Warum Sie in HR darauf bauen sollten

MFA ist eine wirkungsvolle zusätzliche Hürde, um sensible HR-Daten vor Hackern zu schützen. Was Sie außerdem wissen sollten: Wie wertvoll sind Personaldaten im Darknet, gesetzliche Regeln und Pflichten rund um Datenverlust, Tipps und Argumente zur MFA-Einführung.

Typische Angriffsszenarien und wie MFA das verhindern kann

Ein einstufiger Anmeldevorgang, also wo man nur ein Passwort eingeben muss, kann leichter geknackt werden, als ein mehrstufiges Anmeldeverfahren, wie es die Multi-Faktor-Authentifizierung bietet. Schauen wir uns das an Beispielen unterschiedlicher Angriffsszenarien an:

  • Phishing – die häufigste Angriffsart für Datendiebstahl: Mit gefälschtem SMS, Mail oder Anruf wird ein Mitarbeiter oder eine Mitarbeiterin verleitet, das eigene Passwort preiszugeben.
    -> MFA verhindert jedoch den Hackern den Zugang, weil sie mit Phishing den zweiten erforderlichen Berechtigungsnachweis nicht erbeuten können, z.B. einen Code, der auf das Handy oder an die Mailadresse des Mitarbeiters oder der Mitarbeiterin geschickt wird.
  • Brute-Force oder Wörterbuchangriffe: Mit Hilfe eines Programms werden automatisiert unzählige Anmelde-Kombinationen von Benutzernamen und Passwörtern ausprobiert; die Hacker hoffen, eine Kombination zu erhalten, die ihnen den Zugriff, etwa zur HR-Lösung einer Firma, ermöglicht.
    -> MFA verhindert den Zugang, weil wiederum der zweite Berechtigungsnachweis fehlt.
  • Ransomware-Angriffe: Dabei wird ein Schadprogramm heimlich installiert, welches unternehmenskritische Daten verschlüsseln soll; die Hacker verlangen dann Lösegeld für das Entschlüsseln (wobei auch wenn gezahlt wird, Daten oft nicht wiederherstellbar sind).
    -> MFA verhindert, dass Ransomware-Angriffe beginnen können, denn dazu benötigen Cyberkriminelle den Zugang zum System, also wieder zweistufige Berechtigungsnachweise.

Hinweis: Natürlich kann auch Multi-Faktor-Authentifizierung keine hundertprozentige Garantie gegen Cybergefahren bieten, jedoch wird die Sicherheit – wie in den Beispielen gezeigt – wesentlich erhöht. Außerdem könnten IT-seitig versuchte Hackerangriffe erkannt werden: Wenn viele unautorisierte MFA-Anmeldeversuche stattfinden, kann das ein Warnhinweis sein.

Personaldaten sind viel wert und daher begehrt

Der Handel mit gestohlenen Daten und deren Missbrauch ist ein lukratives Geschäft; das Zentrum für sichere Informationstechnologie – Austria beziffert das so:

  • Der Name wurde in 87 Prozent der Fälle von Identitätsdiebstahl missbraucht, gefolgt von der Sozialversicherungsnummer mit 63 Prozent und dem Geburtsdatum mit 35 Prozent.
  • Ein vollständiges Identitätspaket einer Person (Name, Adresse, SVNR, Bankkonto etc.) wird im Darknet (einem versteckten Teil des Internet) ab 30 US-Dollar gehandelt.

DSGVO und NIS2: Gesetzliche Konsequenzen von Datendiebstahl

Wenn personenbezogene Daten gestohlen, missbraucht oder auch verloren werden, spricht man von einem Data Breach. Die Konsequenzen dieser Verletzung der Privatsphäre regelt die DSGVO: Eine Datenschutzverletzung muss binnen 72 Stunden an die Aufsichtsbehörde gemeldet werden und betroffene Personen sind, wenn das Risiko vorhersehbar hoch ist, unverzüglich zu benachrichtigen. Verstöße gegen die Meldepflichten können Geldstrafen führen.

