Januar 31, 2024

Personalverantwortliche verwalten unzählige sensible Informationen der Mitarbeiter. Das können persönliche Daten wie Anschrift oder Telefonnummer, finanzielle Informationen wie Kontodaten oder aber sehr persönliche Daten wie Leistungsbeurteilungen sein.

In der heutigen Zeit sind diese Daten oft digital gespeichert, da das papierlose Büro sich immer weiter durchsetzt. Das hat viele Vorteile, birgt aber gleichzeitig die Gefahr, dass Hacker versuchen, diese Fülle an Daten als Ziel für ihre Attacken auszuwählen. Grund genug, dass Mitarbeiter aus der Personalverwaltung wissen, wie sie ihre Cybersicherheit ausreichend erhöhen.

Gefahren für die Cybersicherheit

Datenpannen
Hacker können Datenbanken in Unternehmen, die Mitarbeiterinformationen enthalten, angreifen und diese Daten offenlegen. Die Motive können vielfältig sein: So könnten die Täter versuchen, die Daten an Dritte weiterzuverkaufen, Identitätsdiebstahl zu begehen oder das betroffene Unternehmen zu erpressen.

Egal wie das Motiv letztlich aussieht, ist ein erfolgreicher Cyberangriffe immer auch ein großer Imageverlust für das Unternehmen und kann zu sinkender Attraktivität als Arbeitgeber führen.

Phishing
Phishing ist nicht nur im Personalbereich eine der häufigsten Bedrohungen der Cybersicherheit. Doch Personaldaten bieten neben Kundendaten oftmals eine hohe Quantität und Sensibilität, sodass ein Angriff für Hacker äußerst attraktiv erscheint.

Kriminelle versuchen über E-Mails, Textnachrichten oder klassisch per Telefon, die Opfer zur Preisgabe von Daten zu bewegen. Dabei bedienen sie sich dem sogenannten Social Engineering, das bedeutet, sie manipulieren den Empfänger oder Gesprächspartner am Telefon auf emotionaler Ebene, um sein Vertrauen zu gewinnen.

Es können sich ebenso Anhänge in E-Mails befinden, die der Empfänger öffnen soll, sodass sich Schadsoftware wie Ransomware oder andere Malware auf dem Computer installiert (siehe Ransomware).

Spear Phishing
Im Unternehmensbereich kommt häufig eine Unterform des Phishings zum Einsatz, das so bezeichnete Spear Phishing. Statt Opfer über Massen-E-Mails zufällig auszuwählen, wird hierbei ein Opfer bewusst vom Cyberkriminellen als Ziel gewählt.

Spitzenkräfte von Unternehmen lassen sich mit einer kurzen Google-Suche ausfindig machen. So findet der Täter zum Beispiel über LinkedIn-Profile heraus, wer im Unternehmen im Personalbereich arbeitet, und wendet eine Phishing-Attacke auf diese Person an.

Zum Teil ist dies mit wochenlanger Vorbereitungszeit verbunden, um möglichst viele Informationen über den Mitarbeiter zu sammeln. In manchen Fällen gibt sich der Täter auch als Vorgesetzter oder Mitarbeiter einer Drittfirma aus, mit der das Unternehmen zusammenarbeitet.

Ransomware
Durch das Öffnen virenverseuchter Anhänge in E-Mails im Zuge von Phishing kann sich Ransomware auf dem Gerät des Empfängers installieren. Diese Art der Schadsoftware verschlüsselt einzelne Dateien oder ein ganzes System und gibt diese erst nach Zahlung eines Lösegelds – häufig in Form von Kryptowährungen zu zahlen – wieder frei.

Erhöhte Gefahr durch Homeoffice und Remote-Zugriff

Einer der Gründe, wieso es zu den oben genannten Gefahren kommt, ist die vermehrte Arbeit von Mitarbeitern außerhalb des Büros. Im Unternehmen selbst kann der Arbeitgeber für sichere Arbeitscomputer und allgemein für eine entsprechende Sicherheit der digitalen Infrastruktur sorgen.

Außerhalb davon liegt es aber nur begrenzt in seiner Kontrolle. Denn arbeiten Mitarbeiter zum Beispiel mit ihren eigenen Geräten, die sie auch privat nutzen, gibt es keine Garantie, dass dieses ausreichend gegen Cyberangriffe gerüstet sind.

