Attacken durch Insider Cyberattacken richten sich immer mehr gegen KMU. Auch das HR bietet Angriffsflächen dafür. Wo die HR-Schwachstellen liegen und wie HR sie vermeiden kann.
Cyberattacken richten sich immer mehr gegen KMU. Auch das HR bietet Angriffsflächen dafür. Wo die HR-Schwachstellen liegen und wie HR sie vermeiden kann.
Eine Schadsoftware kommt im HR oft harmlos daher: zum Beispiel als Bewerbung mit einem infizierten Anhang, sagt Rita Kaspar, Head of Human Resources, der auf Cyber Security spezialisierten Infoguard AG. Weitere Angriffsflächen böten HR-Management-Plattformen, manipulierte Websiten oder Anrufe von vermeintlichen Kandidaten, die Informationen für eine Cyberattacke einholen.
Beim Herunterladen von Schadsoftware bleibt es nicht bei der böswilligen Infektion der Infrastruktur. Immer häufiger fordern Cyberkriminelle Lösegeld für die Freigabe und Nichtveröffentlichung der Daten. «Sie wollen mit möglichst wenig Aufwand einen grösstmöglichen Erlös erzielen», sagt Pascal Lamia, Leiter Operative Cybersicherheit und Stellvertreter des Delegierten des Bundes für Cybersicherheit am Nationalen Zentrum für Cybersicherheit NCSC. Lösegeldforderungen sind ein lohnendes Geschäft: Gemäss der Human Risk Review 2021 des Cybersecurity Unternehmens SoSafe bezahlen rund 40 Prozent aller Firmen. Das führt zur Nachahmung: «Die Zahl der Angreifergruppen nahm deutlich zu, sagt Candid Wüest, Vice President des Cyber Protection Research bei Acronis.«Auch in der Schweiz», weiss Pascal Lamia: «2020 verzeichneten das NCSC ‹nur› 68 Meldungen, im laufenden Jahr waren es bis Ende Oktober bereits 143 Vorfälle.»
Sabotage durch Insider
«Viele Cyberattacken kommen auch durch Insiderwissen zustande», sagt Wüest. Das nicht nur, weil ahnungslose Nutzer versehentlich eine Ransomware herunterladen: «Erpresser rekrutieren Mitarbeitende und bieten ihnen eine finanzielle Beteiligung, wenn sie die Ransomware innerhalb des Firmennetzwerks starten.» Oft seien Cyberattacken aber erfolgreich, weil der Grundschutz nicht eingehalten werde, weiss Pascal Lamia. Doch was heisst das für ein KMU? «Ein guter Grundschutz bedeutet, Firewalls und Virenschutz einzurichten, regelmässig Updates zu machen und Back-ups zu erstellen. Zudem müssen diese Systeme regelmässig auf ihre Verwundbarkeit geprüft werden.» Daneben müssten Unternehmen gemäss Wüest auch den Authentifizierungsprozess der Mitarbeitenden verbessern: «Eine Mehrfach-Authentifizierung und die Datenverschlüsselung sind wichtig für eine Datenschutz-Strategie.»
Keine E-Mail-Bewerbungen
Um Cyberattacken zu verhindern, nutzt Infoguard in Bewerbungsprozessen eine Onlineplattform, welche die hohen Sicherheitsanforderungen der Firma erfüllt. «E-Mail-Bewerbungen nehmen wir nicht mehr entgegen», sagt Rita Kaspar. E-Mail-Filter und Warnsysteme sorgen beim Cyber-Security-Unternehmen zudem dafür, dass Phishing-Mails kaum mehr in die Mailboxen der Mitarbeitenden gelangen. Dennoch gibt es Täter, die auch solche Sicherheitssysteme austricksen. Deshalb sei es wichtig, Mitarbeitende in Sachen Cyber Security zu schulen: «Manipulierte E-Mails sind nicht immer einfach zu erkennen. Deshalb sollten Mitarbeitende dafür sensibilisiert werden. Das beginnt bei Infoguard schon im Onboarding.» Daneben stehe das HR in ständigem Kontakt zu internen Spezialisten, um die Datensicherheit im HR zu gewährleisten. Mitarbeitende zu schulen, ist auch für Lamia ein wichtiger Ansatzpunkt bei der Prävention von Cyberattacken. Das reicht aber nicht: «Um nach einer Cyberattacke den Betrieb aufrecht zu erhalten, sollten Firmen zudem einen Business Continuity Plan zur Hand haben.»
Datenschutz über die Grenzen hinweg
Betriebe, die ihre HR-Software outsourcen, müssen Dienstleistern künftig vermehrt Fragen stellen: Beispielsweise, wohin ihre Daten übermittelt werden Das, weil gemäss europäischer Datenschutz-Grundverordnung (DSGVO) Daten nur in Länder mit angemessenem Datenschutz übermittelt werden dürfen. Das heisst in solche, die auf der Liste des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) aufgeführt sind. «Wer keinen Schweizer Cloud Provider findet, sollte sich an diese Länder halten», empfiehlt Rita Kaspar. «Dazu gehören beispielsweise die EU-Mitgliedstaaten oder das Vereinigte Königreich.»
Das NCSC veröffentlicht auf seiner Website eine Vielzahl von Anleitungen und Checklisten, wie sich Privatanwender, Unternehmen oder Behörden vor Cyberbedrohungen schützen können.
Der Cyber Security Ratgeber 2.0 für Schweizer Unternehmer des Sicherheitsspezialisten InfoGuard, enthält Checklisten, wie Firmen ihr Unternehmen angriff sicherer machen. Dem Phishing-Poster ist zu entnehmen, wie man Cyber-Attacken erkennt.
Verschiedene Versicherungen bieten einen Schutz gegen Cyberattacken. So auch die Zurich Versicherung. Für KMU bietet der Versicherer zudem Cyber-Sicherheitstrainings und Beratungen.
Corinne Päper ist die Chefredaktorin des Fachmagazins für Personalverantwortliche, HR Today.