Die NIS-Richtlinie (das Kürzel steht für die Sicherheit der Netz- und Informationssysteme) hat das Ziel, ein hohes Niveau an Cybersicherheit innerhalb der EU-Mitgliedstaaten zu erreichen. Nun soll in Kürze NIS2 in Kraft treten: das wird mehr Unternehmen betreffen, damit kritische Infrastrukturen besser geschützt werden können. Die Umsetzung in Österreich wurde vom Gesetzgeber zwar noch nicht beschlossen, Unternehmen sollten sich dennoch darauf vorbereiten. Zu den NIS2-Maßnahmen gegen Cyberangriffe zählen verstärkte Zugriffskontrollen und hier lautet die Expertenmeinung, auf MFA zu setzen (siehe Fakt 8: Mehrere Faktoren verbessern die Sicherheit beim Account-Login).

Umsetzung in der HR-Lösung

Datenschutz ist nicht nur ein IT-Thema, sondern geht heute jede Abteilung etwas an. Diese Security-Fragen, die MFA und mehr betreffen, sollten Sie dem Anbieter Ihrer HR-Software stellen:

  • Entspricht die HR-Lösung den Anforderungen der DSGVO und wird das auch bei der Weiterentwicklung mitbedacht?
  • Ist es erforderlich oder zumindest wahlweise möglich, den Anmeldevorgang mit MFA durchzuführen?
  • Sind die Personaldaten – im Fall einer Cloudlösung – auf europäischen Servern gespeichert?

Ein Data Breach kann schwerwiegende Folgen haben, denn Personaldaten zählen nun mal zu den sensibelsten Daten im Unternehmen. Auch der Imageschaden ist groß.

 

Vorteile von MFA für HR und das gesamte Unternehmen

  • Sensible Personaldaten sind besser vor Cyberangriffen geschützt, damit werden vor allem aktuelle Bedrohungen wie Phishing reduziert.
  • Der Zugang zum HR-System hängt nicht nur von Passwörtern ab, die oft leicht zu knacken sind, sondern es sind zwei Berechtigungsnachweise erforderlich.
  • Das Vertrauen der Beschäftigten wird gestärkt, die Personalabteilung geht bei Datensicherheit mit gutem Beispiel voran.
  • Gesetzliche Anforderungen werden erfüllt, was ansonsten zu Strafen führen könnte.
  • Mit der Nutzung von MFA wird proaktiv gegen die Gefahren von Datendiebstahl vorgegangen, um die Privatsphäre der Belegschaft so gut wie möglich zu schützen und um das Unternehmen vor finanziellen Verlusten und Imageschaden zu bewahren.
Beitrag teilen Facebook Twitter LinkedIn XING

Weitere Artikel

22. Juni 2023 Teilzeit

Work-Life-Balance, Überforderung, Betreuungspflichten – immer mehr Menschen entscheiden sich für Teilzeitarbeit. Lesen Sie über Regeln wie Schriftform, Mehrstunden oder Gleichbehandlungsgebot.

Beitrag lesen
19. Juni 2024 Employee Experience mit KI stärken

Künstliche Intelligenz (KI) revolutioniert die Arbeitswelt und stellt Unternehmen vor die Entscheidung, die Zukunft aktiv mitzugestalten oder klein beizugeben. Das gilt ganz besonders für Personalverantwortliche. KI bietet viele Möglichkeiten HR-Prozesse zu optimieren und Mitarbeitende ans Unternehmen zu binden.

Beitrag lesen
8. Januar 2019 Gut vorbereitet zur GPLA

Mindestens alle 5 Jahre findet sie routinemäßig statt, die GPLA – die Gemeinsame Prüfung aller Lohnabhängigen Abgaben. Für Dienstgeber bringt das mehr Effizienz, denn im Zuge eines einzigen Prüfvorgangs werden die gesamten lohnabhängigen Abgaben kontrolliert – alle Unterlagen müssen also nur einmal vorbereitet werden. Geprüft werden Sozialversicherungsbeiträge und Umlagen, Lohnsteuer, Dienstgeberbeitrag zum Familienlastenausgleichsfonds, Zuschlag zum Dienstgeberbeitrag und Kommunalsteuer. Hier finden Sie Tipps, woran Sie im Vorfeld der GPLA-Prüfung denken sollten und wie Sie „klassische Stolpersteine“ vermeiden.

Beitrag lesen