IT-Sicherheit im Unternehmen: Effektive Security Awareness für das E-Recruiting

Anbieter zum Thema

d.velop AG

xSuite Group GmbH

Esker Software Entwicklungs-und Vertrieb

Cloud-basierte Systeme werden in vielen Personalabteilungen eingesetzt und erfreuen sich aufgrund der einfachen Speicherung und dem Zugriff auf Personaldaten oder Daten aus dem Bewerbermanagement einer wachsenden Beliebtheit.

Nicht erst seit Emotet nutzen Cyber-Kriminelle gerne die Personalabteilung als Einfallstor in Unternehmen. Dafür werden spezielle Attacken wie manipulierte Anhänge von vermeintlichen Bewerbern mit Schadsoftware oder gefälschten Meldungen aus dem Cloud-basierten System, das den Empfänger zu Handlungen verleitet, eingesetzt. Sie können den Angreifern oft Türe und Tore öffnen.

Mehr IT-Sicherheit im Unternehmen: Aufklärung der Mitarbeiter über Bedrohungen

Die Mitarbeiter, die diese Anfragen bearbeiten, sollten ­daher unbedingt über diese Bedrohungen aufgeklärt und vorbereitet werden. Denn Technik und Theorie werden nicht ausreichen, um solche Anhänge herauszufiltern oder jedes Mal zu erkennen. Diese Aufmerksamkeit müssen die Mitarbeiter trainieren. Darüber hinaus gibt es natürlich auch gefälschte E-Mails, die den Anschein erwecken, sie würden direkt aus der Personalabteilung stammen. Bei diesen E-Mails geht es dann um die Themen Urlaubsregelung, Gehalt, Compliance-Vorgaben, Umgang mit COVID-19 und vieles andere mehr. Der Erfolg solcher Nachrichten ist enorm, weil jeder angesprochene Mitarbeiter neugierig auf deren Inhalt ist.

Die sichere Nutzung von Personalsystemen ist grundsätzlich nicht nur eine technische Angelegenheit. Das Sicherheitsbewusstsein aller Mitarbeitenden spielt im Hinblick auf die IT-Sicherheit im Unternehmen. eine zentrale Rolle. Hier ist es erforderlich, dass neben technischen auch organisatorische Maßnahmen und insbesondere Schulungen eingesetzt werden, um einen wirksamen Schutz gegen Phishing zu erreichen. Abhilfe kann ein umfassendes Security-Awareness-Training schaffen. Die Mitarbeiter üben mit nachhaltigen Schulungen, deren Bestandteil simulierte Phishing-Attacken sind. Es ist stets schockierend, in unseren simulierten Attacken zu sehen, wie hoch der Anteil derjenigen ist, die auf diese E-Mails hereinfallen. Solche Phishing-Simulationen schärfen das Bewusstsein, denn sie zeigen dem Nutzer die eigene hohe Verwundbarkeit, ohne wirklich Schaden zu verursachen.

Gezielter auf Risiko-Profil eingehen: Unterschiedliche Ansprache verschiedener Zielgruppen

Darüber hinaus lassen sie sich durch wertvolle und praxisnahe Hinweise ergänzen, wie solche Angriffe erkannt und vermieden werden können. Gerade die Wiederholung der Simulation zeigt erhebliche Wirkung und eine entsprechende Reduzierung der erfolgreich durchgeführten Attacken. Eine Ausbaustufe ist die unterschiedliche Ansprache verschiedener Zielgruppen oder einzelner Personen im Unternehmen, um gezielter auf deren Risiko-Profil eingehen zu können. Die Hürden zwischen Systemen und Hackern werden so Schritt für Schritt erhöht. Je mehr Zeit und Geld diese nun investieren müssen, um ihre Ziele zu erreichen, desto weniger lohnt es sich für sie, die Attacke überhaupt zu versuchen. Es lässt sich zusammenfassen: Nur wenn das gesamt Unternehmen die sogenannte menschliche Firewall stärkt, gelingt es auch, die Nutzung von Cloud-Diensten – darunter E-Recruiting und andere Personal-Services – sicher zu gestalten und zu vermeiden, dass Mitarbeiter auf gefährliche Phishing-E-Mails hereinfallen.

Lesen Sie auch: IT-Sicherheit – Warum so viele KMU vor der Sanierung ihrer IT-Systeme zurückschrecken.

Über den Autor: Rainer Seidlitz ist Leiter Produktmanagement Safety & Security, TÜV SÜD Akademie GmbH.