Cyberkriminalität steigt jedes Jahr

Viele Unternehmen haben schon Cyberattacken erlebt. Häufiger werden jetzt auch Drohungen, gestohlene Daten zu veröffentlichen. HR hat mit sensiblen Personaldaten und kritischen Prozessen wie Lohnverrechnung zu tun und sollte sich daher über Konsequenzen, rechtliche Aspekte und professionelle IT-Security Gedanken machen.

Wer IT-News liest, findet darin täglich mindestens eine Meldung über Hackerangriffe. Der internationale Trend steigender Cyberbedrohungen spiegelt sich auch hierzulande wider:

  • 67% der befragten Unternehmen in Österreich waren im letzten Jahr Opfer eines Cyberangriffs, meldet KPMG im Report Cybersecurity in Österreich 2022; bei 20% entstand durch Cyberkriminelle ein finanzieller Schaden.
  • 49 % der österreichischen Unternehmen wurden schon Opfer einer Ransomware-Attacke, meldet Deloitte im Cyber Security Report; bei 18 % kam es infolge eines Cyber-Angriffs zu Datenverschlüsselungen.
  • 2021 steig die Zahl der angezeigten Cybercrime-Fälle innerhalb eines Jahres um 28,6 Prozent, von 35.915 im Jahr 2020 auf 46.179 Anzeigen, meldet der Cybercrime-Report des Bundeskriminalamts; durch die Covid-19-Pandemie wurden Phishing, Malspam und Ransomware begünstigt.

Hacker gehen immer professioneller vor

Laut Security-Experten verwenden Hacker jedoch immer öfter eine Kombination aus verschiedenen Angriffsmethoden: Mit Phishing-Mails werden beispielsweise Zugangsdaten ausspioniert, dann wird auf einen günstigen Moment gewartet, um einen Ransomware Angriff zu starten und kritische Unternehmensdaten zu verschlüsseln, sodass z.B. Produktionsprozesse und damit Fabriken stillstehen, und dafür Lösegeld zu erpressen. Vorzugsweise erfolgt das an einem langen Wochenende, wo (fast) niemand in der Firma ist und die Angreifer mehr Zeit haben. So wurde beispielsweise die Chipfabrik von Foxconn am Thanksgiving-Wochenende Opfer einer Ransomware Attacke.

Ebenso warnen Experten vor einer Kombination von Ransomware und Data Leaks: Hacker erpressen Geld dafür, dass sensible Unternehmensdaten wieder entschlüsselt werden; zusätzlich erpressen sie eine Art Schweigegeld, indem sie damit drohen, die gestohlenen Daten im Darknet zu veröffentlichen. Das bedeutet: Auch wenn ein Unternehmen Lösegeld zahlt und mit entschlüsselten Daten weiterarbeiten kann, droht die Gefahr, dass dessen sensible Daten veröffentlicht werden. Dies ist für betroffene Unternehmen sehr unangenehm, denn das können sensible Firmendaten wie Patente, Personaldaten, Kundendaten oder auch Daten von Partnern und Lieferanten sein.

Personendaten müssen besonders geschützt werden

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare Person beziehen; dazu zählen Name, Adresse, Geburtsdatum, Bankdaten aber auch Fingerabdruck oder die Krankengeschichte. In jedem Unternehmen ist daher besonders die Personalabteilung gefordert, auf den Schutz der Daten zu achten, mit denen sie tagtäglich zu tun hat. Denn die Daten der Belegschaft, genauso wie von Job-Kandidaten, enthalten viele personenbezogene Daten. Und diese geraten ins Visier der Cyberkriminellen. So ist beispielsweise der Hackerangriff auf die Kärntner Landesregierung im Frühsommer vielen noch in Erinnerung: Die Hackergruppe BlackCat hatte E-Mails der Kärntner Landesregierung, Fotos von Reisepässen und Daten zur Hypobank veröffentlicht. Rund 250 GB sollen erbeutet worden sein. Durch den Angriff waren eine Zeitlang auch Prozesse lahmgelegt, wie etwa die Auszahlung von Sozialleistungen.

Verantwortliche in Unternehmen müssen sich – angesichts dieser Entwicklungen – daher die Frage stellen, ob die Firmendaten und internen Prozesse ausreichend geschützt sind, denn Hackerangriffe können bewirken, dass das Unternehmen stillsteht und das führt zu Umsatzeinbußen. Für Human Resources geht es um den Schutz der sensiblen Personaldaten und um die Sicherstellung von Prozessen wie der Lohnverrechnung.

