So können sich Personalabteilung vor Social-Engineering schützen

E-Mail-Posteingänge sind ein virtueller Spielplatz für Cyberkriminelle. Trotz all der technischen Raffinesse, die Sicherheitsexperten in E-Mail-Filtersoftware und andere Sicherheitstools integriert haben, um Cyberkriminelle fernzuhalten, können einige bösartig gestaltete E-Mails – Phishing-E-Mails – mühelos an diesen Blockaden vorbei und direkt in den Posteingang gelangen. Sicherheitsexperten erkennen dies an und geben typischerweise Ratschläge wie „Klicken Sie nicht auf die E-Mails eingebettete Links,“ „Öffnen Sie keine Anhänge von Personen, die Sie nicht kennen“ und dergleichen.

 

Personalabteilungs-Profis schwimmen in gefährlichen Gewässern

Während einige Abteilungen innerhalb eines Unternehmens den Luxus haben, durch alles zu navigieren, was etwas zweifelhaft aussieht, öffnen Profis aus der Personalabteilung oft E-Mails und Anhänge aus unbekannten Quellen – sie müssen es, es ist ihre Aufgabe. Und das bedeutet, dass sie der wachsenden Gefahr ausgesetzt sind, Opfer von Social-Engineering-Angriffen zu werden (Angriffe, die darauf abzielen, Menschen dazu zu bringen, eine Aktion im Namen eines Angreifers durchzuführen). So posieren Cyberkriminelle beispielsweise als Bewerber im Rahmen einer Phishing-Kampagne, um Opfer in den Personalabteilungen von Unternehmen mit Ransomware zu infizieren – und sie stellen sogar ein Anschreiben zur Verfügung, um Mitarbeiter aus der Personalabteilung in ein falsches Gefühl von Sicherheit zu versetzen. In diesen Fällen muss der Angreifer nicht unbedingt jeden Anhang oder Link mit Malware verknüpfen – er mischt gutartige und bösartige Anhänge und Links in derselben Nachricht, um ein virtuelles Minenfeld zu schaffen, das wie „business as usual“ aussieht und sich anfühlt. Tatsächlich schwimmen Mitarbeiter der Personalabteilung täglich in gefährlichen Gewässern.

Um diesem Zusammenhang etwas näher zu kommen, wurde beispielsweise der Hersteller Seagate von seinen eigenen Mitarbeitern nach einem erfolgreichen Online-Phishing-Betrug verklagt. Die personenbezogenen Daten von 10.000 bestehenden und ehemaligen Mitarbeitern wurden von Cyberkriminellen gestohlen und zur Abgabe gefälschter Steuererklärungen verwendet. Wie ist die Datenschutzverletzung passiert? Ein Mitarbeiter im Personalwesen fiel auf eine Social-Engineering-Technik herein, die ihn davon überzeugte, die Informationen an Kriminelle zu senden. Die Mitarbeiter reichten Klage mit der Begründung ein, dass das Unternehmen ihre Daten nicht ausreichend geschützt habe.

 

Maßnahmen für Personalabteilungen

Welche Maßnahmen können also Mitarbeiter und Personalabteilungen ergreifen, um sich vor solchen Bedrohungen zu schützen? Es gibt vier grundlegende Strategien, die ein Unternehmen in kurzer Zeit umsetzen kann, um etwas Hilfe zu leisten:

Strategie 1: Sicherstellen, dass Personalabteilung und IT einen kollaborativen Ansatz verfolgen

Diese erste Strategie ist der Baustein für alles andere. Die Personalabteilung muss erkennen, dass sie eine wichtige Rolle für die gesamte Sicherheit des Unternehmens spielt. Dies liegt nicht nur daran, dass Personalabteilungsmitarbeiter ein potenzieller Angriffsvektor sein können, sondern auch daran, dass Personalabteilungen eine entscheidende Rolle dabei spielen, den Ton und die Kultur eines jeden Unternehmens zu bestimmen. Während viele Mitarbeiter das IT-Security-Team als eine Gruppe von „Außenstehenden“ sehen, die ihnen Regeln und Einschränkungen auferlegen, wird die Personalabteilung oft als eine „innere“ Gruppe angesehen, die dazu beiträgt, die Interessen des Unternehmens und seiner Mitarbeiter zu wahren.

Allein die Tatsache, dass die Personalabteilung als sichtbarer Partner oder Sponsor für das Security-Awareness-Programm eines Unternehmens fungiert, kann dazu beitragen, ein tieferes Verständnis von Mitarbeiterbeteiligung für sicherheitsrelevante Themen zu fördern.

 

Strategie 2: Einführung von Trainingsprogrammen zur Sensibilisierung für Sicherheit und deren Relevanz und Einprägung

Sicherheitsbewusstsein und -schulung sind ein wesentlicher Bestandteil des Cybersicherheitsprogramms jeder Organisation. Denn die Handlungen der Mitarbeiter wirken sich direkt auf den Sicherheitsstatus einer Organisation aus. Menschen sind eine Ebene innerhalb der Verteidigung und Offensive des Sicherheitsprogramms. Und während die meisten Unternehmen eine Art Sicherheitsbewusstseinsbildung betreiben, werden die spezifischen Herausforderungen, die mit bestimmten Rollen wie dem Personalwesen verbunden sind, oft übersehen.

