Video: Hacker-Angriffe: Wie sicher ist Deutschland vor Cyber-Kriminellen? | ZDFinfo Doku (November 2024)
Wenn Hacker angreifen, ist Human Resources (HR) einer der ersten Orte, die sie treffen. HR ist ein beliebtes Ziel, da HR-Mitarbeiter Zugriff auf Daten haben, die im Dark Web vermarktet werden können, darunter Namen, Geburtsdaten, Adressen, Sozialversicherungsnummern und W2-Formulare. Um diese Art von Informationen in den Griff zu bekommen, verwenden Hacker alles von Phishing bis hin zu der Aufgabe als Führungskräfte des Unternehmens, interne Dokumente anzufordern - eine Art Phishing, das als "Walfang" bezeichnet wird -, um Schwachstellen in Cloud-basierten Gehaltsabrechnungs- und HR-Tech-Diensten auszunutzen.
Um sich zu wehren, müssen Unternehmen sichere Computerprotokolle befolgen. Dazu gehört die Schulung von HR-Mitarbeitern und anderen Mitarbeitern, damit diese auf Betrug aufpassen können, die Einführung von Verfahren zum Schutz von Daten und die Überprüfung von Anbietern cloudbasierter HR-Technologie. In nicht allzu ferner Zukunft könnten auch Biometrie und künstliche Intelligenz (KI) hilfreich sein.
Cyberangriffe werden nicht verschwinden. wenn überhaupt, werden sie schlimmer. Unternehmen jeder Größe sind anfällig für Cyberangriffe. Kleine Unternehmen sind jedoch möglicherweise dem größten Risiko ausgesetzt, da in der Regel weniger Mitarbeiter beschäftigt sind, deren einzige Aufgabe darin besteht, die Cyberkriminalität im Auge zu behalten. Größere Unternehmen sind möglicherweise in der Lage, die mit einem Angriff verbundenen Kosten zu tragen, einschließlich der Zahlung von Kreditauskünften über ein paar Jahre für Mitarbeiter, deren Identität gestohlen wurde. Für kleinere Unternehmen können die Folgen von digitalem Diebstahl verheerende Folgen haben.
Es ist nicht schwer, Beispiele für Verstöße gegen HR-Daten zu finden. Im Mai nutzten Hacker Social Engineering und unzureichende Sicherheitspraktiken bei ADP-Kunden, um die Sozialversicherungsnummern ihrer Mitarbeiter und andere Personaldaten zu stehlen. Im Jahr 2014 nutzten Hacker bei einer unbestimmten Anzahl von Kunden der UltiPro-Suite für Gehaltsabrechnung und Personalmanagement von Ultimate Software Anmeldeinformationen, um Mitarbeiterdaten zu stehlen und Steuererklärungen zu fälschen, so Krebs on Security.
In den letzten Monaten waren die Personalabteilungen zahlreicher Unternehmen am Ende des W-2-Steuerformulars für Walfangbetrug. In mehreren gut gemeldeten Fällen gaben die Lohn- und Gehaltsabteilung und andere Mitarbeiter den Hackern Steuerinformationen zu W-2, nachdem sie einen gefälschten Brief erhalten hatten, der wie eine legitime Anfrage nach Dokumenten von einem Unternehmensleiter aussah. Im März teilte Seagate Technology mit, dass durch einen solchen Angriff versehentlich Informationen über W-2-Steuerformulare für "mehrere Tausend" aktuelle und ehemalige Mitarbeiter ausgetauscht wurden. Einen Monat zuvor teilte SnapChat mit, ein Mitarbeiter der Personalabteilung habe einem Betrüger, der sich als CEO Evan Spiegel ausgibt, Gehaltsdaten für "eine Reihe" aktueller und ehemaliger Mitarbeiter mitgeteilt. Weight Watchers International, PerkinElmer Inc., Bill Casper Golf und Sprouts Farmers Market Inc. sind laut Wall Street Journal ebenfalls Opfer ähnlicher List.
Mitarbeiter schulen
Die Mitarbeiter auf mögliche Gefahren aufmerksam zu machen, ist die erste Verteidigungslinie. Schulung der Mitarbeiter, um Elemente zu erkennen, die in E-Mails von Führungskräften des Unternehmens enthalten wären oder nicht, z. B. wie sie normalerweise ihren Namen signieren. Achten Sie darauf, wonach die E-Mail fragt. Es gibt keinen Grund für einen CFO, nach Finanzdaten zu fragen, zum Beispiel, weil es wahrscheinlich ist, dass sie diese bereits haben.
Ein Forscher auf der Black Hat Cybersecurity-Konferenz in Las Vegas in dieser Woche schlug vor, dass Unternehmen ihren Mitarbeitern mitteilen, dass sie gegenüber allen E-Mails misstrauisch sind, selbst wenn sie den Absender kennen oder wenn die Nachricht ihren Erwartungen entspricht. Derselbe Forscher gab zu, dass ein Phishing-Sensibilisierungstraining nach hinten losgehen kann, wenn Mitarbeiter so viel Zeit damit verbringen, zu überprüfen, ob einzelne E-Mail-Nachrichten legitim sind, dass dadurch ihre Produktivität abnimmt.
Sensibilisierungstraining kann effektiv sein, wenn die Arbeit des Cybersicherheitstrainingsunternehmens KnowBe4 Anzeichen dafür sind. Im Laufe eines Jahres verschickte KnowBe4 regelmäßig E-Mails mit simulierten Phishing-Angriffen an 300.000 Mitarbeiter von 300 Kundenunternehmen. Sie haben dies getan, um sie darin zu schulen, wie sie rote Fahnen erkennen, die auf ein Problem hinweisen könnten. Vor dem Training haben 16 Prozent der Mitarbeiter auf Links in den simulierten Phishing-E-Mails geklickt. Nur 12 Monate später sank diese Zahl laut KnowBe4-Gründer und CEO Stu Sjouwerman auf 1 Prozent.
