Was Sie über Phishing-Mails mit HR-Absender wissen sollten

Lesen Sie, warum sich auch Hacker auf freie Tage freuen; warum die Belegschaft (vermeintliche) Mails der Personalabteilung eher anklickt; wie HR gegen die Gefahren von Phishing vorbeugen kann.

Achtung Urlaub

Bald kommt die Urlaubszeit, die Belegschaft freut sich darauf und auch die Hacker. Denn Hochsaison ist nicht nur an den Stränden, sondern auch in den Postfächern, die sich mit Phishing-Mails füllen. Neben der Urlaubszeit sind bevorstehende Feiertage oder saisonale Anlässe ebenfalls Zeiten, wo Phishing-Mails verstärkt versendet werden. Besonders oft geöffnet werden dabei kompromittierte Mails, die vorgeblich von HR kommen, denn sie enthalten in der Betreffzeile eine Vielzahl von interessanten Themen, wie Urlaubsmitteilungen, Schulungsinfos, Gehaltserhöhungen, Änderungen bei der Reisekostenabrechnung, Umfragen zur Mitarbeiterzufriedenheit oder eine neue Kleiderordnung. Dass Hacker häufig die Personalabteilung als Absender ihrer Phishing-Mails wählen, ist ein anhaltender Trend, hat eine Analyse eines Anbieters von Awareness Trainings ergeben.

Was macht HR-Mails so attraktiv?

Die Strategie der Hacker, Mails mit einem vorgeblichen HR-Absender zu verschicken, spielt mit Emotionen und Erwartungen und ist damit aus vielerlei Gründen erfolgreich:

  • Die Mails wirken vertrauenswürdig, da sie auf den ersten Blick von einem internen Absender kommen; so sind Mitarbeiterinnen und Mitarbeiter weniger achtsam und eher bereit, auf einen Link zu klicken oder einen Anhang herunter zu laden, woraufhin sich ein Schadprogramm öffnen kann.
  • Sie wecken positive Emotionen, wenn es zum Beispiel um Urlaub oder eine mögliche Gehaltserhöhung geht; oder sie wecken Neugier, wenn eine Organisationsänderung oder Schulungsangebote angekündigt werden.
  • Generell werden Mails aus der Personalabteilung als sehr wichtig eingeschätzt und das führt dazu, dass sie rascher geöffnet werden, ohne viel nachzudenken.

So gefährlich ist Phishing

Hackerangriffe nehmen zu und auch bei Phishing zeigt der Trend nach oben: Gefälschte Mails werden im Namen von externen Unternehmen wie Banken oder Lieferdienste, bzw. im Namen von internen Abteilungen wie HR versendet. Phishing-Angriffe sind heute erfolgreicher, weil sie weniger Tippfehler und besseres Deutsch enthalten und daher nicht mehr so einfach als Fälschung erkennbar sind, meldet onlinesicherheit.at, die Webseite des Zentrums für sichere Informationstechnologie Austria.

Phishing auf dem Vormarsch, stellt das Deutsche BSI (Bundesamt für Sicherheit und Informationstechnik) fest: Das Fischen nach Passwörtern steht am Anfang verschiedenartiger Delikte, die vom “einfachen” Datendiebstahl über illegale Kontoabbuchungen bis hin zu Angriffen auf kritische Infrastrukturen reichen.

Mit mehr als 10 Terabyte an monatlich gestohlenen Daten sind Lösegeld-Trojaner (Ransomware) eine der größten Cyberbedrohungen in der EU, wobei Phishing aktuell als das häufigste Eingangstor für solche Angriffe gilt, besagt eine EU-weite Statistik. Phishing-Mails mit einem Link oder Anhang, der bei Anklicken eine Schadsoftware startet, die in der Folge wertvolle Daten verschlüsselt, sind demnach häufig der erste Schritt für einen Ransomware-Angriff; Unternehmen werden dann aufgefordert, Lösegeld zu zahlen, um ihre Daten wieder zu erhalten. Übrigens empfehlen Spezialisten wie der Digitalverband bitkom, kein Lösegeld zu zahlen, weil sich die Daten selbst nach Zahlung zumeist nicht oder nicht vollständig wiederherstellen lassen.

