Warum Sie in HR darauf bauen sollten

MFA ist eine wirkungsvolle zusätzliche Hürde, um sensible HR-Daten vor Hackern zu schützen. Was Sie außerdem wissen sollten: Wie wertvoll sind Personaldaten im Darknet, gesetzliche Regeln und Pflichten rund um Datenverlust, Tipps und Argumente zur MFA-Einführung.

Typische Angriffsszenarien und wie MFA das verhindern kann

Ein einstufiger Anmeldevorgang, also wo man nur ein Passwort eingeben muss, kann leichter geknackt werden, als ein mehrstufiges Anmeldeverfahren, wie es die Multi-Faktor-Authentifizierung bietet. Schauen wir uns das an Beispielen unterschiedlicher Angriffsszenarien an:

  • Phishing – die häufigste Angriffsart für Datendiebstahl: Mit gefälschtem SMS, Mail oder Anruf wird ein Mitarbeiter oder eine Mitarbeiterin verleitet, das eigene Passwort preiszugeben.
    -> MFA verhindert jedoch den Hackern den Zugang, weil sie mit Phishing den zweiten erforderlichen Berechtigungsnachweis nicht erbeuten können, z.B. einen Code, der auf das Handy oder an die Mailadresse des Mitarbeiters oder der Mitarbeiterin geschickt wird.
  • Brute-Force oder Wörterbuchangriffe: Mit Hilfe eines Programms werden automatisiert unzählige Anmelde-Kombinationen von Benutzernamen und Passwörtern ausprobiert; die Hacker hoffen, eine Kombination zu erhalten, die ihnen den Zugriff, etwa zur HR-Lösung einer Firma, ermöglicht.
    -> MFA verhindert den Zugang, weil wiederum der zweite Berechtigungsnachweis fehlt.
  • Ransomware-Angriffe: Dabei wird ein Schadprogramm heimlich installiert, welches unternehmenskritische Daten verschlüsseln soll; die Hacker verlangen dann Lösegeld für das Entschlüsseln (wobei auch wenn gezahlt wird, Daten oft nicht wiederherstellbar sind).
    -> MFA verhindert, dass Ransomware-Angriffe beginnen können, denn dazu benötigen Cyberkriminelle den Zugang zum System, also wieder zweistufige Berechtigungsnachweise.

Hinweis: Natürlich kann auch Multi-Faktor-Authentifizierung keine hundertprozentige Garantie gegen Cybergefahren bieten, jedoch wird die Sicherheit – wie in den Beispielen gezeigt – wesentlich erhöht. Außerdem könnten IT-seitig versuchte Hackerangriffe erkannt werden: Wenn viele unautorisierte MFA-Anmeldeversuche stattfinden, kann das ein Warnhinweis sein.

Personaldaten sind viel wert und daher begehrt

Der Handel mit gestohlenen Daten und deren Missbrauch ist ein lukratives Geschäft; das Zentrum für sichere Informationstechnologie – Austria beziffert das so:

  • Der Name wurde in 87 Prozent der Fälle von Identitätsdiebstahl missbraucht, gefolgt von der Sozialversicherungsnummer mit 63 Prozent und dem Geburtsdatum mit 35 Prozent.
  • Ein vollständiges Identitätspaket einer Person (Name, Adresse, SVNR, Bankkonto etc.) wird im Darknet (einem versteckten Teil des Internet) ab 30 US-Dollar gehandelt.

DSGVO und NIS2: Gesetzliche Konsequenzen von Datendiebstahl

Wenn personenbezogene Daten gestohlen, missbraucht oder auch verloren werden, spricht man von einem Data Breach. Die Konsequenzen dieser Verletzung der Privatsphäre regelt die DSGVO: Eine Datenschutzverletzung muss binnen 72 Stunden an die Aufsichtsbehörde gemeldet werden und betroffene Personen sind, wenn das Risiko vorhersehbar hoch ist, unverzüglich zu benachrichtigen. Verstöße gegen die Meldepflichten können Geldstrafen führen.

