Cybersecurity im HR-Bereich: So schützen Sie sensible Daten

Cybersecurity und der Schutz sensibler Daten sind nicht alleinige Angelegenheiten der IT-Abteilung. Auch das HR spielt eine wichtige Rolle, da es aufgrund der Art der verarbeiteten Daten besonders gefährdet sein kann. Erfahren Sie hier, wie Personalabteilungen die Cyber-Risiken verringern können und warum Cybersicherheit zu priorisieren ist.

Cybersecurity: wo steht die schweiz?

Gemäss der Studie PwC Digital Trust Insights betrachten 65 % der hiesigen Firmen Cybersicherheit als oberste Priorität, im Vergleich zu 43 % weltweit.

In den vergangenen drei Jahren hat jedes vierte Unternehmen eine Datenschutzverletzung erlebt, was Kosten zwischen 1 und 20 Millionen Franken verursachte. Nur 14 % der befragten Unternehmen berichteten von keinerlei Verletzungen.

Und die Schweiz ist ein begehrtes Ziel für Cyberangriffe: Laut dem Global Cyber Security Index der Internationalen Fernmeldeunion (ITU) belegt die Schweiz nur den 42. Platz, hinter Tansania oder Kasachstan. Dies unterstreicht die Dringlichkeit, dass in der Schweiz weitere präventive Massnahmen zur Risikominderung getroffen werden sollen.

warum ist cybersecurity für personalabteilungen so wichtig?

Die IT ist zwar verantwortlich für eine effektive Cybersicherheit, die alleinige Verantwortung liegt aber nicht bei ihr. HR-Abteilungen stehen diesbezüglich besonders im Fokus, da sie mit sensiblen Personen- und Unternehmensdaten arbeiten.

Personalabteilungen verfügen über Informationen von Mitarbeitenden, die normalerweise nicht öffentlich zugänglich sind, darunter Bankverbindungen, AHV-Nummern, Familiendaten und vieles mehr. Ein potenzieller Angreifer, der sich Zugang zu diesen Daten verschafft, kann die Identität leicht missbrauchen und sich online als eine andere Person ausgeben. 

Auch scheinbar «harmlose» HR-Daten wie Organisationsstrukturen oder Hierarchien können für Angreifer interessant sein. Sie können sich so zum Beispiel als Vorgesetzten ausgeben und Anweisungen geben, die eher befolgt werden. Je mehr Insider-Wissen ein Angreifer hat, desto einfacher wird es für ihn. Daher ist es wichtig, dass Personalverantwortliche für dieses Thema kontinuierlich sensibilisiert und geschult werden.

wie können hr-abteilungen die it im Bereich Cybersecurity unterstützen?

Neben der Sensibilisierung für Cyberrisiken kann die Personalabteilung die IT bei der Klassifizierung von Daten und der Festlegung von Zugriffsrechten unterstützen.

In vielen Sicherheitssystemen ist es möglich, den Umgang mit verschiedenen Daten präzise zu steuern. Dies umfasst beispielsweise Regelungen darüber, was aus einem System kopiert, gedruckt oder per E-Mail versendet werden darf. Hierbei ist es wichtig, dass Personalverantwortliche die Daten genau einstufen, damit entsprechende Einstellungen von der IT vorgenommen werden können. Je sensibler die Daten sind, desto strenger müssen die Schutzmechanismen sein.

Zudem sollten Personalverantwortliche klar definieren, wie mit Zugriffsrechten umgegangen wird bei Eintritt neuer Mitarbeitender oder beim Ausscheiden aus dem Unternehmen, da nicht jeder Mitarbeitende die gleichen Rechte benötigt. Es wird zudem empfohlen, dass Vorgesetzte die Zugriffsrechte regelmässig, mindestens einmal jährlich, auf Aktualität überprüfen.

welche angriffe betreffen hr-abteilungen am häufigsten?

Laut dem jüngsten Verizon Data Breach Investigations Report gehen 85 % der Datenschutzverletzungen auf menschliche Fehler zurück. Dies ist Cyberkriminellen bewusst – so hat sich Phishing als bevorzugte Methode etabliert, um an vertrauliche Daten zu gelangen. Dabei versuchen die Cyberkriminellen, Mitarbeitende mit gefälschten E-Mails oder betrügerischen Webseiten dazu zu bringen, sensible Informationen wie Passwörter oder Personendaten preiszugeben.

HR-Abteilungen sind zudem häufig von gefälschten Bewerbungen betroffen. Diese sehen zwar legitim aus, enthalten aber im Anhang Malware (schädliche Software), die getarnt als Dokument heruntergeladen wird und den Zugriff auf sensible Daten erleichtert. Identitätsdiebstahl ist eine weitere Taktik von Hackern, um Personalabteilungen zu täuschen. Mittels E-Mail-Spoofing, bei dem sich der Angreifer als Mitarbeitender des Unternehmens ausgibt, kontaktieren sie Personalabteilungen, um an sensible Informationen zu gelangen (z.B. «Welche Bankverbindung ist bei euch hinterlegt?»).

so verringern unternehmen das risiko vor cyberangriffen

Menschliches Versagen ist die häufigste Ursache für Datenlecks. Der wirksamste Schutz ist daher die Sensibilisierung der Mitarbeitenden, weswegen Unternehmen in regelmässige Schulungen investieren sollten.

Wichtige Stichworte in diesem Zusammenhang sind auch die periodische Änderung von Passwörtern und die Multi-Faktor-Authentifizierung. Arbeitgeber sollten ihren Mitarbeitern empfehlen, lange Passwörter (mehr als 15 Zeichen) zu benutzen und diese nicht für verschiedene Logins wiederzuverwenden. Für einen erhöhten Schutz lohnt sich der Einsatz von Passwort-Managern oder die Aktivierung der Zwei-Faktor-Authentifizierung.

Sind Sie interessiert an weiteren Recruiting-Themen? Dann melden Sie sich an zur 12. Recruiting Convention Zürich – am 3. Oktober 24 im Lake Side. www.recruitingconvention.ch.