Aktuelle Ausgabe

Newsletter

Abonnieren

So schützen Sie sich vor Cyber-Attacken

Ein Laptop mit einem Zahlenschloss davor.
Der HR-Bereich hat Kontakt zu vielen sensiblen Daten und ist somit ein beliebtes Ziel für Hacker-Angriffe. Wir haben 12 Tipps für den Umgang mit Cyber-Attacken zusammengestellt.

Für das reibungslose Funktionieren eines Unternehmens ist die Sicherheit der Firmendaten mindestens genauso wichtig wie die richtige Unternehmensstrategie. Im schlimmsten Fall kann ein Cyber-Angriff den Betrieb lahmlegen und sogar dessen Existenz bedrohen. Firmen aller Branchen müssen sich immer öfter mit den Folgen dieser Angriffe auseinandersetzen. Alleine in den vergangenen zwei Jahren ist deutschen Unternehmen laut den Internet-Verbänden Bitkom und Eco durch Cyber-Attacken ein Schaden von 40 bis über 100 Milliarden Euro entstanden.

Einfallstore: Mails und Bewerbungen 

Schauen wir genauer in die Unternehmen: Die IT-Abteilung oder – im Falle des Betriebs von Software in der Cloud – der Cloud-Anbieter sind für die IT-Sicherheit und damit den Schutz vor Hackerangriffen zuständig. Gelingt ein Angriff, müssen Notfallkonzepte zur Verfügung stehen. Eines der Haupteinfallstore für Angriffe auf Datenbestände des Unternehmens sind allerdings immer noch Mails und Bewerbungen. Und nach wie vor ist es der Mensch, der meist das schwächste Glied innerhalb der Sicherheitskette ist. Deshalb müssen, da sind sich alle Experten einig, die Mitarbeiter ständig im Erkennen möglicher Gefahrenquellen sensibilisiert werden. Das ist sowohl ein Thema für Führungskräfte als auch für HR.

Und tatsächlich: Mittlerweile haben die Risiken und Bedenken beim Thema Cyber-Sicherheit bei Führungskräften und Vorständen die größte Priorität. Das geht etwa aus einem Report von Willis Towers Watson mit der Anwaltskanzlei Allen & Overy hervor. Auch der aktuelle Pulse Report 2018 der Financial Times Corporate Learning Alliance fand heraus, dass das Thema Cyber-Security für rund die Hälfte aller deutschen Führungskräfte vor dem Thema Digitalisierung als mittlerweile größte Herausforderung rangiert.

Oberste Priorität in der Aus- und Weiterbildung 

Das schlägt auch auf die Weiterbildungsprioritäten durch: Immerhin 61 Prozent der Führungskräfte bewerten die Weiterbildung auf dem Gebiet Risiko- und Reputationsmanagement als höchste Dringlichkeit und damit als Schlüsselqualifikation. Das fordert von den Unternehmen, IT-Security- Experten und Daten-Forensiker auszubilden. Susanne Dehmel, Mitglied der Geschäftsleitung im Bitkom dazu: “Qualifiziertes Personal im Bereich IT-Sicherheit ist sehr gefragt. Investitionen in Fachkräfte lohnen sich hier besonders.”

Intensive Schulungen und eine Sensibilisierung von Mitarbeitern über die Risiken möglicher Angriffstechniken und Szenarien können die Lage entschärfen. Außerdem müssen Richtlinien und Verhaltensmaßnahmen im Betrieb vorhanden sein, um alle Mitarbeiter auf den Ernstfall vorzubereiten.

Angriffsziele: HR und Vertrieb

Alexander Vukcevic ist Leiter des Avira Protection Labs. Nach seiner Erfahrung nehmen vor allem die sogenannten Advanced Persistant Threats (Angriffe, die auf spezifische User oder auch Firmen zugeschnitten sind) stark zu. “Hierbei geht es vornehmlich um personalisierte E-Mails. Oft sind Dateianhänge die Gefahrenquellen”, weiß er aus seiner langjährigen Praxis. “Klassische Angriffsziele in Unternehmen sind vor allem HR und die Vertriebsabteilungen. Gerade in der Personalabteilung wird häufig mit Dateien unterschiedlichster Art, seien es PDFs oder Word-Dateien, gearbeitet.”

Auch sein Kollege Lars Kroll, Cyber Security Strategist bei Symantec Deutschland, betont die neue Verantwortung von HR: “Unternehmen sollten hier mehr in die Ausbildung und das Training ihrer Mitarbeiter investieren.” Aber die Erwartungen an die Mitarbeiter müssten realistisch sein: “Im Zuge von gezielten Angriffen werden E-Mail-Accounts übernommen und anschließend Phishing-Mails versendet, die von einer legitimen Nachricht nicht mehr zu unterscheiden sind.” Darüber hinaus, so Kroll eindringlich, müsse Sicherheit als Unternehmensziel erkannt und implementiert werden: “Hier ist die Führungsebene gefragt. Von den Geschäftsführern bis zum Gruppenleiter muss Sicherheit gelebt werden.”

Cyber-Bedrohungen erkennen

Auch nach Ansicht von Berk Kutsal, PR-Manager DACH beim Softwarespezialisten F-Secure, wird es immer komplizierter, Angriffe festzustellen: “Es ist für einen Mitarbeiter oft sehr schwierig, Cyber- Bedrohungen zu erkennen, es sei denn, das Unternehmen bietet ausreichend Training, Beratung und die zugrunde liegenden Richtlinien an.” Er verweist auch auf Dienste wie Hoxhunt und Phishd, welche die Mitarbeiter schulen, um beispielsweise Phishing-E-Mails mittels “Gamification” zu identifizieren: “Die Mitarbeiter erhalten regelmäßig maßgeschneiderte, gutartige Phishing-E-Mails ohne tatsächliche Angriffsnutzlasten und erhalten als Belohnung Punkte für deren Erkennung und Meldung. Die Dienste geben oft auch Ratschläge, wie man die psychologischen Tricks identifiziert, mit denen Angreifer Menschen dazu bringen, sich auf die Angriffe einzulassen.”