Speichern Sie Daten in der Cloud
Eine andere Möglichkeit, Phishing- oder Walfangangriffe zu unterbinden, besteht darin, Unternehmensinformationen in verschlüsselter Form in der Cloud statt in Dokumenten oder Ordnern auf Desktops oder Laptops zu speichern. Wenn sich Dokumente in der Cloud befinden, wird nur ein Link zu einer Datei gesendet, auf die ein Hacker nicht zugreifen kann, selbst wenn ein Mitarbeiter auf eine Phishing-Anfrage hereinfällt (da er nicht über die erforderlichen zusätzlichen Informationen verfügt) öffnen oder entschlüsseln). OneLogin, ein Unternehmen in San Francisco, das Identitätsverwaltungssysteme verkauft, hat die Verwendung von Dateien in seinem Büro verboten, eine Leistung, über die OneLogin-CEO Thomas Pedersen gebloggt hat.
"Aus Sicherheitsgründen und aus Gründen der Produktivität", sagte David Meyer, Mitbegründer von OneLogin und Vizepräsident für Produktentwicklung. "Wenn der Laptop eines Mitarbeiters gestohlen wird, spielt es keine Rolle, weil nichts darauf steht."
Meyer rät Unternehmen, HR-Technologieplattformen zu überprüfen, um zu verstehen, welche Sicherheitsprotokolle die Anbieter anbieten. ADP würde die jüngsten Einbrüche seiner Kunden nicht kommentieren. Ein ADP-Sprecher sagte jedoch, das Unternehmen biete Kunden und Verbrauchern Aufklärungs- und Sensibilisierungsmaßnahmen sowie Informationen zu Best Practices an, um häufigen Cybersicherheitsproblemen wie Phishing und Malware vorzubeugen. Ein ADP-Team zur Überwachung von Finanzkriminalität und Kundenunterstützungsgruppen benachrichtigen Kunden, wenn das Unternehmen Betrug oder versuchten betrügerischen Zugang entdeckt, so der Sprecher. Laut Krebs on Security hat Ultimate Software auch nach Angriffen auf UltiPro-Benutzer im Jahr 2014 ähnliche Vorsichtsmaßnahmen getroffen, einschließlich der Einrichtung einer Multi-Faktor-Authentifizierung für seine Kunden.
Je nachdem, wo sich Ihr Unternehmen befindet, sind Sie möglicherweise gesetzlich verpflichtet, digitale Einbrüche den zuständigen Behörden zu melden. In Kalifornien zum Beispiel müssen Unternehmen melden, wenn mehr als 500 Namen von Mitarbeitern gestohlen wurden. Laut Sjouwerman ist es eine gute Idee, einen Anwalt zu konsultieren, um herauszufinden, welche Aufgaben Sie haben.
"Es gibt ein rechtliches Konzept, nach dem Sie angemessene Maßnahmen zum Schutz Ihrer Umwelt ergreifen müssen, und wenn Sie dies nicht tun, sind Sie im Wesentlichen haftbar", sagte er.
Verwenden Sie Identity Management Software
Unternehmen können HR-Systeme schützen, indem sie Identitätsverwaltungssoftware zur Steuerung von Anmeldungen und Kennwörtern verwenden. Stellen Sie sich Identitätsmanagementsysteme als Passwortmanager für das Unternehmen vor. Anstatt sich darauf zu verlassen, dass sich HR-Mitarbeiter und Mitarbeiter Benutzernamen und Kennwörter für jede Plattform merken und schützen, die sie für die Gehaltsabrechnung, Sozialleistungen, Personalbeschaffung, Terminplanung usw. verwenden, können sie mit einem einzigen Login auf alles zugreifen. Wenn Sie alles unter einem Login zusammenfassen, können Mitarbeiter, die möglicherweise Passwörter für HR-Systeme vergessen haben, sich nur ein paar Mal im Jahr einloggen (was sie dazu veranlasst, sie irgendwo aufzuschreiben oder sie online zu speichern, wo sie gestohlen werden könnten).
Unternehmen können mithilfe eines Identitätsverwaltungssystems eine Zwei-Faktor-Identifizierung für HR-Systemadministratoren einrichten oder mithilfe von Geofencing Anmeldungen einschränken, sodass sich Administratoren nur von einem bestimmten Ort aus anmelden können, z. B. dem Büro.
"Alle diese Toleranzstufen für Sicherheitsrisiken für verschiedene Personen und verschiedene Rollen sind in HR-Systemen keine Features", sagte Meyer von OneLogin.
HR-Tech-Anbieter und Cybersicherheitsunternehmen arbeiten an anderen Techniken zur Verhinderung von Cyberangriffen. Mit der Zeit melden sich mehr Mitarbeiter mit biometrischen Daten wie Fingerabdruck- oder Retina-Scans bei HR- und anderen Arbeitssystemen an, die für Hacker schwieriger zu knacken sind. Zukünftig könnten Cybersicherheitsplattformen maschinelles Lernen beinhalten, mit dessen Hilfe sich Software auf das Erkennen von schädlicher Software und anderen verdächtigen Aktivitäten auf Computern oder Netzwerken vorbereiten kann, so eine Präsentation auf der Black Hat-Konferenz.
Bis diese Optionen weiter verbreitet sind, müssen sich die Personalabteilungen auf ihr eigenes Bewusstsein, die Schulung der Mitarbeiter, die verfügbaren Sicherheitsmaßnahmen und die HR-Technologieanbieter verlassen, mit denen sie zusammenarbeiten, um Probleme zu vermeiden.