Gegen Phishing vorbeugen – allgemeine Tipps

Die Statistiken zeigen, dass Phishing-Mails sehr weitreichende und teure Folgen haben können. Hundertprozentige Sicherheit kann nie erreicht werden, es ist jedoch wichtig, die Mitarbeitenden für diese Cybergefahren zu sensibilisieren und mit Schulungen über Bedrohungen aufzuklären. Dabei gibt es verschiedene Möglichkeiten:

  • Awareness-Trainings, die das Bewusstsein für Cyberangriffe wecken, werden von spezialisierten Dienstleistern angeboten.
  • Kostenlose Awareness-Trainings und Phishing-Simulationen für Unternehmen bietet Watchlist Internet an, eine unabhängige Informationsplattform zu Cyberkriminalität. Zusätzlich kann man einen Newsletter abonnieren, der zweimal monatlich über aktuelle Bedrohungen informiert.
  • Wie man Phishing-Mails und Webseiten erkennt, hat das Deutsche BSI zusammengestellt.

Wichtig sind wiederkehrende Schulungen, denn mit einem Training allein ist es nicht getan. Außerdem sollten die Schulungen praxisbezogen sein: Wer das in der Theorie Gelernte auch gleich üben kann, wird im Fall des Falles besser auf einen Phishing-Angriff reagieren.

HR-bezogene Phishing-Mails – spezielle Tipps

In Awareness Schulungen sollte die Gefahr von verstärkt auftretenden Phishing-Mails mit HR-Absender angesprochen und damit das Bewusstsein dafür geschärft werden. Zusätzlich kann die Personalabteilung noch folgende Maßnahmen treffen:

 

  • Eine Ansprechstelle einrichten und Vorgehens-Richtlinien festlegen, sodass die Belegschaft verdächtige Mails melden kann und kurzfristig Antwort bekommt.
  • Generische Mail Adressen wie hr@firmenname.at vermeiden, stattdessen entweder einen Namen aus dem Personalteam oder eine kompliziertere Variation verwenden, wie meinepersonalabteilung@firmenname.at
  • Mails, die von HR kommen, mit einem bestimmten Format gestalten und dieses immer verwenden; denn es ist sehr unwahrscheinlich, dass Hacker genau dieses Format anwenden.
  • Mit der IT-Abteilung zusammenarbeiten und mögliche Maßnahmen entwickeln; denn die IT ist als interne Ansprechstelle über neue Gefahren und Abwehrmethoden informiert.
  • Versenden von Links oder Anhängen per E-Mail vermeiden. Stattdessen geben Sie Hinweise, wie die Informationen abgerufen werden können. Idealerweise nutzen Sie HR-Tools, um Informationen und Anhänge zu verteilen, wie zum Beispiel die HR-Benachrichtigungen in Sage DPW.
  • Wenn Sie HR-Tools verwenden, schulen Sie Ihr Personal im Umgang damit und weisen Sie darauf hin, besonders vorsichtig zu sein, wenn Nachrichten von HR außerhalb dieser Tools versendet werden.
Beitrag teilen Facebook Twitter LinkedIn XING

Weitere Artikel

12. Januar 2024 Neuerungen im Arbeitsrecht 2024

Wir geben Ihnen eine Übersicht über die wichtigsten arbeitsrechtlichen Neuerungen, die mit 01.11.2023 in Kraft getreten sind.

18. August 2020 Resilienz: Maßnahmen für Mitarbeiter und Organisation

Veränderungen anzunehmen und daraus zu wachsen, wird für Unternehmen eine zunehmend wichtige Fähigkeit. Im zweiten Teil der Serie lesen Sie Tipps für resiliente Teams und über die Rolle von Resilienz in Krisensituationen.

19. Dezember 2022 Lohnsteuer 2023

Aufgrund der aktuellen Teuerungen gibt es auch für 2023 wieder zahlreiche gesetzlichen Änderungen im Steuerrecht. Wir haben die Neuerungen für Sie zusammengefasst.