Bewerberdaten schützen

Ein Beispiel aus der Praxis: Im Rahmen einer globalen Kampagne zur Cyber-Security-Awareness schulte Manpower seine Mitarbeiter für den Schutz von sensiblen Kunden- und Bewerberdaten. Durch Kommunikationsmaßnahmen und in Trainingsmodulen lernten sie, Gefahren zu erkennen und zu vermeiden, wie sie Vorfälle richtig berichten und wie sie sicher mit Online-Medien und sensiblen Daten umgehen. “Unsere IT-Teams konnten bereits viele Cyber-Attacken durch rechtzeitiges Erkennen und Handeln verhindern”, sagt Anke Anderie, Managing Director HR bei Manpower Group Deutschland. Für Susanne Dehmel vom Bitkom ist deshalb klar: “Ein robustes IT- Sicherheitsmanagement fängt mit gut geschulten Mitarbeitern an.” Wer darüber hinaus die folgenden Tipps zum Umgang mit Cyber-Gefahren beachtet, ist zwar nicht sicher vor Attacken, bietet jedoch weitaus weniger Angriffsfläche.

Tipps zum Umgang mit möglichen Cyber-Attacken:

  1. Befolgen Sie auf jeden Fall die Sicherheitsanweisungen der IT-Abteilung.
  2. Nehmen Sie beim geringsten Verdacht auf eine Handlungsanweisung in einer Mail lieber das Telefon in die Hand und haken Sie beim Absender nochmals nach. Oder nutzen Sie Whatsapp, SMS oder einen anderen Kommunikationsweg.
  3. Beim Antworten auf eine Mail die Adresse nicht übernehmen, sondern händisch eingeben. Gleiches gilt, wenn Sie eine neue Mail schreiben: nicht die aus der Vorschlagsliste angegebene Adresse nehmen, sondern die Mailadresse händisch eintippen.
  4. Haben Sie keine Bedenken, wenn Ihnen an einer Mail irgendwas merkwürdig oder unlogisch vorkommt, die IT, den Sicherheitsbeauftragten oder, falls vorhanden, das Helpdesk zu kontaktieren. Selbst wenn der Absender genau der ist, den Sie kennen. Mailadressen lassen sich fälschen. Es muss sichergestellt sein, dass eine Antwort unmittelbar erfolgt.
  5. Achten Sie genau darauf, dass die Absenderadresse einer Mail zu 100 Prozent so geschrieben ist, wie Sie sie kennen. Selbst ein anderer Buchstabe, ein anderes Zeichen oder ein Punkt an einer anderen Stelle in der Mailadresse deuten darauf hin, dass der Absender nicht der ist, der er vorgibt zu sein.
  6. Heben Sie nie einen herumliegenden USB-Stick auf (zum Beispiel auf dem Parkplatz). Wenn doch, benutzen Sie diesen nicht. Geben Sie ihn der IT-Abteilung.
  7. Fragen Sie in der IT nach, ob Sie Ihren Rechner mit einem “Domain Administrator”-Status nutzen. Wenn ja und Sie sind kein Admin, lassen Sie das umgehend ändern.
  8. E-Mails sollten grundsätzlich verschlüsselt übertragen werden. Fragen Sie bei der IT nach, ob dafür Vorkehrungen getroffen wurden. Am besten ist, wenn die IT das automatisiert.
  9. Öffnen Sie nie(!) Anhänge in Mails von Absendern, die Ihnen unbekannt sind. Achten Sie dabei darauf, wie unter Punkt 5 beschrieben, ob die Absenderadresse exakt die ist, die sie sein soll, selbst wenn Sie meinen, den Absender zu kennen. Die IT sollte derlei Mails vorher prüfen.
  10. Klicken Sie nie(!) auf einen Link in einer Mail. Versichern Sie sich zuvor, wie unter Punkt 1 beschrieben, über einen Anruf oder einen anderen Weg, ob die Mail wirklich von dem angegebenen Absender stammt.
  11. Achten Sie darauf, Ihr Passwort für Ihr E-Mail-Konto sicher genug zu wählen: Benutzen Sie ein möglichst langes Passwort, das aus Buchstaben, Zahlen und Ziffern besteht. Notieren Sie sich das Passwort nirgends an Ihrem Arbeitsplatz und ändern Sie es, wenn möglich, in regelmäßigen Intervallen.
  12. Geben Sie keine betriebsinternen Daten wie Kontoverbindungen, Kreditkartendaten und ähnliches per Mail an vermeintliche Banken, Ämter oder andere scheinbar offizielle Stellen weiter. Kein seriöser Adressat verlangt das von Ihnen. Melden Sie derlei Vorgänge umgehend und fertigen Sie, wenn möglich, Screenshots an und behalten Sie die Mails, in denen Sie dazu aufgefordert werden.

Ulli Pesch ist freier Journalist und schreibt regelmäßig über das Thema HR-Software in der Personalwirtschaft.

Ihre Meinung zählt!
An Nutzerbefragung teilnehmen & Prämie sichern
Jetzt mitmachen »
ihre meinung zählt!
An Nutzerbefragung teilnehmen & Prämie sichern
Jetzt mitmachen »