HR Security: Sicherheitsstrategien für Personalabteilungen

Kleine und mittlere BetriebePräventionHandwerksbetriebeStart-Ups
HR Security: Sicherheitsstrategien für Personalabteilungen

Personalabteilungen spielen eine entscheidende Rolle, wenn es um das Thema Cybersicherheit in Ihrem Unternehmen geht. Neben ihrer Zuständigkeit für die Einstellungsprozesse und der Verwaltung von personenbezogenen Daten ist es auch die Aufgabe von HR-Verantwortlichen, die Unternehmenskultur zur fördern. Cybersicherheit bzw. HR Security sollte dabei in Ihrem Unternehmen eine wichtige Rolle spielen und durch Angebote bei Ihren Mitarbeitenden und Abteilungen kontinuierlich als Thema gesetzt werden. Gezielte Sicherheitsstrategien helfen dabei, sowohl die Personalabteilungen selbst als auch die anderen Mitarbeitenden vor Cyberattacken zu schützen.

HR als attraktives Hackerziel

Die Aufgaben und Zugriffsrechte von Personalabteilungen machen HR-Verantwortliche zu einem attraktiven Ziel für Cyberkriminelle. Die Mitarbeitenden in der Abteilung sind für die Verwaltung einer Vielzahl von personenbezogenen und extrem sensiblen Daten zuständig. Dazu gehören u.a. Namen, Adressen und Geburtsdaten. Zusätzlich sind die Personalabteilungen oftmals eng mit den Finanzabteilungen im Austausch, um Gehälter abzuwickeln. Außerdem müssen HR-Teams bei Bewerbungsprozessen Massen an E-Mails öffnen – inklusive Anhängen von fremden Personen.

Regelmäßig werden neue Taktiken bekannt, bei denen es Hacker mit Fake-Lebensläufen gezielt auf Personaler abgesehen haben. Durch das Öffnen der gefälschten E-Mail und/oder Anhänge kann Malware auf Ihre Unternehmenssysteme gelangen. Hacker erhalten dadurch Zugriff auf Ihre Unternehmensdaten oder können Ihre Systeme ausspionieren. Durch den Einsatz von Künstlicher Intelligenz werden die Anschreiben und Anhänge immer professioneller und sind in vielen Fällen nur durch kleine Tippfehler oder ungewöhnliche Absenderdetails von „echten“ Bewerbungen zu unterscheiden.

Angriffsformen im Personalwesen: Sie wurden gehackt!

Wie auch bei anderen Abteilungen sind Ihre HR-Verantwortlichen einer Vielzahl an potenziellen Cyberangriffen ausgesetzt. Die weitverbreitetsten Angriffsformen im Bereich HR Security sind:

  • Malware:
    Bei Malware-Angriffen kommen die eben beschriebenen gefälschten Anhänge zum Einsatz. Unter Malware versteht man schädliche Software, die dazu führt Geräte, Systeme und Netzwerke zu infiltrieren. Durch den Einsatz von Viren, Trojanern, Ransomware, Spyware und Adware können Hacker Daten stehlen, Systeme lahmlegen oder auch Benutzeraktivitäten überwachen.
  • Phishing:
    Phishing ist eine Methode des Social Engineering (eine Manipulationstechnik, bei der Angreifer menschliches Verhalten ausnutzen, um vertrauliche Informationen zu erhalten oder unbefugten Zugang zu Systemen zu erlangen), bei der Angreifer versuchen, sensible Informationen wie Benutzernamen, Passwörter oder Kreditkartendaten zu stehlen, indem sie sich als vertrauenswürdige Institutionen oder in diesem Fall als Bewerber:innen auf einen Job ausgeben. Dies geschieht häufig über gefälschte E-Mails oder Nachrichten, die den Anschein erwecken, von legitimen Quellen zu stammen. Ziel ist es, die Opfer dazu zu bringen, ihre vertraulichen Daten preiszugeben.
  • Lohnabrechnungsbetrug:
    Bei dieser noch relativ neuen Betrugsmasche, die ebenfalls auf Social Engineering basiert, wird versucht, die Gehaltsabrechnung von Ihren Mitarbeitenden auf ein anderes Konto umzuleiten.
  • Deepfake:
    Mithilfe von Künstlicher Intelligenz haben Hacker die Möglichkeit, Bewerbungsgespräche zu manipulieren. Stimmen oder ganze Personen können mithilfe von KI erstellt werden und in Bewerbungsgesprächen zum Einsatz kommen.

