Deshalb sind verschlüsselte E-Mails im HR so wichtig

Wir werden sie noch vermissen: die ungelenken E-Mails, in denen wir in abenteuerlicher Grammatik und fragwürdiger Orthografie dazu aufgefordert wurden, ganz dringend einen Link zu klicken, ein Dokument zu öffnen oder ein Passwort einzugeben.

Cyber-Kriminelle sind diesem Phishing-Vorschul-Niveau längst entwachsen. Sie haben mittlerweile promoviert und mit der Schadsoftware Emotet eine Doktorarbeit vorgelegt, die neue Maßstäbe setzt. Phishing ist jetzt Dynamit-Phishing. Wäre die Motivation eine andere, wären Respekt und Bewunderungen für die technologische Leistung mehr als angebracht.

Den ErfinderInnen von Emotet geht es aber ausschließlich darum zu schaden – um die eigenen Ziele zu erreichen oder einfach nur aus Spaß. Und mit Emotet gelingt ihnen das außerordentlich gut.

Der Grund:
Die Phishing-Mails klingen nicht nur, als seien sie von Menschen geschrieben, die noch alle Sinne beisammen haben. Sie erwecken sogar den Eindruck von Absendern zu stammen, die wir kennen und denen wir daher vertrauen. Dazu tragen nicht nur echte E-Mail-Adressen bei, die keinen Zweifel an der Identität des Absenders aufkommen lassen. Das liegt vor allem auch daran, dass die Emotet-E-Mails tatsächliche, zwischen Absendern und Adressaten geführte Konversationen highjacken: Sie nehmen den inhaltlichen Ball auf und spielen ihn gekonnt zurück. Deshalb ist diese Phishing-Variante so wirkungsvoll – und so perfide.

Seit Emotet ist noch mehr Vorsicht geboten:

• Wurde die hoch vertrauliche Kostenübersicht im angehängten Excel-Dokument mit Sicherheit von der Führungskraft geschickt?
• Die Freude über eine neue Bewerbung für die schwer zu besetzende Stelle mischt sich mit einem mulmigen Gefühl, ob die als Zip-Datei gesendeten Unterlagen wirklich nur Lebenslauf und Zeugnisse enthalten.
• Und ist dieses verführerische Schreiben über eine Gehaltserhöhung tatsächlich aus der Personalabteilung?

Angesichts dieser Situation stellt sich für jede*n die Frage, wie mit den E-Mails umzugehen ist. Ein Festhalten oder gar eine Rückkehr zum Briefversand ist keine Option, allein schon aus ökologischer Sicht. Das papierlose Büro sollte weiter der Anspruch sein. Kaum praktikabel ist auch der Ansatz, bei jeder E-Mail ihre Echtheit mit einem Anruf zu verifizieren. Eigentlich ist es aber ganz einfach: Wirksamer Schutz lässt sich erreichen, wenn E-Mails konsequent verschlüsselt und signiert werden. Das passiert in Deutschland bislang allerdings kaum.

Besonders problematisch ist diese Verschlüsselungsabstinenz für Unternehmen im Zusammenhang mit personenbezogenen Daten. Zum einen, weil hier spätestens seit dem Inkrafttreten der DSGVO hohe Anforderung gelten und erhebliche Sanktionen drohen. Und zweitens, weil das Image von Unternehmen stark davon abhängt, wie verlässlich sie mit den Daten ihrer MitarbeiterInnen, KundInnen und PartnerInnen umgehen.

HR-Abteilungen sind hier aus mehreren Gründen ganz besonders gefordert:

Sie haben es ständig mit personenbezogenen Daten zu tun und tauschen sich mit den Mitarbeitenden häufig per E-Mail aus. Aber während die direkt zuständige Ansprechpartnerin vielleicht noch bekannt ist, sieht das beim Mitarbeiter, der das Gehalt abrechnet, oft anders aus. Und überhaupt – Gehaltsbriefe, Monatsabrechnungen und diverse andere Schreiben sind Serienkommunikation. Für einen „individuellen Schreibstil“, an dem man den persönlich bekannten Kollegen erkennen könnte, ist hier kein Platz.

Wer kennt sie nicht, die formellen Schreiben an die „Sehr geehrte Frau“, unterschrieben von der Kollegin, mit der man eigentlich auf „Du“ ist. Zudem schätzen die Mitarbeiterinnen und Mitarbeiter Dokumente aus dem Personalwesen als sehr wichtig ein und neigen deshalb dazu, sie rasch zu öffnen.

Auf den Punkt gebracht: Ein hohes E-Mail-Aufkommen, eine geringe Vertrautheit zwischen Absender und Adressat sowie eine hohe (gefühlte) Dringlichkeit fallen zusammen. Ein attraktives Ziel für Emotet und Co.

Für HR-Abteilungen lässt das eigentlich nur einen Schluss zu: Wer das papierlose Büro anstrebt, braucht effektive Lösungen für den Schutz der digitalen Kommunikation.

Dass das bislang eher die Ausnahme ist als die Regel, liegt nach unserer Erfahrung vor allem an einer falschen Annahme der AnwenderInnen. Viele von ihnen gehen davon aus, dass die Verschlüsselung kompliziert und aufwendig ist.

Tatsächlich trifft beides nicht zu – zumindest nicht zwangsläufig. Denn mittlerweile sind Tools verfügbar, die die Verschlüsselung im Hintergrund übernehmen. Beispielsweise IncaMail von der Schweizerischen Post. Mit der Technologie lassen sich alle in SAP HCM erzeugten Dokumente direkt aus dem System verschlüsselt versenden.

Das umfasst unter anderem:

• Entgeltnachweise
• Zeitnachweise
• DEÜV-Bescheinigungen
• Lohnsteuernachweise

Die adressierten Beschäftigten erhalten die E-Mails an ihre private E-Mail-Adresse und müssen sie nur noch mit ihrem persönlichen Passwort entschlüsseln. Das alles bedeutet keinen großen Aufwand, steigert die Sicherheit aber enorm.