Wieso Cybersecurity nicht nur ein IT-Thema ist

Einer aktuellen PwC-Studie "Digital Trust Insights" aus dem Jahr 2022 zufolge hat fast ein Drittel der befragten Unternehmen in den vergangenen Jahren großen Schaden durch Datendiebstahl erlitten. Personalabteilungen sind besonders anfällig für Cyberattacken, weil hier sensible Daten liegen und Mitarbeitende oft unbedarft mit Gefahren umgehen.

Daniel Timmann, Consultant Microsoft & Cybersecurity der All for One Group, gibt wertvolle Tipps für Personaler im Umgang mit vertraulichen Daten.

Die IT sollte natürlich den übergeordneten Rahmen spannen, ist aber nicht alleine verantwortlich. HR steht deswegen besonders im Fokus, da sie mit sehr sensiblen Daten arbeitet. Greift jemand diese Daten ab, kann er leicht die Identität missbrauchen und sich online als jemand anders ausgeben – dafür reichen schon vier, fünf Datensätze. HR weiß eben über die eigenen Mitarbeitenden Dinge, die normalerweise nicht „öffentlich“ sind, von Bankdaten bis Sozialversicherungsdaten, privaten Meldeadressen bis Familiendaten uvm. Daher sollten Personaler unbedingt auf dieses Thema aufmerksam gemacht und geschult werden.

Auch vermeintlich „harmlose“ HR-Daten wie Organisationsstrukturen oder hierarchische Beziehungen können für Angreifer interessant sein, etwa für die aus der Presse bekannten „CEO-Fraud“ Angriffe, bei denen sich jemand gegenüber einem Mitarbeitenden etwa aus der Finanzbuchhaltung oder anderen, „zahlungsbefähigten“ Abteilungen, als CEO ausgibt und um dringende Veranlassung einer Zahlung bittet. Je mehr „Interna“ die Angreifer haben, desto einfacher ist es.

Neben dem richtigen Handling von Dokumenten geht es vor allem darum, die IT bei der Umsetzung moderner Sicherheitsfunktionalitäten zu unterstützen. Das klingt jetzt vielleicht erstmal komisch, wie soll denn HR die IT unterstützen. Aber es geht beispielsweise um die Klassifizierung von Daten.

In modernen Sicherheitsarchitekturen ist es durchaus möglich, den Umgang mit verschiedenen Daten ziemlich genau zu regeln. Also was darf beispielsweise aus einem IT-System „kopiert“ werden, was gedruckt, was per E-Mail verschickt. Das kennen manche vielleicht vom Handy, wo Daten aus der Outlook-App nicht in WhatsApp kopiert werden können.

Solche Features müssen zunächst von der IT implementiert werden, dann muss aber HR helfen zu sagen, welche Daten besonders kritisch sind. Und Personaler sollten solchen Neuerungen offen gegenüberstehen. Denn ja, natürlich macht es hier und dort Gewohntes komplizierter, verhindert aber eben auch diverse Probleme und potenzielle Verstöße etwa gegen Datenschutzbestimmungen.

Personalerinnen und Personaler müssen sich zunächst einmal Gedanken machen, welche Dokumentenkategorien vorliegen – Arbeitsverträge, Personalausweise, Kontodaten, Gehaltsdaten zum Beispiel – und wie sie diese klassifizieren möchten. Je kritischer die Daten eingestuft werden, das gilt insbesondere für persönliche Daten wie Name, Adresse, Geburtsdatum und Bankverbindung, desto fester sollte der Schutzmechanismus greifen. Es macht Sinn, hier auch den Datenschutzbeauftragten hinzuzuziehen.

Personaler sollten genau definieren, wie sie mit Berechtigungen umgehen, wenn Mitarbeitende neu anfangen und wenn sie das Unternehmen verlassen. Welche (System-) Rechte gibt es, wie werden diese verwaltet, wann müssen Vorgesetzte ihre Zustimmung geben? Das sind die entscheidenden Fragen. Es ist halt immer eine Abwägung zwischen „ohne kann man nicht sinnvoll arbeiten“ und „4-Augen-Prinzip sollte sein“. Oftmals sind es vor allem kritische Berechtigungskombinationen, die nicht gleichzeitig vergeben werden sollten. Beispielsweise das Recht, Bankdaten zu ändern oder Sonderzahlungen anzustoßen, und diese Zahlungen dann auch tatsächlich auszulösen. Aber auch Reporting-Bedarf sollte nicht dazu führen, dass pauschal „alle Datenfelder“ berechtigt werden.

Dazu gibt es auch die Möglichkeit, sich kritische Berechtigungen temporär erteilen zu lassen. So läuft man nicht Gefahr, im Alltag bei der Erstellung eines Reports oder so, aus Versehen „zu viele“ Daten zu extrahieren, wenn man sie aber tatsächlich alle braucht, kann man sie sich dokumentiert besorgen. Das geht zum Beispiel auch über Self-Services.

Einmal eingerichtet, sollten innerhalb des Systems unterschiedliche Abstufungen vorgenommen werden – nicht jeder Mitarbeitende braucht die gleichen Rechte. Ich empfehle, dass Vorgesetzte die Rechtevergabe zweimal im Jahr auf Aktualität überprüfen.

Ein Klassiker ist hier auch das Ausbildungsbeispiel. In einer Ausbildung, oder manchmal auch in Praktika oder Traineeprogrammen, durchlaufen die entsprechenden Personen oft viele Abteilungen, und bekommen dort jeweils Berechtigungen, um vernünftig zu unterstützen. Wenn diese nicht nach Abteilungswechsel wieder deaktiviert werden, haben Azubis manchmal am Ende Rechte, die kritische Missbrauchsgefahr bergen.

Ich rate Personalern, sich immer zu überlegen, welche Dokumente sie gerade vor sich haben, wie sie diese verschicken und ablegen – im Zweifelsfall verschlüsselt – und ob ein Dritter darauf zugreifen kann. Außerdem wünsche ich mir, dass Personaler die Chancen neuer Technologien erkennen. Personaler sind häufig technisch wenig affin und stehen Neuerungen skeptisch entgegen. Die Veränderung beziehungsweise der Aufwand für Cyber-Security-Maßnahmen ist aber oft nicht so groß wie befürchtet – und deutlich kleiner, als Schaden zu beheben.

Am besten mit allem rund um Dokumentenschutz in der Microsoft Cloud. Dazu gehören die Tools Microsoft Purview Information Protection, um Dokumente zu klassifizieren, sowie der Microsoft Defender, um Spam und Phishing in E-Mails zu reduzieren. Microsoft empfehle ich deswegen, weil sich das Unternehmen in den vergangenen Jahren stark aufgestellt hat und viele Kunden ohnehin Produkte wie Excel oder PowerPoint, aber oft auch Sharepoint, Outlook usw. nutzen.

Um Berechtigungen zu kontrollieren, etwa im SAP HCM System, oder auch über Systemgrenzen hinweg, bieten sich allerdings Lösungen von Drittanbietern an. Ihr Systembetreuer kann Ihnen da sicherlich je nach Anforderung geeignete Lösungen empfehlen.