Die ISO 27001-Lücke: Warum Ihre teure Firewall nutzlos ist, wenn Sie den falschen Leuten vertrauen.

Personenscreening gemäß Annex A 6.1 (Control 5.7) ist kein "Nice-to-have" für HR. Es ist eine harte Compliance-Pflicht für Ihre Informationssicherheit.

Im Zeitalter von Ransomware-as-a-Service und ausgeklügeltem Social Engineering investieren Unternehmen Millionen in ihre technische Infrastruktur. Wir härten Server, implementieren Zero-Trust-Architekturen und schulen Mitarbeiter im Erkennen von Phishing-Mails.


Doch all zu oft übersehen wir die unbequemste Wahrheit der Cybersecurity: Die größte Schwachstelle sitzt meist vor dem Bildschirm, nicht im Serverraum.


Wenn Sie eine ISO 27001-Zertifizierung anstreben oder verteidigen, wissen Sie, dass Informationssicherheit mehr ist als nur IT. Es geht um Prozesse, Richtlinien und – vor allem – um Menschen. Die Norm ist hier unmissverständlich. Der oft zitierte Annex A 6.1 (und noch präziser im neuen Control 5.7 der ISO/IEC 27001:2022) verlangt ein Screening von Kandidaten vor der Einstellung.


Die Botschaft ist klar: Vertrauen ist gut, Verifizierung ist Pflicht. Wer das ignoriert, gefährdet nicht nur sein Zertifikat, sondern die gesamte Business Continuity.

Das "Bauchgefühl" fällt im Audit durch

In vielen Unternehmen, selbst in solchen mit hohen Sicherheitsansprüchen, gleicht der Einstellungsprozess noch immer einem Glücksspiel. Man verlässt sich auf polierte Lebensläufe, sympathische Vorstellungsgespräche und das berühmte "Bauchgefühl".


Für einen ISO-Auditor ist das Bauchgefühl jedoch irrelevant. Ein Auditor stellt eine simple, aber unangenehme Frage:

"Zeigen Sie mir den nachweisbaren Prozess, mit dem Sie sichergestellt haben, dass der neue Administrator mit Root-Zugriff auf Ihre Datenbanken auch wirklich der ist, der er vorgibt zu sein, und die Qualifikationen besitzt, die er im CV nennt."


Wenn Ihre Antwort darauf ein betretenes Schweigen oder der Verweis auf ein "gutes Gespräch" ist, haben Sie ein Problem (Major Non-Conformity).


Das Risiko ist real. Wir sprechen nicht nur von Hochstaplern mit gefälschten Diplomen. Wir sprechen von "Insider Threats" – Personen, die gezielt Zugang zu sensiblen Daten suchen, sei es für Wirtschaftsspionage oder Sabotage. Ohne ein strukturiertes Background-Check-Verfahren öffnen Sie diesen Akteuren Tür und Tor.

HR im Würgegriff: Zwischen DSGVO und Sisyphusarbeit

Die Verantwortung für dieses Screening landet meist bei der HR-Abteilung. Doch die Realität im Recruiting sieht anders aus: Der Fachkräftemangel drängt zur Eile, die Teams sind überlastet. Ein gründlicher, manueller Background-Check ist eine administrative Sisyphusarbeit. Referenzgeber sind telefonisch nicht erreichbar, Universitäten antworten nur langsam auf Anfragen zur Verifizierung von Abschlüssen.


Hinzu kommt die rechtliche Unsicherheit: Was darf ich in der DACH-Region überhaupt prüfen? Wo endet das berechtigte Interesse des Arbeitgebers und wo beginnt der Verstoß gegen die DSGVO? Aus Angst vor Datenschutzfehlern prüfen viele Unternehmen lieber gar nicht – und verlagern das Risiko damit direkt in ihre IT-Sicherheit.


Das Ergebnis ist ein Prozess, der entweder ineffizient, rechtlich angreifbar oder schlichtweg nicht existent ist. Keines dieser Szenarien besteht ein ISO 27001-Audit.

Die Lösung: Automatisierung schafft Compliance (Validato.com)

Um die Anforderungen von Control 5.7 zu erfüllen, benötigen Unternehmen einen Prozess, der standardisiert, dokumentiert und rechtssicher ist. Manuelle Checks können das kaum leisten.


Hier wird eine Plattform wie Validato.com vom HR-Tool zum essenziellen Baustein Ihrer Sicherheitsstrategie. Validato transformiert das Personenscreening von einer administrativen Last zu einem audit-sicheren Prozess:

  1. Der "Audit-Trail" auf Knopfdruck: Validato liefert genau die Beweise (Evidence), die der ISO-Auditor sehen will. Jeder Schritt der Überprüfung – von der Identitätsfeststellung bis zur Referenzprüfung – wird revisionssicher dokumentiert.
  2. DSGVO-Konformität 'Built-in': Als europäische Lösung ist der Datenschutz tief im Prozess verankert. Die Einwilligung der Kandidaten wird transparent eingeholt, Daten werden sicher verarbeitet. Das minimiert das rechtliche Risiko für HR enorm.
  3. Standardisierung statt Willkür: Sie definieren, welche Rollen (z.B. IT-Administratoren, Finanzwesen, C-Level) welchem Prüflevel unterzogen werden. Validato stellt sicher, dass jeder Kandidat nach denselben strengen Kriterien geprüft wird. Das schafft die von der ISO geforderte Konsistenz.

Fazit: Schließen Sie die menschliche Sicherheitslücke

ISO 27001 verlangt von uns, Risiken zu managen. Das "Human Risk" im Recruiting zu ignorieren, ist im Jahr 2024 keine Option mehr, sondern grob fahrlässig.

Es ist Zeit, das Personenscreening mit derselben Ernsthaftigkeit zu behandeln wie das Patch-Management Ihrer Server. Hören Sie auf zu hoffen und fangen Sie an zu verifizieren. Machen Sie Ihr HR-Screening audit-sicher, effizient und skalierbar mit Validato.

👉 Schreiben Sie mir heute noch um mehr zu Erfahren: reto.marti@validato.com