{
  "class": "BSI-Stand-der-Technik-Kernel",
  "id": "PERS.5.3",
  "params": [
    {
      "id": "pers.5.3-prm1",
      "label": "definierte sicherheitskritische Rollen",
      "props": [
        {
          "name": "alt-identifier",
          "value": "76a4233a-f1b4-4e5c-9c53-8c6b7d10ec88"
        }
      ]
    },
    {
      "id": "pers.5.3-prm2",
      "label": "regelmäßig",
      "props": [
        {
          "name": "alt-identifier",
          "value": "76a4233a-f1b4-4e5c-9c53-8c6b7d10ec88"
        }
      ]
    }
  ],
  "parts": [
    {
      "id": "PERS.5.3_stm",
      "name": "statement",
      "props": [
        {
          "name": "documentation",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
          "value": "Prozess Personalmanagement"
        },
        {
          "name": "result",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
          "value": "die Vertrauenswürdigkeit für {{definierte sicherheitskritische Rollen}}"
        },
        {
          "name": "result_specification",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
          "value": "{{regelmäßig}} und anlassbezogen"
        },
        {
          "name": "action_word",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
          "value": "überprüfen"
        },
        {
          "name": "modal_verb",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
          "value": "SOLLTE"
        }
      ],
      "prose": "Personal SOLLTE die Vertrauenswürdigkeit für {{ insert: param, pers.5.3-prm1 }} {{ insert: param, pers.5.3-prm2 }} und anlassbezogen überprüfen."
    },
    {
      "id": "PERS.5.3_gdn",
      "name": "guidance",
      "prose": "Die Vertrauenswürdigkeit bezeichnet im hier relevanten Kontext die Eignung und persönliche Integrität von Personen, die in besonders sicherheitskritischen Rollen tätig sind – also Funktionen mit erweiterten Zugriffsrechten, administrativen Befugnissen oder Zugang zu sensiblen Informationen und Systemen. Sicherheitskritische Rollen können beispielsweise Systemadministratoren, Personal mit privilegierten Rechten in Cloud-Diensten oder Mitarbeitende im Finanz- und Abrechnungswesen sein. Regelmäßig bedeutet in diesem Zusammenhang, dass eine Überprüfung nicht nur einmalig bei Einstellung, sondern in sinnvollen zeitlichen Abständen erfolgen kann – etwa alle zwei bis drei Jahre oder anlassbezogen, zum Beispiel bei Beförderungen oder einem Wechsel in eine sicherheitsrelevante Funktion. Der Sinn dieser Anforderung liegt darin, Risiken wie Insider-Bedrohungen, Manipulationen oder unbefugte Informationsweitergabe frühzeitig zu reduzieren. So könnte ein Mitarbeiter mit verschuldeten privaten Verhältnissen erpressbar werden und vertrauliche Daten weitergeben, wohingegen eine erneute Vertrauensprüfung kann frühzeitig auffällige Entwicklungen sichtbar machen und das Sicherheitsniveau stabilisieren. Eine Umsetzung kann durch verschiedene Maßnahmen erfolgen, die sowohl technische als auch prozessuale Ansätze kombinieren. Institutionen können beispielsweise (1) Selbstauskünfte oder aktuelle Führungszeugnisse anfordern, (2) regelmäßige Abgleiche mit internen HR-Daten wie Abmahnungen oder Compliance-Verstößen durchführen und (3) strukturierte Interviews oder Fragebögen einsetzen, die Veränderungen in der Lebenssituation mit Relevanz für die Vertrauenswürdigkeit adressieren. Ergänzend kann eine technische Unterstützung durch revisionssichere Dokumentation in HR-Systemen erfolgen, sodass jede Überprüfung nachvollziehbar bleibt. Ein pragmatischer Tipp ist es, Überprüfungen an ohnehin bestehende HR-Prozesse – etwa jährliche Mitarbeitergespräche oder Rezertifizierungen von Zugriffsrechten – anzubinden, um sie effizient und konsistent in den Betriebsablauf zu integrieren. Auf diese Weise kann die Institution die Anforderung praxisnah erfüllen und gleichzeitig den administrativen Aufwand geringhalten."
    }
  ],
  "props": [
    {
      "name": "alt-identifier",
      "value": "76a4233a-f1b4-4e5c-9c53-8c6b7d10ec88"
    },
    {
      "name": "sec_level",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
      "value": "normal-SdT"
    },
    {
      "name": "effort_level",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
      "value": "4"
    },
    {
      "name": "tags",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
      "value": "Insider Threat"
    }
  ],
  "title": "Vertrauens-Check sicherheitskritischer Rollen"
}