Strenge rechtliche Pflichten bei Datenschutzverletzungen

Ein Hackerangriff, speziell wenn er mit der Drohung einer Datenveröffentlichung verbunden ist, hat auch rechtliche Konsequenzen: Laut DSGVO (Datenschutzgrundverordnung) muss die Verletzung des Schutzes personenbezogener Daten (ein sogenannter Data Breach) gemeldet werden, und zwar sowohl an die zuständige Aufsichtsbehörde, das ist hierzulande die dsb (Österreichische Datenschutzbehörde), als auch und an die betroffenen Personen, wenn voraussichtlich ein hohes Risiko besteht. Bei Verstößen gegen diese Melde- und Benachrichtigungspflicht drohen Geldbußen von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.

IT-Sicherheit braucht Profis

Oft denken kleine und mittlere Unternehmen, dass große Konzerne oder öffentliche Organisationen die lohnenden Angriffsziele sind; schließlich wird über solche Vorfälle ja auch in den Medien berichtet. Doch das ist eine trügerische Sicherheit, denn große Unternehmen haben mittlerweile viel in IT-Security investiert, sodass KMU zu den leichteren Opfern zählen. Daher muss sich jedes Unternehmen schützen, doch für kleinere ist dies oft eine Kostenfrage und ebenso eine Frage des Know-hows. Experten für IT-Sicherheit werden überall dringend gesucht. Außerdem ist IT-Sicherheit nicht mit einem Mal erledigt, sondern muss laufend an neue Bedrohungsszenarien angepasst werden – professionelle Sicherheitsmaßnahmen kosten also langfristig Aufwand und Geld.

So können Sie die Sicherheit für HR-Daten und Prozesse erhöhen

Damit KMU ein gleiches Sicherheitsniveau wie große Firmen erreichen, lohnt es sich, über Outsourcing nachzudenken. Für die Aufgaben von Human Resources bietet es sich an, die Personal-Software als Cloudlösung in einem Rechenzentrum zu betreiben und/oder die Lohnverrechnung an einen professionellen Dienstleister zu vergeben. In beiden Fällen profitieren KMU von folgenden Vorteilen:

  • Die sensiblen Personaldaten sind in einem Rechenzentrum gespeichert und dort mit professionellen Security-Maßnahmen geschützt.
  • Der Betrieb wird von Experten rund um die Uhr überwacht, ebenso werden täglich Back-Ups gemacht.
  • Sollte ein Hackerangriff dennoch stattfinden, denn davor ist niemand gefeit, kann ein Expertenteam für IT-Security schneller und besser reagieren, um etwa einen Angriff zu stoppen.
  • KMU können mit Cloud-Lösungen und Outsourcing ihre Personaldaten und Prozesse auf einem Sicherheitsniveau schützen, das sie selbst nie herstellen könnten, gleichzeitig haben sie geringere Aufwände für IT-Sicherheit. Die Kosten sind transparent kalkulierbar und niedriger, als wenn sie selbst Server betreiben würden.
Beitrag teilen Facebook Twitter LinkedIn XING

Weitere Artikel

8. Januar 2021 Virtuelle Meetings effizient gestalten

Viele kleine Gesichter, die Mimik ist nicht zu erkennen, manche Kästchen sind nur schwarz mit einem Namen drauf, jemand redet endlos – bald packt uns die Videokonferenz-Erschöpfung, aber ein Ergebnis ist noch in weiter Ferne. Damit eine Besprechung online produktiv ist, haben wir für Sie viele Tipps zusammengestellt: von Technik über Timing bis zu Moderation und sozialem Kontakt.

30. April 2021 Reboarding nach der Pandemie

Lange Zeit im Home-Office auf sich gestellt, wird die Belegschaft mit dem sich abzeichnenden Ende der Lockdowns ins Unternehmen zurückkehren. Human Resources spielt dabei eine zentrale Rolle, wir haben Ihnen die anstehenden Fragen zusammengestellt.

26. Juli 2021 Neuerungen in der Personalverrechnung

Kurzarbeit Phase 5, Home-Office, Pendlerpauschale, Öffi-Ticket – das sind die Stichworte zu den neuen gesetzlichen Änderungen. Sie lesen im Überblick, was die Personalverrechnung künftig beachten muss.