ISO 27001 A.5.2: Informationssicherheit im Team umsetzen

Stellen Sie sich vor, Ihr Finanzteam erhält eine E-Mail, die aussieht, als käme sie direkt von der Geschäftsführung. Die Anweisung: eine dringende Überweisung. Wenige Stunden später stellt sich heraus, es war ein gezielter Phishing-Angriff. Der Schaden ist nicht nur finanziell, sondern betrifft auch das Vertrauen Ihrer Kunden und Partner.

‍

Dieses Szenario ist alltäglich und hat oft nichts mit komplexen Hacker-Angriffen auf die IT-Abteilung zu tun. Die Wahrheit ist: Informationssicherheit ist kein reines IT-Thema mehr. Sie ist eine Teamaufgabe, bei der jede Abteilung – von HR über Marketing bis zum Vertrieb – eine entscheidende Rolle spielt.

‍

Genau hier setzt die ISO 27001 mit der Anforderung A.5.2 „Rollen und Verantwortlichkeiten für die Informationssicherheit“ an. Doch viele Unternehmen tun sich schwer damit, diese abstrakte Forderung in den Arbeitsalltag von Nicht-IT-Mitarbeitern zu übersetzen. Dieser Leitfaden zeigt Ihnen, wie Sie das ändern können – praxisnah, verständlich und ohne Fachjargon.

‍

Informationssicherheit ist Teamsport: Was A.5.2 wirklich bedeutet

‍

Wenn Sie „ISO 27001“ hören, denken Sie vielleicht an Serverräume und komplexe Richtlinien. Aber die Anforderung A.5.2 ist viel bodenständiger. Im Kern geht es darum, dass jeder im Unternehmen seine spezifische Verantwortung für den Schutz von Informationen kennt und wahrnimmt.

‍

Stellen Sie es sich wie eine Nachbarschaftswache vor: Die Polizei (Ihre IT-Abteilung) spielt eine zentrale Rolle, aber die Sicherheit der gesamten Nachbarschaft hängt davon ab, dass jeder Bewohner aufmerksam ist, verdächtige Aktivitäten meldet und seine eigene Haustür abschließt. Ein einzelner unachtsamer Bewohner kann die Sicherheit aller gefährden. Genauso verhält es sich mit den Informationen in Ihrem Unternehmen. A.5.2 stellt sicher, dass jeder weiß, wann er die „Haustür“ abschließen muss.

‍

‍

Die Norm verlangt, dass diese Rollen und Verantwortlichkeiten klar definiert, dokumentiert und kommuniziert werden. Das Ziel ist nicht, jeden Mitarbeiter zum Sicherheitsexperten zu machen, sondern ein grundlegendes Bewusstsein und klare Handlungsanweisungen für den Alltag zu schaffen. Die Auseinandersetzung mit den Grundlagen von ISO 27001 zeigt, dass dies ein zentraler Baustein für ein funktionierendes Informationssicherheits-Managementsystem (ISMS) ist.

‍

In 4 Schritten zur gelebten Sicherheitskultur: Ein praktischer Leitfaden

‍

Die Definition von Sicherheitsrollen außerhalb der IT muss kein Mammutprojekt sein. Mit einem strukturierten Ansatz können Sie diese Anforderung pragmatisch und wirkungsvoll umsetzen.

‍

‍

Schritt 1: Daten-Kontaktpunkte identifizieren

‍

Fragen Sie sich: Welche Abteilungen arbeiten mit sensiblen Informationen? Die Antwort ist fast immer: alle.

‍

• Personalabteilung (HR): Mitarbeiterdaten, Gehälter, Bewerbungen.
• Finanzabteilung: Kontodaten, Rechnungen, Geschäftsberichte.
• Marketing: Kundendatenbanken, Analysetools, Kampagnenstrategien.
• Vertrieb: Kundenkontakte, Vertragsdetails, Preislisten.

‍

Erstellen Sie eine einfache Liste dieser Abteilungen und der wichtigsten Informationsarten, mit denen sie täglich umgehen. Das ist die Grundlage für alles Weitere.

