Cyberangriffe auf die Personalabteilung

Cyberangriffe gehören zu den grossen Gefahren für Privatpersonen und Unternehmen. Social Engineering ist im Besonderen für die Personalabteilung eine Risikoquelle. Mithilfe von Fake Mails versuchen Kriminelle, ihre Opfer zu verleiten, selbst Daten preiszugeben oder Programme auf ihren Systemen zu installieren, mit welchen die Täter Daten stehlen können.

Warum ist gerade die Personalabteilung beliebtes Ziel von Social Engineering?

Die Personalabteilung ist Herrin über unzählige Datensätze. Das macht sie zum beliebten Ziel von Cyberattacken. Hinzu kommt der simple wie schwerwiegende Fakt, dass in der Personalabteilung viele Mails von unbekannten Adressaten eingehen. Im Anhang befinden sich nicht selten Links zu Social Media-Profilen oder Dokumente und Daten. Gut gemachte Phishing Mails können da schon einmal durchrutschen. Der Schaden, der dadurch entstanden ist, ist laut eines Berichts in der Süddeutschen Zeitung enorm: Allein durch Manipulation von Kontodaten bestehender Geschäftskontakte wurden 2018 in München insgesamt rund 841 000 Euro auf inkriminierte Konten überwiesen.

Welche Formen von Social Engineering gibt es? Beispiele

• Beim Pretexting wird eine Situation inszeniert, die den Adressaten dazu bringen soll, dem Täter freiwillig Zugang zu sensiblen Daten oder geschützten Systemen zu gewähren. Zum Beispiel tarnt sich der Angreifer als IT-Mitarbeiter, um in den Besitz von Passwörtern zu kommen.

• Beim Baiting hinterlässt der Täter ein mit Malware infiziertes Gerät, das der unwissende Personaler findet und nichtsahnend an seinen Computer anschließt.

• Beim Quid pro quo-Angriff wird für einen Gefallen eine Belohnung versprochen.

• Phishing-Angriffe sind vielfältig, es können gefakte Geschäftsmails oder Spendenaufrufe sein.

• Spear-Phishing konzentriert sich auf bestimmte Personen oder Organisationen, verwendet persönliche Informationen, die spezifisch auf das Opfer zugeschnitten sind, um Vertrauen zu gewinnen.

Wie können Unternehmen sich schützen?

Was hier beim Lesen wenig bedrohlich klingt, ist für Unternehmen eine wachsende und durchaus reale Gefahr. Die Beispiele verdeutlichen, wie ausgefeilt die Täter arbeiten. Sie zeigen auch, dass jedes noch so gute Sicherheitssystem Lücken hat, die Social Engineering gnadenlos ausnützt. Diese Form der Internetkriminalität ist eine besonders perfide Spielart, weil sie auf die vermeintlich große Schwäche von Firewalls und Co setzt: auf den Faktor Mensch. Sie spielt mit Neugier, Unachtsamkeit, Unwissen.

Deshalb ist es umso wichtiger, nicht nur in den Aufbau von digitalen Schutzsystemen zu investieren, sondern in die Fortbildung der HR-Mitarbeiter. Diese müssen nicht nur für das Thema Cyberkriminalität sensibilisiert, sondern umfassend in deren Wirkung und Erscheinungsformen geschult werden. Wissen schützt nicht nur das Unternehmen, sondern auch seine Mitarbeiter. Diese Verantwortung muss die Personalabteilung übernehmen. Denn ist Social Engineering erfolgreich, ist der Schaden nicht nur monetär zu beziffern. Beschäftigte verlieren das Vertrauen in ihren Arbeitgeber, es kann zu Fluktuationen und einer Einschränkung der Produktivität kommen. Letztendlich können Marke und Arbeitgebermarke als Folge eines geglückten Cyberangriffs beschädigt werden. Um das zu vermeiden, sollten Mitarbeiter als erste Verteidigungslinie für die Unternehmenssicherheit betrachtet werden.

Hinweis: Aus Gründen der Lesbarkeit verzichten wir in diesem Text auf das Gendern.