Noch kritischer sind öffentliche WLAN-Hotspots. Diese bieten nur begrenzte oder gar keine Sicherheit. Arbeitet ein Personalverantwortlicher in solch einem öffentlichen WLAN-Netzwerk, läuft er Gefahr, dass unbekannte Dritte die Schwachstellen eines Hotspots ausnutzen und Daten abgreifen

Interne Bedrohungen

Nicht nur externe Bedrohungen gefährden die Cybersicherheit. Ebenso können die Mitarbeiter in der Personalabteilung selbst zur Gefahr werden. Da sie je nach Größe des Unternehmens mit großen Mengen an sensiblen Daten der Mitarbeiter arbeiten, ist die Gefahr groß, dass durch Nachlässigkeit oder grobe Fahrlässigkeit Informationen offengelegt werden.

Dieser Punkt überschneidet sich mit oben genannten. So ist ein nachlässiger Mitarbeiter deutlich gefährdeter, Opfer eines Phishing-Angriffs zu werden und böswillige Links oder Anhänge zu öffnen.

In seltenen Fällen können Personalverantwortliche (oder andere Mitarbeiter) bewusst Informationen nach außen preisgeben, zum Beispiel, um sich finanziell zu bereichern oder aus Rache gegen den Arbeitgeber.

Wichtige Maßnahmen für mehr Cybersicherheit

Entscheidend ist, dass Personalverantwortliche regelmäßig geschult werden und wissen, welche Cybersicherheitsmaßnahmen wichtig sind. Zu den wichtigsten Themen sollten gehören:

  • Erkennen von Phishingversuchen: Personalverantwortliche müssen in der Lage sein, frühzeitig Phishing-Mails und Social-Engineering-Attacken zu erkennen, und ebenfalls zu wissen, wie sie reagieren müssen, wenn ein Angriff zum Erfolg geführt hat;

  • Sichere Passwörter: Jedes Konto muss über ein sicheres Passwort verfügen und individuell sein. Konten mit sensiblen Daten sollten zusätzlich durch eine Zwei-Faktor-Authentifizierung (2FA) geschützt werden;

  • Datenverschlüsselung: Vor allem im Personalbereich müssen Dateien verschlüsselt gespeichert und übertragen werden. Auf keinen Fall darf eine solche Datei unverschlüsselt als Anhang in E-Mails weitergegeben werden;

  • Sicherer Zugriff und sichere Kommunikation: Mitarbeiter, die von außerhalb auf Infrastruktur und Daten des Unternehmens zugreifen, sollten dies über ein VPN (Virtuelles Privates Netzwerk) tun. Zur internen Kommunikation sollten ausschließlich Kanäle mit Ende-zu-Ende-Verschlüsselung Anwendung finden;

  • Backups und Löschung von Daten: In regelmäßigen Abständen sollte ein Backup aller Daten erstellt werden, so dass im Falle eines Datenverlusts dieses Backup zur Wiederherstellung genutzt wird. Daten von Mitarbeitern, die nicht mehr im Unternehmen aktiv sind, müssen gemäß der Datenschutzgesetze nach den geltenden Fristen gelöscht werden;

  • Regelmäßige Updates: Sobald Updates für Geräte und Software verfügbar sind, die bekannte Sicherheitslücken schließen, sollten diese heruntergeladen werden. In Unternehmen erfolgt dies meist über Nacht oder über das Wochenende;

  • Reaktionsplan entwickeln: Personalverantwortliche können noch so aufmerksam und sensibilisiert sein, es kann dennoch jederzeit zu einer geglückten Cyberattacke kommen. Mitarbeiter müssen in diesem Moment wissen, wie sie darauf reagieren;

  • Risikomanagement von Drittanbietern: Arbeitet das Unternehmen mit Drittanbietern zusammen, die Personaldaten verarbeiten, ist es wichtig, dass dieser Anbieter das Vertrauen des Unternehmens genießt und immer wieder ein Risikomanagement durchgeführt wird, um jederzeit die Datensicherheit zu gewährleisten.

 

Bildnachweis: Image by Freepik