Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Personenbezogene Kontrolle

A.6.5 — Pflichten nach Beschäftigungsende

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.6.5 ISO 27001ISO 27002BSI ORP.2

Freitag, letzter Arbeitstag. Der Laptop ist abgegeben, der Schlüssel zurück. Montag meldet sich der ehemalige Mitarbeiter noch am VPN an — niemand hat den Account deaktiviert. Auf seinem privaten Gerät liegen Kundenlisten, die er per E-Mail weitergeleitet hatte. Die Vertraulichkeitsvereinbarung? Beim Onboarding unterschrieben, beim Offboarding nicht mehr erwähnt. A.6.5 schließt genau diese Lücke im Übergang.

Die Kontrolle regelt, welche Sicherheitsverantwortlichkeiten nach Beendigung oder Änderung eines Beschäftigungsverhältnisses weitergelten — und wie die Organisation den sauberen Übergang sicherstellt.

Was verlangt die Norm?

  • Fortgeltende Pflichten definieren. IS-Verantwortlichkeiten, die über das Beschäftigungsende hinausgehen, müssen vertraglich geregelt und bei Austritt kommuniziert werden.
  • Wissensübergabe sicherstellen. Sicherheitsrelevante Aufgaben und Verantwortlichkeiten werden an eine Nachfolgerin oder einen Nachfolger übertragen und dokumentiert.
  • Zugriffsrechte entziehen. Alle Zugänge — physisch und logisch — werden zeitnah entzogen oder an die neue Rolle angepasst.
  • Rückgabe von Informationswerten. Geräte, Datenträger, Schlüssel, Ausweise und Dokumentationen werden zurückgegeben und die Rückgabe dokumentiert.
  • Betroffene Parteien informieren. Kunden, Lieferanten und Partner, die mit der Person in Kontakt standen, werden über die Änderung informiert.

In der Praxis

Offboarding-Checkliste standardisieren. Die Checkliste enthält jeden Schritt, der bei einem Austritt oder Rollenwechsel erfolgen muss. Für jeden Schritt sind verantwortliche Person, Frist und Erledigungsstatus definiert. Die Checkliste wird im HR-System oder im ISMS-Tool verwaltet und ist für Auditoren jederzeit abrufbar.

IT und HR synchronisieren. Der häufigste Fehler: HR weiß, dass jemand geht, IT erfährt es am letzten Tag. Definiere einen Vorlauf von mindestens fünf Arbeitstagen, in dem HR die IT über bevorstehende Austritte informiert. IT bereitet den Zugangsentzug vor und führt ihn zum definierten Zeitpunkt durch — idealerweise automatisiert über das IAM-System.

Nachpflichten im Offboarding-Gespräch erläutern. Im Abschlussgespräch weist HR auf die fortgeltenden Vertraulichkeitspflichten hin. Die Person bestätigt schriftlich, dass sie (a) die Nachpflichten kennt, (b) alle Informationswerte zurückgegeben hat und (c) keine Kopien vertraulicher Daten auf privaten Geräten besitzt. Dieses Dokument wird in der Personalakte archiviert.

Rollenwechsel wie einen Mini-Austritt behandeln. Bei einem internen Wechsel werden die Rechte der alten Rolle entzogen und die Rechte der neuen Rolle vergeben. Ohne diesen Zwischenschritt sammeln Beschäftigte über die Jahre Zugriffsrechte an, die sie längst nicht mehr brauchen. Der Rollenwechsel-Prozess ist eine eigene Zeile in der Checkliste.

Typische Audit-Nachweise

Auditoren erwarten bei A.6.5 typischerweise diese Nachweise:

  • Personalsicherheitsrichtlinie — Regelwerk für Offboarding und fortgeltende Pflichten (→ Personalsicherheitsrichtlinie im Starter Kit)
  • Offboarding-Checkliste — ausgefüllte Checklisten der letzten Austritte
  • Bestätigung der Nachpflichten — unterschriebenes Dokument des ausscheidenden Mitarbeitenden
  • Zugangsentzugs-Protokoll — Nachweis, dass Konten und Zugänge zeitnah deaktiviert wurden
  • Rückgabeprotokoll — Dokumentation der zurückgegebenen Geräte und Datenträger

KPI

% der ausscheidenden Mitarbeitenden mit dokumentierter Bestätigung der Nachpflichten

Gemessen als Prozentsatz: Wie viele der in den letzten 12 Monaten ausgeschiedenen Personen haben eine dokumentierte Bestätigung ihrer fortgeltenden Pflichten unterschrieben? Ziel: 100%. In der Praxis scheitert die Quote an kurzfristigen Kündigungen und Beschäftigten, die sich im Streit trennen.

Ergänzende KPIs:

  • Mittlere Dauer zwischen letztem Arbeitstag und Deaktivierung aller Zugänge (Ziel: unter 1 Arbeitstag)
  • Anteil der Austritte mit vollständig abgezeichneter Offboarding-Checkliste
  • Anzahl der aktiven Konten ohne zugeordneten Beschäftigten (Ziel: 0)

BSI IT-Grundschutz

A.6.5 mappt auf mehrere BSI-Anforderungen:

  • ORP.2.A2 (Geregelte Verfahrensweise beim Weggang von Mitarbeitenden) — der Kernbaustein. Fordert ein dokumentiertes Verfahren für den Austritt: Rückgabe, Zugangsentzug, Wissensübergabe und Information der Beteiligten.
  • ORP.4.A2 (Einrichtung, Änderung und Entzug von Berechtigungen) — verlangt den zeitnahen Entzug aller Berechtigungen bei Austritt oder Rollenwechsel.
  • ISMS.1.A5 (Erstellung einer Sicherheitsleitlinie) — fordert, dass die Sicherheitsleitlinie Regelungen für den Umgang mit Personalveränderungen enthält.
  • ORP.2.A14 (Aufgaben und Zuständigkeiten) — verlangt die Übergabe sicherheitsrelevanter Aufgaben an eine Nachfolgeperson.
  • OPS.1.1.2.A4 (Beendigung der Nutzung) — regelt die ordnungsgemäße Außerbetriebnahme von Benutzerkonten und zugehörigen Diensten.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Welche Pflichten gelten nach Vertragsende weiter?

Typischerweise die Vertraulichkeitspflicht aus der Geheimhaltungsvereinbarung (NDA) und die Pflicht, keine geschäftskritischen Informationen weiterzugeben. Die Dauer ist vertraglich geregelt — üblich sind ein bis drei Jahre, bei Geschäftsgeheimnissen oft unbefristet. Wettbewerbsverbote sind davon separat zu betrachten.

Was muss bei einem internen Rollenwechsel passieren?

Beim Rollenwechsel gelten die Pflichten der alten Rolle weiter (Vertraulichkeit über dort erlangte Informationen). Gleichzeitig müssen die Zugriffsrechte an die neue Rolle angepasst werden — alte Rechte entziehen, neue vergeben. Ohne diesen Schritt entsteht Privilege Creep.

Brauche ich ein formales Offboarding-Gespräch?

Ja, und es muss dokumentiert sein. Im Gespräch werden die fortgeltenden Pflichten erläutert, die Rückgabe von Informationswerten bestätigt und eine Checkliste abgezeichnet. Ohne diesen Nachweis kann die Organisation die Einhaltung der Nachpflichten im Streitfall schwer durchsetzen.