HR als Vermittler

Aufgrund der kontinuierlichen Bedrohung von potenziellen Hackerattacken ist es wichtig, dass die Personalabteilung in Ihrem Unternehmen über Cyberangriffe aufgeklärt ist und dieses Wissen auch weiter in Ihr Unternehmen trägt. Entsprechende Ressourcen sind dabei unerlässlich, um das Thema Cybersicherheit und HR Security in Ihren Unternehmensstrukturen und -prozessen zu setzen.

Die Sensibilisierung Ihrer Mitarbeitenden für Cyberrisiken kann u.a. durch Schulungen gewährleistet werden. In den Schulungen wird das Bewusstsein für Cybersicherheit geschärft, auf die aktuelle Bedrohungslage eingegangen und theoretisches Wissen an praktischen Beispielen und Aufgaben vertieft. Ein besonderer Fokus sollte bei den Schulungen auf dem Thema Social Engineering liegen, da der Faktor Mensch eine immer größere Rolle bei Cyberangriffen spielt.

Prozessoptimierung im Team

Prozesse CYBERsicher gestalten

Personalabteilungen begleiten den gesamten Lebenszyklus von Mitarbeitenden und haben dadurch eine entsprechende Verantwortung mit Blick auf die Daten und Zugriffsrechte Ihrer Mitarbeitenden.

Aber starten wir beim Onboarding neuer Mitarbeitender. Neben den bereits aufgeführten Angriffsmöglichkeiten, die sich primär auf den Einstellungsprozess fokussieren, ist es außerdem unerlässlich, dass Ihre HR-Verantwortlichen Bewerber:innen in sicherheitskritischen Positionen genauestens unter die Lupe nehmen. Eine Sicherheitsüberprüfung von u.a. Führungskräften oder Finanzverantwortlichen sollte ein fester Bestandteil der Bewerber:innenauswahl sein.

Beim Einstellen und Einarbeiten neuer Mitarbeitender ist die Verwaltung der Mitarbeitendendaten und die Vergabe von Zugriffsrechten ein nicht zu unterschätzender Faktor mit Blick auf die HR Security Ihres Unternehmens. Eine enge Zusammenarbeit von HR- und IT-Abteilung ist dafür unerlässlich. Strukturierte Prozesse und Klarheit über Zugriffsvergaberechte sind entscheidend, um Hackern das Leben so schwer wie möglich zu machen. So einfach es auch klingt: Jede:r Mitarbeitende darf nur Zugang zu Dokumenten und Systemen erhalten, die für seine oder ihre Arbeit wirklich erforderlich sind. Besondere Aufmerksamkeit verlangen externe Mitarbeitende wie Freelancer oder Zeitarbeitskräfte. Hier müssen Ihre Personal- und IT-Abteilung oder -Mitarbeitende sicherstellen, dass die Zugriffsrechte noch strikter vergeben werden. Generell, egal ob externe oder interne Mitarbeitende, muss außerdem ein Prozess etabliert sein, der gewährleistet, dass im Rahmen des Offboardings alle Zugriffsrechte entzogen und IT-Geräte direkt zurückgegeben werden.

Gemeinsam Cybersicherheit stärken

Damit IT-Sicherheit in Ihrem ganzen Unternehmen eine Rolle spielt, ist es wichtig, dass Sie Ihre Mitarbeitenden in der Personalabteilung für das Thema HR Security gewinnen und kontinuierlich passende Aufklärungsarbeit anbieten. Hinzukommt, dass die Angst oder die Scham vor Fehlern in der IT-Sicherheit genommen werden müssen. Eine offene und ehrliche Kommunikation ist entscheidend, um die Gefahren von Cyberangriffen aufzuzeigen und gleichzeitig das Thema praxisnah in Ihre Unternehmensabläufe und -prozesse zu integrieren. Personalverantwortliche können und sollten in der IT-Sicherheit eine Vorbildrolle einnehmen und aktiv in die Sicherheitsstrategie Ihres Unternehmens involviert werden.

Johanna Baldus

Verfasst von Johanna Baldus

Projektmanagerin Kommunikation

Diese News könnte Sie auch interessieren: