Maßregelungen als Maßnahme gem. ISO 27001/TISAX®, was ist das eigentlich?
Mit Abstand die meisten Cyberangriffe erfolgen über Attacken auf Mitarbeiter, auch Datenpannen durch Mitarbeiter kommen vor. Viele Mitarbeiter sind sich der Risiken und Folgen nicht bewusst und Unwissenheit, Bedienungsfehler oder Ignoranz für die Risiken kommen vor. Zudem handelt der Mensch unter Zeitdruck ggf. mit weniger Vorsicht oder übersieht Warnsignale, was bei hunderten von Mails pro Tag schnell zu Fehlern führen kann. Insbesondere wenn das Unternehmen keine konstruktive Sicherheitskultur hat und Fehler angeprangert werden, scheut sich der Mitarbeiter auch, diese offen zuzugeben und somit die Behebung zu beschleunigen.
Maßnahmen mit Blick auf die Mitarbeiter sind daher entscheidend, um die Informationssicherheit in Unternehmen zu gewährleisten. Diese sind über den Beschäftigungszyklus der Mitarbeiter (vor Eintritt, während der Beschäftigung, nach dem Austritt) hinweg beizubehalten, sonst kann das Personal eine große Schwachstelle bilden.
Technische Maßnahmen zur Vermeidung, Richtlinien und Wissen um das richtige Verhalten, Awareness für Risiken und Betrugsversuche über Phishing oder Social Engineering sind wichtig.
Doch leider ist der „menschliche Faktor“ nicht immer auszuschalten. Ebenso wichtig ist daher zur Ergänzung das Instrument der „Maßregelung“, also die „gelbe Karte“, aber was ist das?
Der Begriff Maßregelung ist etwas antiquiert und lässt aufhorchen, zumal der Arbeitgeber auf der anderen Seite nach dem BGB einem Maßregelungsverbot unterliegt. Verboten ist allerdings nur, Arbeitnehmer wegen der zulässigen Ausübung ihrer Rechte zu benachteiligen. Damit hat jedoch der „Maßregelungsprozess“ nichts zu tun, der in dem Anhang der ISO 27001:2022 unter 6.4. gefordert wird. Dieser muss eingeführt, formalisiert und kommuniziert werden, um Schritte gegen Mitarbeiter und andere interessierte Parteien zu ergreifen, die einen Verstoß gegen die Informationssicherheitspolitik begangen haben. Wichtig ist hierbei auch, dass Mitarbeiter aufgeklärt und geschult werden.
Definition
Eine Maßregelung ist eine Handlung mit dem Ziel, jemanden bezogen auf ein Fehlverhalten zurechtzuweisen und/oder zu bestrafen, im Sprachgebrauch des Personalwesens also eine disziplinarische Maßnahme. Solche sind im Arbeitsrecht in unterschiedlichen Ausprägungen bekannt. Denn Mitarbeiter sollten nicht nur inhaltlich „Bescheid wissen“, sondern auch den hohen Stellenwert der Informationssicherheit kennen und wissen, wie sie sich richtig verhalten. Zudem sollten sie die Folgen von Fehlverhalten und deren Konsequenzen kennen.
Hierfür empfiehlt sich, die Anforderungen an die Mitarbeiter zu kommunizieren und deren Folgen ggf. klar im Arbeitsvertrag oder in Anlagen zu kommunizieren, z. B. mit dem Satz: „Richtlinien sind einzuhalten, der Verstoß gegen Richtlinien insbesondere im Bereich Informationssicherheit kann disziplinarische Maßnahmen zur Folge haben.“
Die bekannteste Maßregelung ist vielleicht die „Abmahnung“, eine arbeitsrechtliche „gelben Karte“. Der Arbeitnehmer wird damit für die Verletzung einer Pflicht gerügt und gleichzeitig gewarnt, dass er im Wiederholungsfall mit arbeitsrechtlichen Konsequenzen bzw. mit einer Kündigung rechnen könnte. Bei Unternehmen mit Betriebsrat (BR) sind ggf. Mitwirkungs- und Mitbestimmungsrechte zu beachten. Der Ausspruch einer Abmahnung ist jedoch mitbestimmungsfrei.