Die NIS-Richtlinie (das Kürzel steht für die Sicherheit der Netz- und Informationssysteme) hat das Ziel, ein hohes Niveau an Cybersicherheit innerhalb der EU-Mitgliedstaaten zu erreichen. Nun soll in Kürze NIS2 in Kraft treten: das wird mehr Unternehmen betreffen, damit kritische Infrastrukturen besser geschützt werden können. Die Umsetzung in Österreich wurde vom Gesetzgeber zwar noch nicht beschlossen, Unternehmen sollten sich dennoch darauf vorbereiten. Zu den NIS2-Maßnahmen gegen Cyberangriffe zählen verstärkte Zugriffskontrollen und hier lautet die Expertenmeinung, auf MFA zu setzen (siehe Fakt 8: Mehrere Faktoren verbessern die Sicherheit beim Account-Login).

Umsetzung in der HR-Lösung

Datenschutz ist nicht nur ein IT-Thema, sondern geht heute jede Abteilung etwas an. Diese Security-Fragen, die MFA und mehr betreffen, sollten Sie dem Anbieter Ihrer HR-Software stellen:

  • Entspricht die HR-Lösung den Anforderungen der DSGVO und wird das auch bei der Weiterentwicklung mitbedacht?
  • Ist es erforderlich oder zumindest wahlweise möglich, den Anmeldevorgang mit MFA durchzuführen?
  • Sind die Personaldaten – im Fall einer Cloudlösung – auf europäischen Servern gespeichert?

Ein Data Breach kann schwerwiegende Folgen haben, denn Personaldaten zählen nun mal zu den sensibelsten Daten im Unternehmen. Auch der Imageschaden ist groß.

 

Vorteile von MFA für HR und das gesamte Unternehmen

  • Sensible Personaldaten sind besser vor Cyberangriffen geschützt, damit werden vor allem aktuelle Bedrohungen wie Phishing reduziert.
  • Der Zugang zum HR-System hängt nicht nur von Passwörtern ab, die oft leicht zu knacken sind, sondern es sind zwei Berechtigungsnachweise erforderlich.
  • Das Vertrauen der Beschäftigten wird gestärkt, die Personalabteilung geht bei Datensicherheit mit gutem Beispiel voran.
  • Gesetzliche Anforderungen werden erfüllt, was ansonsten zu Strafen führen könnte.
  • Mit der Nutzung von MFA wird proaktiv gegen die Gefahren von Datendiebstahl vorgegangen, um die Privatsphäre der Belegschaft so gut wie möglich zu schützen und um das Unternehmen vor finanziellen Verlusten und Imageschaden zu bewahren.
Beitrag teilen Facebook Twitter LinkedIn XING

Weitere Artikel

12. Januar 2024 Neuerungen im Arbeitsrecht 2024

Wir geben Ihnen eine Übersicht über die wichtigsten arbeitsrechtlichen Neuerungen, die mit 01.11.2023 in Kraft getreten sind.

Beitrag lesen
7. Mai 2024 Diese 4 Ansatzpunkte unterstützen die Mitarbeiterbindung

Die Wechselbereitschaft ist groß, wir beschäftigen uns daher mit Fragen wie: Warum verlassen Arbeitskräfte das Unternehmen? Welche Faktoren binden unterschiedliche Generationen an den Arbeitgeber und wie ticken die Jüngsten?

Beitrag lesen
22. September 2021 Employer Branding mit kununu

Wer als Arbeitgeber auf eine undifferenzierte Selbstdarstellung setzt, versäumt die Chance, die wirklich passenden Talente anzusprechen und zu binden. Wie Sie mit kununu eine starke Arbeitgebermarke aufbauen, um als attraktives Unternehmen auf sich aufmerksam zu machen, erfahren Sie hier.

Beitrag lesen