Cyberkriminalität steigt jedes Jahr

Viele Unternehmen haben schon Cyberattacken erlebt. Häufiger werden jetzt auch Drohungen, gestohlene Daten zu veröffentlichen. HR hat mit sensiblen Personaldaten und kritischen Prozessen wie Lohnverrechnung zu tun und sollte sich daher über Konsequenzen, rechtliche Aspekte und professionelle IT-Security Gedanken machen.

Wer IT-News liest, findet darin täglich mindestens eine Meldung über Hackerangriffe. Der internationale Trend steigender Cyberbedrohungen spiegelt sich auch hierzulande wider:

  • 67% der befragten Unternehmen in Österreich waren im letzten Jahr Opfer eines Cyberangriffs, meldet KPMG im Report Cybersecurity in Österreich 2022; bei 20% entstand durch Cyberkriminelle ein finanzieller Schaden.
  • 49 % der österreichischen Unternehmen wurden schon Opfer einer Ransomware-Attacke, meldet Deloitte im Cyber Security Report; bei 18 % kam es infolge eines Cyber-Angriffs zu Datenverschlüsselungen.
  • 2021 steig die Zahl der angezeigten Cybercrime-Fälle innerhalb eines Jahres um 28,6 Prozent, von 35.915 im Jahr 2020 auf 46.179 Anzeigen, meldet der Cybercrime-Report des Bundeskriminalamts; durch die Covid-19-Pandemie wurden Phishing, Malspam und Ransomware begünstigt.

Hacker gehen immer professioneller vor

Laut Security-Experten verwenden Hacker jedoch immer öfter eine Kombination aus verschiedenen Angriffsmethoden: Mit Phishing-Mails werden beispielsweise Zugangsdaten ausspioniert, dann wird auf einen günstigen Moment gewartet, um einen Ransomware Angriff zu starten und kritische Unternehmensdaten zu verschlüsseln, sodass z.B. Produktionsprozesse und damit Fabriken stillstehen, und dafür Lösegeld zu erpressen. Vorzugsweise erfolgt das an einem langen Wochenende, wo (fast) niemand in der Firma ist und die Angreifer mehr Zeit haben. So wurde beispielsweise die Chipfabrik von Foxconn am Thanksgiving-Wochenende Opfer einer Ransomware Attacke.

Ebenso warnen Experten vor einer Kombination von Ransomware und Data Leaks: Hacker erpressen Geld dafür, dass sensible Unternehmensdaten wieder entschlüsselt werden; zusätzlich erpressen sie eine Art Schweigegeld, indem sie damit drohen, die gestohlenen Daten im Darknet zu veröffentlichen. Das bedeutet: Auch wenn ein Unternehmen Lösegeld zahlt und mit entschlüsselten Daten weiterarbeiten kann, droht die Gefahr, dass dessen sensible Daten veröffentlicht werden. Dies ist für betroffene Unternehmen sehr unangenehm, denn das können sensible Firmendaten wie Patente, Personaldaten, Kundendaten oder auch Daten von Partnern und Lieferanten sein.

Personendaten müssen besonders geschützt werden

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare Person beziehen; dazu zählen Name, Adresse, Geburtsdatum, Bankdaten aber auch Fingerabdruck oder die Krankengeschichte. In jedem Unternehmen ist daher besonders die Personalabteilung gefordert, auf den Schutz der Daten zu achten, mit denen sie tagtäglich zu tun hat. Denn die Daten der Belegschaft, genauso wie von Job-Kandidaten, enthalten viele personenbezogene Daten. Und diese geraten ins Visier der Cyberkriminellen. So ist beispielsweise der Hackerangriff auf die Kärntner Landesregierung im Frühsommer vielen noch in Erinnerung: Die Hackergruppe BlackCat hatte E-Mails der Kärntner Landesregierung, Fotos von Reisepässen und Daten zur Hypobank veröffentlicht. Rund 250 GB sollen erbeutet worden sein. Durch den Angriff waren eine Zeitlang auch Prozesse lahmgelegt, wie etwa die Auszahlung von Sozialleistungen.

Verantwortliche in Unternehmen müssen sich – angesichts dieser Entwicklungen – daher die Frage stellen, ob die Firmendaten und internen Prozesse ausreichend geschützt sind, denn Hackerangriffe können bewirken, dass das Unternehmen stillsteht und das führt zu Umsatzeinbußen. Für Human Resources geht es um den Schutz der sensiblen Personaldaten und um die Sicherstellung von Prozessen wie der Lohnverrechnung.

