  • ISMS.1.A8 (Behandlung von Sicherheitsvorfällen) — fordert einen Prozess für den Umgang mit Sicherheitsvorfällen, der auch disziplinarische Konsequenzen einschließt. Die Schnittstelle zwischen Incident Management und Disziplinarverfahren muss klar definiert sein.
  • IND.1.A7 (Etablierung des Informationssicherheitsmanagements) — verlangt im industriellen Umfeld (OT/ICS) explizit Regelungen zu Konsequenzen bei Sicherheitsverstößen, da Verstöße hier physische Auswirkungen haben können.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Brauche ich ein separates Disziplinarverfahren für IS-Verstöße?

Ein separates Verfahren ist nicht zwingend. Viele Organisationen integrieren IS-Verstöße in das bestehende HR-Disziplinarverfahren und ergänzen es um eine Schweregrad-Matrix für Sicherheitsvorfälle. Entscheidend ist, dass der Prozess dokumentiert, kommuniziert und auf IS-Verstöße anwendbar ist.

Was passiert bei einem versehentlichen Verstoß?

Der Schweregrad berücksichtigt Vorsatz, Fahrlässigkeit und Wiederholung. Ein versehentlicher Erstverstoß führt typischerweise zu einer Nachschulung und einer dokumentierten Ermahnung. Wiederholte Fahrlässigkeit oder vorsätzliches Handeln zieht härtere Maßnahmen nach sich — bis hin zur Abmahnung oder Kündigung.

Muss der Prozess den Beschäftigten bekannt sein?

Ja, ausdrücklich. A.6.4 fordert, dass die Konsequenzen kommuniziert werden. In der Praxis geschieht das über die IS-Richtlinie, den Arbeitsvertrag (A.6.2) und die jährliche Schulung (A.6.3). Wer die Konsequenzen nicht kennt, kann sich bei einem Verstoß auf fehlende Information berufen.