Ein gezieltes Sicherheitsbewusstsein und die Schulung von Personalverantwortlichen sind entscheidend. Personalverantwortliche können mit der IT zusammenarbeiten, um sicherzustellen, dass dieses Training in das übergreifende Sicherheitsbewusstsein des Unternehmens einbezogen wird. Und wenn die Organisation noch kein Security-Awareness-Training durchführt, ist die Personalabteilung in der Lage, die Anklage zu leiten. Zusätzlich zu den traditionellen Themen, die in traditionellen Security-Awareness-Programmen behandelt werden (z.B. Compliance, sicheres Datenhandling, etc.), sollten spezifische Szenarien einbezogen werden. So sollten beispielsweise immersive Szenarien und simulierte situative Angriffe und Rollenspiele, die spezifisch für die Aufgaben des Mitarbeiters der Personalabteilung sind, stärker in den Vordergrund gestellt werden.

 

Strategie 3: Ausbildung von Personalverantwortlichen zur sicheren Nutzung von Social-Media

Die Nutzung von Social-Media durch Profis aus der Personalabteilung kann sich als Goldmine für Cyberkriminelle herausstellen. Unternehmen sollten sicherstellen, dass ihre Security-Awareness-Trainings und -szenarien ihren Personalabteilungsmitarbeitern helfen, darüber nachzudenken, wie die Daten, die sie auf Social-Media veröffentlichen, für einen potenziellen Angreifer nützlich sein könnten. Dies kann bedeuten, dass ihre Mitarbeiter aus der Personalabteilung die Personen, die sie als „Freunde“ akzeptieren, auf einigen Social-Media-Plattformen einschränken oder nur über eine begrenzte Anzahl von berufsbezogenen Themen auf anderen „posten“. Es kann auch bedeuten, dass sie einen interessanten Artikel nicht über ihr persönliches LinkedIn-Konto teilen, sondern ihn stattdessen über ein allgemeineres „Firmenkonto“ teilen.

Da Mitarbeiter in der Personalabteilung oft E-Mails mit einem Link zum XING- oder LinkedIn-Profil (oder einer anderen Jobbörse) eines Kandidaten erhalten, sollten sie den Link immer noch einmal überprüfen, um sicherzustellen, dass er tatsächlich zur richtigen Seite geht. Oder noch besser, sollten sie zur Website navigieren und eine manuelle Suche nach dem Kandidaten durchführen.

 

Strategie 4: Eine mehrschichtige Verteidigung haben

Da keine einzige Verteidigungsebene kugelsicher ist, sollte die Personalabteilung ein Befürworter der Zusammenarbeit mit der IT sein, um eine starke, vielschichtige Verteidigung zu schaffen, die Menschen, Prozesse und Technologien umfasst. Wie im Fall Seagate zu sehen ist, sind Unternehmen gesetzlich dazu verpflichtet, ihren Mitarbeitern einen angemessenen Schutz vor Bedrohungen zu bieten.

Personalabteilungen können ein Befürworter für ein robustes Security-Awareness-Training, Verhaltenskonditionierung und den Einsatz von einfach zu bedienenden, sicherheitsfördernden Technologien innerhalb des Unternehmens sein. Die Personalabteilung kann mit der IT zusammenarbeiten, um die spezifischen Bedürfnisse der verschiedenen Abteilungen zu verstehen. Sie kann dabei helfen zu verstehen, wie neue Tools, Prozesse oder Schulungen dazu beitragen können, die allgemeine Sicherheitslage des Unternehmens zu verbessern. Die Idee dabei ist nicht, dass eine einzelne Schicht eine narrensichere Verteidigung ist – sondern dass alle Schichten zusammen die Wahrscheinlichkeit eines erfolgreichen Angriffs drastisch reduzieren und dazu beitragen können, die potenzielle Gefahr durch einen Fehler zu mildern.

Fazit

Perry Carpenter -Chief Evangelist and Strategy Officer von KnowBe4

Der Sicherheits-Rüstungswettlauf bedeutet, dass keine Verteidigungsebene zu 100 Prozent effektiv ist. Angreifer haben immer wieder gezeigt, dass man defensive Technologien austricksen kann. Angesichts dieser Realität müssen Unternehmen fleißig daran arbeiten, ihre „menschliche Firewall“ zu stärken, um als effektive letzte Verteidigungslinie zu dienen. Die Personalabteilung kann dazu einen Beitrag leisten, indem sie eine aktive Stimme und Unterstützerin des übergreifenden Sicherheitsbewusstseins und der Trainingsmaßnahmen des Unternehmens ist. Und wenn sie sicherstellt, dass risikoreiche Rollen wie die Personalabteilung gezielt geschult werden. Die Personalabteilung kann sowohl leiten als auch an den Bemühungen teilnehmen, sicherzustellen, dass die Organisation die Mitarbeiter effektiv schult und an der Schaffung einer sicherheitsbewussten Kultur arbeitet. Dies hat den zusätzlichen Vorteil, dass Organisationen und Mitarbeiter widerstandsfähiger gegenüber Cyberattacken werden.

Von Perry Carpenter, Chief Evangelist & Strategy Officer bei KnowBe4

#Netzpalaver #KnowBe4