Warum Sie HR-Daten besser schützen müssen

Gleich vorneweg: Der Begriff Multi-Faktor-Authentifizierung klingt kompliziert, jedoch die Anwendung ist einfach. Das erklären wir hier und zeigen auch die zunehmenden Gefahren von Datendiebstahl.

Ein Anruf in der Lohnverrechnung …

„Guten Morgen!“ grüßt Herr Novak gut gelaunt das HR-Team, die Kaffeetasse in der Hand. Wie jeden Tag meldet er sich dann mit seinem User-Namen und Passwort in der Personal-Software an, er arbeitet in der Lohnverrechnung seiner Firma, einem mittelständischen Maschinenbauunternehmen. So hat er Zugriff auf viele Daten der rund 400 Angestellten, wie Namen, Post- und Mail-Adressen, Familienstand, SV-Nummern, Kontonummern oder Gehälter. Als sich Herr Novak gerade mit einem komplizierten Abrechnungsfall beschäftigt, kommt ein Anruf herein, der von der IT zu sein scheint: Die Geschäftsleitung benötige bis Mittag Performance-Kennzahlen und die IT soll das erstellen. Dazu brauchen sie auch HR-Zahlen, ob Herr Nowak daher sein Passwort schnell kurz weitergeben könne.

Die IT hat auch dem HR-Team schon oft bei dringenden Problemen geholfen, also hilft Herr Novak gerne und gibt seine Zugangsdaten weiter. Außerdem will er mit seinem komplizierten Abrechnungsfall fertig werden. „Problem gelöst“, denkt Herr Novak.

… mit Folgen

Doch nein, die Probleme beginnen hier erst. Denn der Anruf kam nicht von der IT, sondern es war ein Hackerangriff, nämlich Phishing von Zugangsdaten mittels Social Engineering. Der Hacker hat nun mit Herrn Novaks Usernamen und Passwort Zugriff auf die sensiblen Personaldaten der Maschinenbaufirma, ihm stehen die virtuellen Türen des Unternehmens offen: So kann er beispielsweise vertrauliche Informationen stehlen und im Darknet verkaufen, Phishing-Mails an andere Beschäftigte senden oder Daten manipulieren. Der Schaden kann groß werden, finanziell, rechtlich und auch, was die Reputation betrifft.

Hackerangriffe nehmen zu

Der beschriebene Vorfall ist zwar erfunden, tagtäglich passieren jedoch in vielen Firmen genau solche Hackerangriffe und sie sind erschreckend erfolgreich. Das zeigen Security-Reports:

  • „Unsere Sicherheitsmaßnahmen werden gerade intensiv auf die Probe gestellt. Im Vergleich zum Jahr 2023 erleben wir zum einen eine signifikante Zunahme der Angriffe und zum anderen eine wesentliche Verschiebung in den Angriffsarten. Qualitativ hochwertigere Angriffe rücken in den Vordergrund und der Mensch rückt als Ziel immer stärker in den Mittelpunkt“, schreibt das Österreichische IKT-Sicherheitsportal.
  • Grundlage für diese Beurteilung ist die KPMG-Studie Cybersecurity in Österreich 2024, dort heißt es weiter: „Die Top-3-Angriffsarten waren Phishingattacken (87 Prozent), Malware (86 Prozent) und CEO-/CFO-Fraud (80 Prozent)“. Und: „War im Vorjahresvergleich noch jede zehnte Cyberattacke erfolgreich, ist es in diesem Jahr bereits jede sechste“.
  • Wer ein wenig googelt, findet schnell weitere Beispiele: Heuer wurde der riesige Telekom-Anbieter AT&T bereits zweimal angegriffen, nahezu alle Kunden sind mit ihren persönlichen Daten davon betroffen. Im zweiten Quartal 2024 hat die Zahl der Cyberangriffe in der DACH-Region um 40 Prozent zugenommen, im Vergleich zum Vorjahr, wobei in Österreich deren Anzahl sogar um 66 Prozent auf 1617 gestiegen ist.

Wie können Personaldaten besser geschützt werden

Das Beispiel von Herrn Novak zeigt: User-Name und Passwort bieten heute keine ausreichende Sicherheit mehr, auch wenn das Passwort regelmäßig geändert wird und nicht „123456“ oder „admin“ heißt, seit Jahren übrigens weltweit die beliebtesten Passwörter.

