IT-Sicherheit: So verhindern Sie, dass Ihre HR Software gehackt wird
Studien belegen: Angriffe von Cyberkriminellen auf Organisationen nehmen zu. Abgesehen haben es die Online-Attentäter meist auf sensible Geschäftsbereiche. Dazu gehört auch HR, weil hier personenbezogene Daten ausgespäht werden können. Welche Tricks sich Cyberkriminelle einfallen lassen und wie sich Unternehmen schützen können. Praktische Tipps für Ihre IT-Sicherheit.
Software Report: HR Software setzt sich zunehmend durch
Die Zahl der Bereiche, in denen Geschäftsabläufe digitalisiert werden, steigt. Auch in HR setzen sich Software-Anwendungen zunehmend durch. Effiziente Personalarbeit ist in vielen Bereichen ohne unterstützende IT inzwischen undenkbar geworden.
Laut HR Software Report 2017, den das österreichische HR Magazin “Personalmanager” gemeinsam mit den Netzwerkportalen HRM.at, HRM.de und HRM.ch durchgeführt hat, setzen bereits 84 Prozent der Personaler gezielt HR Software ein, um das Human Resources Management ihres Unternehmens zu verwalten.
Dabei geben 77 Prozent der 150 befragten Personaler an, dass HR Software für eine erfolgreiche Personalarbeit entscheidend ist, nur noch sechs Prozent schätzen die digitalen Helfer dagegen als “unwichtig” ein. Das verwundert nicht. Denn HR-Prozesse können mit IT-Unterstützung erheblich schneller und effizienter abgewickelt werden, was den ohnehin überlasteten HR-Abteilungen letztlich mehr Zeit verschafft, sich um strategische Aufgaben zu kümmern.
IT-Sicherheit in Gefahr: Die Bedrohung aus dem Netz
Allerdings erhöht sich mit jeder neuen Implementierung IT-basierter Funktionen auch die Anfälligkeit von Wirtschaftssystemen. Und dass in punkto IT-Sicherheit entscheidender Nachholbedarf besteht und Cybercrime für Unternehmen längst zu einer realen Gefahr geworden ist, belegt eine repräsentative Studie des Digitalverbands Bitkom.
Laut dieser sind zwischen den Jahren 2013 und 2015 die Hälfte aller Unternehmen in Deutschland mindestens einmal Opfer von digitaler Wirtschaftsspionage, Datendiebstahl oder Sabotageakten geworden. In der Industrie sind die Zahlen sogar noch höher.
Hier berichten satte 69 Prozent der vom Verband befragten Unternehmen von einem Vorfall in den vergangenen zwei Jahren. Den dadurch entstandenen gesamtwirtschaftlichen Schaden beziffert der Verband auf rund 22,35 Milliarden Euro pro Jahr.
KMU’s haben die schlechtesten Konzepte zur IT-Sicherheit
KMUs geraten ebenso häufig ins Fadenkreuz der Hacker wie Großkonzerne. Doch während gerade die großen Player wie Automobilhersteller oder Banken zumindest bereits sehr stark für die Gefahren des Cybercrime sensibilisiert sind, fehlt es in vielen mittelständischen Betrieben noch am nötigen Problembewusstsein.
Doch Unwissenheit schützt vor Cyberattacken nicht. Und obwohl die Gefahr aus dem Netz sekündlich zunimmt, sind nur die wenigsten Unternehmen für den Ernstfall gerüstet. Im Gegenteil nimmt der Schutz in der Tendenz sogar ab. Laut dem “Cisco Annual Security Report 2016” sank die Zahl der Unternehmen mit einer optimalen Sicherheits-Infrastruktur, die sich auf dem neuesten Stand befindet, von 2014 auf 2015 sogar um zehn Prozent.
Wie sehen Attacken auf die IT-Sicherheit konkret aus?
Parallel dazu werden die Methoden, die sich Cyberkriminelle einfallen lassen, immer dreister. Für das Auslesen von Daten brauchen die Angreifer inzwischen in der Regel nur noch Minuten. Wird der Angriff nicht ad hoc erkannt, ist die Chance, die Täter zu erwischen verschwindet gering. Denn ebenso schnell wie sie angreifen, gelingt es ihnen auch, ihre Spuren wieder zu verwischen.
Die aktuell größte Gefahr geht von so genanntem E-Mail-Spoofing oder Denial-of-Service-Angriffen (DDoS) aus. Bei einem E-Mail-Spoofing-Angriff kaschiert eine E-Mail ihren wahren Absender, indem sie diesen durch den einer vertrauenswürdigen Person ersetzt.
Vorsicht vor E-Mail-Spoofing und Denial-of-Service-Angriffen (DDoS)
Die Masche läuft wie folgt ab: Die Betrüger schreiben zum Beispiel eine E-Mail an einen HR-Verantwortlichen eines Unternehmens und geben sich darin als dessen Chef aus. Absenderadresse, Signatur – alles scheint authentisch.
In Wahrheit ist die Nachricht aber nichts anderes als ein großer Bluff: Die E-Mail stammt nicht aus dem hauseigenen System, sondern wurde über ein Netz verschiedenster globaler Server verschickt, was die Rückverfolgung praktisch unmöglich macht.