‍

Schritt 2: Risiken in alltägliche Aufgaben übersetzen

‍

Niemand im Marketing möchte eine Vorlesung über „Risikomanagement“ hören. Aber jeder versteht, warum die neue Kundenliste aus dem Gewinnspiel besonders geschützt werden muss. Übersetzen Sie abstrakte Risiken in konkrete, alltägliche Handlungen.

‍

• Abstraktes Risiko: Unbefugter Zugriff auf Kundendaten.
  ‍
• Konkrete Aufgabe (Marketing): „Vor der Nutzung eines neuen Analyse-Tools wird geprüft, ob es die DSGVO-Anforderungen erfüllt. Die Freigabe erfolgt durch den Datenschutzbeauftragten.“

‍

Schritt 3: Rollen dokumentieren und kommunizieren

‍

Klarheit entsteht durch Dokumentation. Integrieren Sie die definierten Verantwortlichkeiten dort, wo sie hingehören: in die Stellenbeschreibungen.

‍

Beispiel für eine Stellenbeschreibung (HR Manager):

‍

• Zusätzliche Verantwortung im Bereich Informationssicherheit:
  • „Sicherstellung, dass alle neuen Mitarbeiter am ersten Arbeitstag an der Security-Awareness-Schulung teilnehmen.“
  • „Verwaltung der Zugriffsrechte für das HR-System nach dem Need-to-know-Prinzip.“

‍

Diese klare Zuweisung schafft Verbindlichkeit. Wichtig ist hierbei auch die sichtbare Verantwortung der Geschäftsführung bei ISO 27001, die diese neuen Rollen aktiv unterstützt und vorlebt.

‍

Schritt 4: Schulung und Bewusstsein fördern

‍

Die beste Dokumentation ist nutzlos, wenn sie niemand kennt. Regelmäßige, praxisnahe Schulungen sind unerlässlich. Zeigen Sie anhand von echten Beispielen, wie ein Phishing-Versuch aussieht oder warum öffentliche WLAN-Netze für die Arbeit am Firmenlaptop tabu sind. Machen Sie Sicherheit greifbar und verständlich.

‍

Praxisbeispiele: So sieht Informationssicherheit in Ihrer Abteilung aus

‍

Um die Theorie greifbarer zu machen, hier einige konkrete Beispiele für Sicherheitsverantwortlichkeiten in verschiedenen Nicht-IT-Abteilungen. Diese dienen als Inspiration und sollten an die spezifischen Prozesse Ihres Unternehmens angepasst werden. Die Definition dieser Rollen hilft Ihnen auch, relevante ISO 27001 Beispiele für interne und externe Fragen zu beantworten, wenn Sie den Geltungsbereich Ihres ISMS festlegen.

‍

‍

Personalabteilung (HR)

‍

• Sicheres On- und Offboarding: Sicherstellen, dass Zugriffsrechte für neue Mitarbeiter pünktlich erteilt und für ausscheidende Mitarbeiter sofort entzogen werden.
  ‍
• Vertraulichkeit von Mitarbeiterdaten: Daten wie Gehaltsinformationen oder Beurteilungen nur über verschlüsselte Kanäle versenden und den Zugriff streng limitieren.
  ‍
• Prüfung von Bewerberdaten: Sicherstellen, dass Bewerbungsunterlagen gemäß DSGVO nach Abschluss des Prozesses sicher gelöscht werden.

‍

Finanzabteilung

‍

• Vier-Augen-Prinzip bei Zahlungen: Kritische oder ungewöhnlich hohe Überweisungen müssen immer von einer zweiten Person freigegeben werden.
  ‍
• Verifizierung von Rechnungsdaten: Bei Änderungen von Bankverbindungen von Lieferanten immer eine telefonische oder persönliche Gegenprüfung durchführen.
  ‍
• Sicherer Umgang mit Finanzberichten: Entwürfe von Quartalsberichten nicht auf ungesicherten Cloud-Diensten oder privaten Geräten speichern.