Sensible personenbezogene Daten, mit denen die Personalabteilung tagtäglich arbeitet, müssen stärker geschützt werden, geeignet dafür ist MFA, die Multi-Faktor-Authentifizierung. Denn MFA verlangt neben Usernamen und Passwort noch einen Nachweis – und dieser zusätzliche Nachweis ist etwas, das nur Herr Novak selbst erbringen kann (um bei unserem Beispiel zu bleiben). Erst wenn alle Berechtigungsnachweise korrekt sind, wird der Zugang zur Personal-Software gestattet. Das klingt vielleicht aufs Erste kompliziert, ist es aber gar nicht, sondern MFA wird schnell und einfach zur datensicheren Routine.

So funktioniert MFA

Wie ihr Name sagt, setzt die Multi-Faktor-Authentifizierung auf mehrere Faktoren bzw. Berechtigungsnachweise bei der Anmeldung, nämlich eine Kombination aus Wissen und Besitz. Sehen wir uns am besten den Anmeldvorgang an.

Schritt 1: Wie gewohnt gebe ich den Benutzernamen und mein Passwort auf der Anmeldeseite ein.

Schritt 2 – Multi-Faktor: Bei diesem Schritt kommt als Berechtigungsnachweis etwas zum Einsatz, das nur ich habe, bzw. besitze. Zum Beispiel

  • mein Smartphone: Dorthin wird ein Code gesendet, den ich bestätigen muss; das kennen viele von ihrer Netbanking-Anwendung;
    alternativ wird in einer Authenticator App (wie z.B. Microsoft Authenticator, Google Authenticator oder Duo Authenticator) ein Code angezeigt, den ich auf der Anmeldeseite eingeben muss;
  • meine Mailadresse: Der Bestätigungscode wird mir als Mail gesendet und ich muss den Code beim Login eingeben;
  • mein Fingerabdruck: Diese Identifikation kennen manche vom Smartphone;
  • eine Karte: Diese muss ich durch ein Lesegerät ziehen.

MFA bietet erhöhten Schutz für kritische HR-Daten: Selbst wenn der Hacker in unserem Beispiel das Passwort von Herrn Novak mittels Phishing ermittelt hat, so steht er nun vor der nächste Hürde (Schritt 2), die ihm den Zugang ins Personalsystem verwehrt.

Awareness und Umsetzung von MFA

Awareness, also das Bewusstsein für Cybergefahren, ist ein essentieller Baustein gegen Hackerangriffe. Denn technische Lösungen helfen nur dann, wenn die Menschen nicht „dazwischen pfuschen“.  In unserem Beispiel sollte Herr Novak wissen, dass man Passwörter nie am Telefon weitergibt – doch das kommt in der Eile vor. Genauso kennen wir die Kollegin, die auf dem Bildschirm ein Post-It mit ihren Passwörtern kleben hat oder den Kollegen, der schnell am Abend eine Anfrage am Smartphone beantwortet und dabei auf einen Phishing-Link klickt. Jedes Unternehmen tut daher gut daran, regelmäßig Awareness-Schulungen durchzuführen; es gibt auch kostenlose Tools.

Multi-Faktor-Authentifizierung ist ein geeignetes Werkzeug, um eine zusätzliche Hürde einzurichten und damit sensible Daten besser zu schützen. In Teil 2 lesen Sie über finanzielle und gesetzliche Konsequenzen von Datenverlust, warum MFA für HR empfehlenswert ist, sowie Tipps zur Umsetzung.

Beitrag teilen Facebook Twitter LinkedIn XING

Weitere Artikel

14. September 2023 Wieviel KI passt in HR?

Künstliche Intelligenz ist da und es ist ratsam, sich aktiv damit auseinanderzusetzen. Wir zeigen zahlreiche Beispiele, wo KI im Personalwesen Nutzen bringt und wo Grenzen gezogen werden sollten.

Beitrag lesen
8. August 2023 Altersteilzeit

Weniger belastbar und deshalb früher in Pension? Es geht anders. Wir zeigen Voraussetzungen und Regeln, wie Arbeitskräfte länger ihrer Firma zur Verfügung stehen und was das finanziell bedeutet.

Beitrag lesen
17. Mai 2021 Welche HR-Aufgaben sich für Digitalisierung eignen

Statt Administration von Daten können Sie die Personalentwicklung in den Mittelpunkt stellen. Wir zeigen Ihnen drei Bereiche, wo Sie mit digitalen Tools Zeit dafür gewinnen.

Beitrag lesen