Strenge rechtliche Pflichten bei Datenschutzverletzungen

Ein Hackerangriff, speziell wenn er mit der Drohung einer Datenveröffentlichung verbunden ist, hat auch rechtliche Konsequenzen: Laut DSGVO (Datenschutzgrundverordnung) muss die Verletzung des Schutzes personenbezogener Daten (ein sogenannter Data Breach) gemeldet werden, und zwar sowohl an die zuständige Aufsichtsbehörde, das ist hierzulande die dsb (Österreichische Datenschutzbehörde), als auch und an die betroffenen Personen, wenn voraussichtlich ein hohes Risiko besteht. Bei Verstößen gegen diese Melde- und Benachrichtigungspflicht drohen Geldbußen von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.

IT-Sicherheit braucht Profis

Oft denken kleine und mittlere Unternehmen, dass große Konzerne oder öffentliche Organisationen die lohnenden Angriffsziele sind; schließlich wird über solche Vorfälle ja auch in den Medien berichtet. Doch das ist eine trügerische Sicherheit, denn große Unternehmen haben mittlerweile viel in IT-Security investiert, sodass KMU zu den leichteren Opfern zählen. Daher muss sich jedes Unternehmen schützen, doch für kleinere ist dies oft eine Kostenfrage und ebenso eine Frage des Know-hows. Experten für IT-Sicherheit werden überall dringend gesucht. Außerdem ist IT-Sicherheit nicht mit einem Mal erledigt, sondern muss laufend an neue Bedrohungsszenarien angepasst werden – professionelle Sicherheitsmaßnahmen kosten also langfristig Aufwand und Geld.

So können Sie die Sicherheit für HR-Daten und Prozesse erhöhen

Damit KMU ein gleiches Sicherheitsniveau wie große Firmen erreichen, lohnt es sich, über Outsourcing nachzudenken. Für die Aufgaben von Human Resources bietet es sich an, die Personal-Software als Cloudlösung in einem Rechenzentrum zu betreiben und/oder die Lohnverrechnung an einen professionellen Dienstleister zu vergeben. In beiden Fällen profitieren KMU von folgenden Vorteilen:

  • Die sensiblen Personaldaten sind in einem Rechenzentrum gespeichert und dort mit professionellen Security-Maßnahmen geschützt.
  • Der Betrieb wird von Experten rund um die Uhr überwacht, ebenso werden täglich Back-Ups gemacht.
  • Sollte ein Hackerangriff dennoch stattfinden, denn davor ist niemand gefeit, kann ein Expertenteam für IT-Security schneller und besser reagieren, um etwa einen Angriff zu stoppen.
  • KMU können mit Cloud-Lösungen und Outsourcing ihre Personaldaten und Prozesse auf einem Sicherheitsniveau schützen, das sie selbst nie herstellen könnten, gleichzeitig haben sie geringere Aufwände für IT-Sicherheit. Die Kosten sind transparent kalkulierbar und niedriger, als wenn sie selbst Server betreiben würden.
Beitrag teilen Facebook Twitter LinkedIn XING

Weitere Artikel

9. Januar 2023 Neuerungen in der Personalverrechnung 2023

Der Gesetzgeber hat auch für 2023 zahlreiche Maßnahmen bzw. Änderungen beschlossen. Wir haben für Sie die großen und kleine Neuerungen zusammengefasst. Zusätzlich bringen wir Antworten zum Thema „Senkung DB-Beitrag“, wo es viele Fragen aufgrund von Unklarheiten gab.

Beitrag lesen
27. März 2020 Implementierung von eLearning im Unternehmen

Die grundlegenden Begriffe haben wir im ersten Teil geklärt, ebenso Vor- und Nachteile für die Lernenden analysiert. Nun geht es um Lernplattformen und die Implementierung von eLearning im Unternehmen, Sie bekommen dazu Tipps sowie Hinweise auf mögliche Stolpersteine.

Beitrag lesen
22. Juni 2023 Teilzeit

Work-Life-Balance, Überforderung, Betreuungspflichten – immer mehr Menschen entscheiden sich für Teilzeitarbeit. Lesen Sie über Regeln wie Schriftform, Mehrstunden oder Gleichbehandlungsgebot.

Beitrag lesen