‍

Marketing & Vertrieb

‍

• Datenschutz bei neuen Tools: Vor der Einführung neuer Marketing- oder CRM-Software eine Freigabe vom Datenschutzbeauftragten einholen.
  ‍
• Sicherer Umgang mit Kundendaten: Kundenlisten nur auf genehmigten Plattformen speichern und niemals unverschlüsselt per E-Mail versenden.
  ‍
• Social-Media-Sicherheit: Klare Richtlinien für die Kommunikation auf Unternehmenskanälen, um das versehentliche Teilen vertraulicher Informationen zu verhindern.

‍

Diese Beispiele zeigen: Es geht nicht um hochtechnische Aufgaben, sondern um achtsame, sicherheitsbewusste Prozesse im Arbeitsalltag. Die Gesamtheit dieser Maßnahmen bildet einen wichtigen Teil der Kontrollen, die im ISO 27001 Annex A gefordert werden.

‍

Ihr Weg zu einer starken Sicherheitskultur

‍

Die Implementierung von Informationssicherheitsrollen für alle Mitarbeiter ist mehr als nur ein Haken auf der ISO-27001-Checkliste. Es ist der entscheidende Schritt von einer reaktiven zu einer proaktiven Sicherheitsstrategie. Sie verwandeln Ihre größte potenzielle Schwachstelle – den Faktor Mensch – in Ihre stärkste Verteidigungslinie.

‍

Wenn diese Aufgaben klar definiert, verstanden und gelebt werden, schaffen Sie eine Kultur, in der Sicherheit zur zweiten Natur wird. Und das schützt Ihr Unternehmen weitaus effektiver als jede Firewall allein.

‍

Die Verwaltung und Nachverfolgung dieser Verantwortlichkeiten kann komplex sein. Moderne Compliance-Plattformen wie das Digital Compliance Office von SECJUR helfen dabei, diese Rollen digital zuzuweisen, Schulungen zu dokumentieren und die Umsetzung für Audits lückenlos nachzuweisen.

‍

Häufig gestellte Fragen (FAQ)

‍

Muss jeder einzelne Mitarbeiter eine offizielle Sicherheitsrolle haben?

‍

Nicht jeder benötigt eine formell in der Stellenbeschreibung verankerte Rolle. Aber jeder Mitarbeiter hat eine grundlegende Verantwortung, die Unternehmensrichtlinien zur Informationssicherheit zu befolgen. Die explizite Definition von Rollen ist besonders wichtig für Mitarbeiter, die regelmäßig mit sensiblen Daten arbeiten oder deren Aufgaben ein höheres Risiko bergen (z. B. Mitarbeiter im Finanzwesen oder HR).

‍

Was passiert, wenn diese Rollen im Audit geprüft werden?

‍

Der Auditor wird stichprobenartig prüfen, ob die definierten Rollen und Verantwortlichkeiten existieren und ob die Mitarbeiter sich ihrer bewusst sind. Er könnte zum Beispiel einen Marketingmitarbeiter fragen: „Wie stellen Sie sicher, dass die Daten für den neuen Newsletter datenschutzkonform verarbeitet werden?“ Eine klare Antwort, die sich auf dokumentierte Prozesse stützt, ist hier der Schlüssel zum Erfolg.

‍

Wie überzeuge ich meine Kollegen, dass das wichtig ist?

‍

Verwenden Sie praxisnahe Beispiele und Geschichten anstelle von abstrakten Norm-Anforderungen. Zeigen Sie auf, welche Konsequenzen ein Datenleck für das Unternehmen, aber auch für den Arbeitsplatz des Einzelnen haben kann. Betonen Sie, dass es nicht um Kontrolle, sondern um den gemeinsamen Schutz des Unternehmens geht.

‍

Reicht eine einmalige Schulung bei der Einstellung aus?

‍

Nein. Die Bedrohungslage ändert sich ständig (z. B. neue Phishing-Methoden). Regelmäßige, kurze Awareness-Trainings (z. B. jährlich oder bei konkreten Vorfällen) sind entscheidend, um das Wissen frisch zu halten und die Sicherheitskultur lebendig zu halten.

‍