Die Personalabteilung und die Geschäftsleitung sowie der Informationssicherheitsbeauftragte sollten bei der Gestaltung von Maßregelungen mitwirken, um angemessene Lösungen zu finden und die Mitarbeiter fair zu behandeln. Daher ist das Konzept einer am Risiko und dem Verstoß skalierenden Maßregelung empfehlenswert.
Kleine oder einmalige Verstöße können in Abhängigkeit von der Schwere grundsätzlich rechtswirksam nicht gleich mit einer Kündigung geahndet werden. Jedoch sind Maßregelungen bei mehrfachen Fehlhandlungen trotz Disziplinargesprächen und Schulungen angemessen zu verschärfen. Und der Mitarbeiter A ist bei sonst gleichen Bedingungen für das gleiche Vergehen nicht härter zu maßregeln als Mitarbeiter B!
Jedoch ist die Diskussion über Maßregelung vielfach ungeliebt, denn häufig wird dieser Prozess mit dem Begriff Abmahnung gleichgesetzt und man befürchtet negative Auswirkungen auf den Betriebsfrieden, wenn man sich diesem Thema widmet. Aber es gibt mehr als nur die Instrumente Abmahnung und Kündigung.
Hier einige Beispiele für ein gestuftes Vorgehen:
Fake-Mail
Falls der Mitarbeiter einer perfekten Fake-Mail aufgesessen ist, diese geöffnet und Credentials angegeben hat, besteht das Risiko für Vertraulichkeit, Verfügbarkeit, Integrität
Der Fall muss analysiert werden auf Folgen. Zudem ist eine Schulung des Mitarbeiters (Online oder durch ISB), ein Informationsgespräch mit dem ISB möglich. Zudem sind technische Vorkehrungen zu treffen (Deaktivierung Account, MFA einrichten etc.). Die ist eine kleinere Verfehlung, zudem einmalig, hier erfolgt noch keine Abmahnung; ggf. ist eine Ermahnung ausreichend.
Darknet
Der Mitarbeiter geht mehrfach in der Pausenzeit mit Arbeitsgerät aus dem Firmennetz ins Darknet, obwohl das verboten ist und es nicht zu seinen Aufgaben gehört. Damit kann Kontakt zu kriminellen Kreisen entstehen, zudem kann Schadsoftware ins Unternehmen gelangen. Es besteht das Risiko für Vertraulichkeit, Verfügbarkeit, Integrität.
Der Fall muss analysiert werden auf Folgen. Zudem muss die Schulung des Mitarbeiters (Online oder durch ISB) erfolgen, ein Informationsgespräch mit dem ISB und seinem Vorgesetzten sowie der Personalabteilung (ggf. mit dem BR) ist angesichts der Wiederholung anzuraten. Zudem sind technische Vorkehrungen zu treffen (Zugriffseinschränkungen, Whitelisting). Aufgrund der Wiederholung und Kritikalität kommt es zur Erteilung einer Abmahnung unter Androhung der fristlosen Kündigung bei Wiederholung.
Für den o.g. Fall des Darknet-Besuch ist verschärfend folgendes zu beachten: Wenn nachweisbar ist, dass der MA das in der Arbeitszeit gemacht hat, läge ein wiederholter Arbeitszeitbetrug vor, bei dem je nach Einzelfall bereits eine Kündigung gerechtfertigt sein könnte. In Kombination mit dem Darknet wäre ggf. eine fristlose Kündigung ins Auge zu fassen.
Kurz: Ein Bündel von Maßnahmen ist anwendbar, welches auf den Einzelfall angemessen genützt wird und an die Realität in den Betrieben angepasst werden sollte. Die „gelbe Karte“ ist nur eine von vielen, sie schafft Klarheit, sollte aber mit Augenmaß eingesetzt werden.
In dem Zusammenhang muss vorbereitend für die Gestaltung der gestuften Maßnahmen Vorarbeit geleistet werden mit einigen Komponenten:
Risikoanalyse und Sensibilisierung
Führen Sie regelmäßige Risikoanalysen für Mitarbeiter auf Basis der Assets und dem Schutzbedarf der von den Mitarbeitern genutzten oder bearbeiteten Informationen durch, um potenzielle Bedrohungen und Schwachstellen für Mitarbeiter zu identifizieren. Basierend auf den Ergebnissen der Risikoanalyse entwickeln Sie spezifische Maßnahmen (bedenken Sie auch frühzeitig die ggf. nötigen Maßregelungen) zur Minimierung oder Beseitigung von Risiken.