Der Inhalt der Mail ist darauf ausgerichtet, den HR-Expertem dazu zu bringen vertrauliche personenbezogene Daten herauszugeben oder erfolgskritische Erhebungen des Unternehmens. Unternehmensziele, Bilanzen oder dergleichen.
Malware ist mit wenigen Klicks im System
Bei einer anderen E-Mail-Masche versenden die Betrüger Anhänge, die als Dokumente kaschiert sind. Der Klick darauf löst den Implementierungsprozess eines Malware-Tools aus, das entweder darauf ausgerichtet ist, das IT-System zu beschädigen oder Informationen auszuspähen. So gelangen personenbezogene Daten in Sekundenschnelle in die falschen Hände.
DDoS-Angriffe sind hingegen darauf ausgerichtet, einen Online-Dienst durch eine regelrechte Flut plötzlicher Online-Zugriffe unbrauchbar zu machen. Das kann zum Beispiel das Bewerbermanagement-System betreffen. Eine DDoS-Attacke führt dazu, dass das Zielsystem nicht mehr antwortet, was lange Verzögerungen und Ausfälle nach sich ziehen kann.
Malware lässt sich aus dem Netz herunterladen
So können Bewerber zum Beispiel nicht mehr den Bewerbungsprozess starten und springen möglicherweise genervt ab. Nicht immer ist eine externe Attacke für den Verbraucher oder Anwender zu erkennen. Sowohl die Zahl als auch die Schlagkraft der DDoS-Attacken steigen an.
Die Krux: Es war noch nie so einfach, DDoS-Attacken zu starten. Täglich werden zig leicht zugängliche Toolkits aus dem Internet heruntergeladen und DDoS-Angriffe auf Unternehmen durchgeführt.
Die Beispiele zeigen: IT-Sicherheit ist nicht allein die Angelegenheit einer guten Firewall und Virenprogramms. Im Prinzip kann jeder Mitarbeiter Opfer eines Angriffs werden. Insofern sollten Unternehmen nicht nur auf Sicherheits-Soft- und Hardware setzen, sondern auch ihre Mitarbeiter bei diesem wichtigen Thema ins Boot holen und sie regelmäßig dazu schulen, wie sie ihre eigenen Daten und die des ganzen Unternehmens schützen können.
IT-Sicherheit setzt eine optimale IT-Infrastruktur voraus
Auch sollte die bestehende IT-Infrastruktur im Haus untersucht werden. Ist zum Beispiel ein optimaler Standardisierungs- und Automatisierungsgrad aller HR-Prozesse gegeben? Das Prinzip dahinter: Je höher der Grad der Standardisierung, umso leichter und vor allen Dingen schneller lassen sich Fehler oder Unregelmäßigkeiten in einem Prozess feststellen.
Derweil sollte aber auch die Gefahr, die von internen Bedrohungen ausgehen kann, nicht unterschätzt werden. Leider sind aktuelle und ehemalige Mitarbeiter eine oftmals nicht zu unterschätzende Quelle schädlicher Handlungen gegenüber einem Unternehmen. Daher gehören zu einem funktionierenden IT-Sicherheitskonzept auch Kontrollen, die einen internen Betrug verhindern.
Das betrifft die folgenden Zielgruppen:
- aktuelle und ehemalige Mitarbeiter
- aktuelle und ehemalige Geschäftspartner
- aktuelle und ehemalige Lieferanten
Die Bedeutung einheitlicher Sicherheitsrichtlinien
Um sich intern abzusichern, sollten Unternehmen einheitliche Sicherheitsrichtlinien vereinbaren und einhalten.
- Systemzugriffe sollten für jeden Mitarbeiter nur für die Bereiche gewährt werden, die für den einzelnen Mitarbeiter relevant sind. So kommen ihm nur die Daten zu Gesicht, die er auch wirklich sehen darf. Ansonsten besteht die Gefahr, dass Interna ausgespäht werden.
- Nur eine begrenzte Anzahl von Mitarbeitern sollte befugt sein, Systemaccounts zu vergeben.
- Der Erlaubnisprozess zur Eröffnung eines neuen Mitarbeiteraccounts sollte mehrstufig geregelt sein.
- Besonders unternehmenskritische Prozesse sollten an ein mehrstufiges Genehmigungsverfahen gekoppelt sein, das gilt zum Beispiel für das Löschen von Daten.
Gefahren, die von ehemaligen Mitarbeitern ausgehen
Um die Gefahr, die von ehemaligen Mitarbeitern, die eine schädliche Handlung planen, einzudämmen, können IP-Restriktionen vorgenommen werden, durch die der Zugriff für eine bestimmte IP-Adresse, einen Bereich von IP-Adressen oder Domänennamen zugelassen bzw. abgelehnt werden.
Sie haben dann keine Chance mehr, sich mit einer für das System unbekannten IP-Adresse einzuloggen. Des Weiteren sollten Unternehmen regelmäßig die Zugriffsrechte einzelner Nutzer auf “Karteileichen” durchforsten und veraltete Zugänge eliminieren.
Organisationen sollten überdies sicherstellen, dass tägliche Datenbackups vorgenommen werden und sich damit auseinandersetzen, welche IT-Sicherheitslösung zu diesem Zweck für ihre IT Infrastruktur geeignet ist. Fazit: Unternehmen, die die richtigen Tools und Prozesse miteinander kombinieren, können die Risiken im Vorfeld erheblich minimieren.