Der Begriff 'Risikoposition' wird im HR-Kontext oft gleichgesetzt mit Führungsebene. Das greift zu kurz. Ein IT-Systemadministrator mit Zugang zu allen Unternehmensdaten, ein Buchhalter mit Zahlungsfreigabe oder eine Person im direkten Kundenkontakt mit sensiblen Daten kann ein höheres Risikoprofil aufweisen als mancher Abteilungsleiter. Für ein wirksames Screening-Programm braucht es daher eine systematische Risikoklassifizierung aller Stellen im Unternehmen.
Kriterien für die Risikoklassifizierung einer Stelle
Bei der Risikoklassifizierung sind verschiedene Dimensionen zu berücksichtigen: Finanzielle Verantwortung (Budget, Zeichnungsbefugnis, Zugang zu Konten), Datenzugang (besonders schützenswerte Personendaten, Geschäftsgeheimnisse, kritische Systeme), Kundenkontakt (insbesondere bei vulnerablen Gruppen wie Kranken, Minderjährigen oder alten Menschen), Reputationsrelevanz (öffentlich sichtbare Personen des Unternehmens) sowie regulatorische Anforderungen in bestimmten Branchen.
Insider Threats: Das unterschätzte Risiko
Studien zur Informationssicherheit zeigen: Insider Threats – also bewusste oder fahrlässige Schäden durch eigene Mitarbeitende – verursachen in Unternehmen weltweit erhebliche finanzielle und reputative Schäden. Anders als externe Angriffe nutzen Insider Threats bestehende Zugriffsberechtigungen aus, was die Erkennung und Prävention erschwert. Ein sorgfältig durchgeführter Background Check bei der Einstellung ist eine der effektivsten Präventionsmassnahmen.
Das risikobasierte Screening-Modell
Ein risikobasiertes Screening-Modell definiert für jede Risikokategorie einen standardisierten Prüfkatalog. Niedrigrisikoposition: Identitätsprüfung, ggf. Strafregisterauszug. Mittelrisikoposition: Ergänzend Betreibungsregister und CV-Verifizierung. Hochrisikoposition: Zusätzlich Enhanced Due Diligence mit Sanktionslisten-Abgleich, Reputationsanalyse und Interessenkonflikt-Prüfung. Dieses Modell ist nicht nur verhältnismässig im Sinne des DSG, sondern auch kosteneffizient.
Kriterien für die Risikoklassifizierung einer Stelle
Bei der Risikoklassifizierung sind verschiedene Dimensionen zu berücksichtigen: Finanzielle Verantwortung (Budget, Zeichnungsbefugnis, Zugang zu Konten), Datenzugang (besonders schützenswerte Personendaten, Geschäftsgeheimnisse, kritische Systeme), Kundenkontakt (insbesondere bei vulnerablen Gruppen wie Kranken, Minderjährigen oder alten Menschen), Reputationsrelevanz (öffentlich sichtbare Personen des Unternehmens) sowie regulatorische Anforderungen in bestimmten Branchen.
Insider Threats: Das unterschätzte Risiko
Studien zur Informationssicherheit zeigen: Insider Threats – also bewusste oder fahrlässige Schäden durch eigene Mitarbeitende – verursachen in Unternehmen weltweit erhebliche finanzielle und reputative Schäden. Anders als externe Angriffe nutzen Insider Threats bestehende Zugriffsberechtigungen aus, was die Erkennung und Prävention erschwert. Ein sorgfältig durchgeführter Background Check bei der Einstellung ist eine der effektivsten Präventionsmassnahmen.
Das risikobasierte Screening-Modell
Ein risikobasiertes Screening-Modell definiert für jede Risikokategorie einen standardisierten Prüfkatalog. Niedrigrisikoposition: Identitätsprüfung, ggf. Strafregisterauszug. Mittelrisikoposition: Ergänzend Betreibungsregister und CV-Verifizierung. Hochrisikoposition: Zusätzlich Enhanced Due Diligence mit Sanktionslisten-Abgleich, Reputationsanalyse und Interessenkonflikt-Prüfung. Dieses Modell ist nicht nur verhältnismässig im Sinne des DSG, sondern auch kosteneffizient.