Schaffen Sie auch Transparenz bei den Mitarbeitern für mögliche Risiken, aber ohne ein Angstklima aufzubauen. JEDER kann bei gut gemachten Attacken auf Fake-Informationen hereinfallen! In einem konstruktiven Klima kann auch ein Fehler und ein Vorfall zum Lernen Aller beitragen.
Binden Sie den Betriebsrat ein und informieren Sie über die Risiken der Informationssicherheit für das Unternehmen und die Auswirkungen von Vorfällen auf die Mitarbeiter. Bieten Sie Schulungen und Schulungsmaterialien für den Betriebsrat an, um deren Verständnis für die Bedeutung der Informationssicherheit und die spezifischen Maßregelungen zu verbessern. Sensibilisieren Sie ihn für potenzielle Risiken und Herausforderungen im Zusammenhang mit der Informationssicherheit, aber auch für die Chancen und die Ziele, nämlich Sicherung der Zukunft und der Arbeitsplätze.
Treten Sie in den Dialog, um eventuelle Bedenken oder Konflikte zu klären, die im Zusammenhang mit den Maßregelungen auftreten könnten. Bieten Sie Möglichkeiten zur Konfliktlösung und Mediation an, um eine harmonische Arbeitsumgebung zu fördern.
Vor allem: Stellen Sie sicher, dass alle relevanten Mitarbeiter geschult und informiert sind, um die Maßnahmen effektiv umzusetzen. Und machen Sie bitte nicht nur eine Schulung einmal im Jahr! Vorfälle können täglich vorkommen. Nur engagierte, informierte und bewusst aufmerksame Mitarbeiter sind im Sinne der Sicherheit handlungsfähig. Analysen haben ergeben, daß Inhalte, die nicht häufiger geübt und trainiert werden, schnell wieder vergessen werden.
Überwachen Sie regelmäßig die Wirksamkeit der implementierten Schutzmaßnahmen (z. B. mit simulierten Phishing-Attacken auf Basis von Tools wie "KnowBe4") und passen Sie diese bei Bedarf an. Führen Sie interne Audits durch, um sicherzustellen, dass die Informationssicherheit weiterhin gewährleistet ist.
Stellen Sie sicher, dass der Maßregelungsprozess den Anforderungen des VDA ISA bzw. der ISO/IEC 27001 entspricht. Verwenden Sie die Leitlinien und Best Practices auf Basis dieser Normen, um sicherzustellen, dass Ihre Informationssicherheitsmaßnahmen effektiv sind und international anerkannte Standards erfüllen.
Rechtsfragen
Ziehen Sie ggf. einen juristischen Beistand hinzu, um entsprechende Pflichten des Arbeitnehmers zu implementieren und eventuell erforderliche Sanktionen rechtswirksam umzusetzen. Prüfen sie regelmäßig ihre betriebliche Arbeitsvertragssituation, ob diese noch up to date ist. Mancher Arbeitsvertrag wurde vor der DSGVO geschlossen und hat erhebliche Lücken. Einige haben z. B. keine Geheimhaltung über den Bestand des Arbeitsvertrags hinaus vereinbart. Achtung: Konkret hierzu müssen Sie im Lieferantenaudit ihres Kunden nach ISO / IEC 27001 und TISAX® Aussagen treffen!
Falls die in der Praxis gewonnenen Erkenntnisse oder juristische Änderungen eine Optimierung des Prozesses oder der Maßnahmen nahelegen, findet die nötige Korrektur über den kontinuierlichen Verbesserungsprozess statt. Dabei gilt es immer, den rechtlichen Anforderungen zu entsprechen, aber auch die Bedürfnisse und Interessen der Mitarbeiter angemessen berücksichtigen.
Fazit
Die „gelbe Karte“ ist ein Mittel unter vielen, um die Sicherheit zu fördern, aber sie sollte gut überlegt und vorbereitet sein. Denn natürlich kann es NICHT das Ziel des Maßregelungsprozesses sein, die Mitarbeiter zum Schweigen zu bringen. Konstruktive Kritik aus der Belegschaft kann und sollte zur Verbesserung genutzt werden. Es gilt, gemeinsam mit den Mitarbeitern eine robuste Informationssicherheitskultur aufzubauen, die ihre Daten und Systeme effektiv schützt, sowie geschäftliche Risiken minimiert.
Comments