Eine Art der Internetkriminalität

Cyberkriminelle haben jetzt auch das HR-Business erreicht. Phishing-Mails werden zum Beispiel im Namen der Personalabteilung versandt, um Trojaner auf dem Rechner zu platzieren und Daten zu stehlen. Corona hat diese Entwicklung noch verstärkt. Da viele Mitarbeiter im Home Office arbeiten und die interne Kommunikation sich in digitale Richtung verschoben hat, boomte auch die Internetkriminalität und der Datenklau.

Was ist Phishing?

Der Begriff Phishing entstammt nicht originär der HR-Welt. Übersetzt heißt er „nach Passwörtern angeln“. Dabei versuchen Kriminelle, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internetnutzers zu kommen und diese zu missbrauchen.

Warum ist das für Personalabteilungen wichtig?

Nicht nur aber besonders in Zeiten der Pandemie und des Lockdowns erreichte viele Mitarbeiter im Home Office eine Mail, die angeblich von der Personalabteilung gesandt worden war. In ihnen wurden angebliche Änderungen in personalorganisatorischen Fragen wie die Krankengeldberechnung angerechnet mit der Bitte, den Anhang für weitere Informationen zu öffnen oder den Antrag auszufüllen. Besagter Anhang war ein Trojaner. Das ist nicht neu, schon im Vorfeld gab es Phishing-Mails, die gezielt an Jobsuchende versandt worden sind. Der vermeintliche Absender: Ein großes Unternehmen. Der vermeintliche Inhalt: Ein Stellenangebot. Der echte Inhalt: ein Trojaner.

Auch Personalabteilungen selber sind oftmals Ziele von Phishing-Kampagnen und sogenannten Social-Engineering-Angriffen. Das sind Angriffe, die darauf abzielen, Menschen dazu zu bringen, eine Aktion im Namen eines Angreifers durchzuführen, zum Beispiel, indem um „Übersendung von Ihren Informationen und Unterlagen“ gebeten wird. Nicht selten wurden auf diese Weise bereits Mitarbeiterdaten gestohlen und unter anderem für gefälschte Steuererklärungen verwendet. Der Schaden, der durch Phishing entstanden ist, ist laut eines Berichts in der Süddeutschen Zeitung enorm: Allein durch Manipulation von Kontodaten bestehender Geschäftskontakte wurden 2018 in München insgesamt rund 841 000 Euro auf inkriminierte Konten überwiesen.

Diese Beispiele zeigen, wie brisant das Thema und wie angreifbar die Personalabteilung als Hüterin der Daten ist. Sie muss ihre Verantwortung erkennen und die Mitarbeiter und das Unternehmen vor Datenmissbrauch und Cyberkriminalität schützen. Tut sie das nicht, riskiert sie:

• Schäden für Brand und Employer Branding

• einen Vertrauensverlust der Mitarbeiter

• Abwanderung von Mitarbeitern

• Einbußen bei der Mitarbeiter-Motivation

• wirtschaftliche Schäden

Maßnahmen gegen Phishing

• Eine der wichtigsten Maßnahmen ist die Aufklärung. Sowohl die Mitarbeiter der Personalabteilung als auch die der anderen Abteilungen müssen für das Thema Phishing sensibilisiert werden. Eine interne Awareness-Kampagne oder ein Leitfaden zum Umgang mit Mails können sinnvolle Maßnahmen im Kampf gegen die Fake-Mails sein. Eine enge Zusammenarbeit mit der IT ist dafür die Voraussetzung

• Schulung von Personalverantwortlichen und Initiierung von Security-Awareness-Programmen

• Ausbildung von Social Media-Beauftragten in der Personalabteilung. Social Media birgt für Personalverantwortliche ein hohes Gefahrenpotential. Ein Beispiel: Nicht selten erhalten Personaler Mails mit Links zu LinkedIn oder Xing-Profilen. Dahinter kann sich ein Phishing-Angriff verbergen

• Erarbeitung von Prozessen, Tools und Handlungsmustern in Zusammenarbeit mit der IT, um ein mehrschichtiges Sicherheitssystem in der Personalabteilung zu installieren

Sensibilität und Vorbildfunktion

Nur wenige Unternehmensbereiche sind so gut vernetzt im Corporate Kosmos wie der der HR. Diese gesonderte Stellung verleiht der Personalabteilung eine Vorbildfunktion. Thematisiert sie das Thema Datensicherheit, erhält es eine zusätzliche Relevanz für die Mitarbeiter, es erhält Aufmerksamkeit. Aber dafür muss sie ihre Schlüsselfunktion und die Verantwortung, die sie hat, erkennen und nutzen. Prävention kann großen Schaden verhindern. Agieren ist besser als reagieren.

Hinweis: Aus Gründen der Lesbarkeit verzichten wir in diesem Text auf das Gendern.