Warum Sie in HR darauf bauen sollten

MFA ist eine wirkungsvolle zusätzliche Hürde, um sensible HR-Daten vor Hackern zu schützen. Was Sie außerdem wissen sollten: Wie wertvoll sind Personaldaten im Darknet, gesetzliche Regeln und Pflichten rund um Datenverlust, Tipps und Argumente zur MFA-Einführung.

Typische Angriffsszenarien und wie MFA das verhindern kann

Ein einstufiger Anmeldevorgang, also wo man nur ein Passwort eingeben muss, kann leichter geknackt werden, als ein mehrstufiges Anmeldeverfahren, wie es die Multi-Faktor-Authentifizierung bietet. Schauen wir uns das an Beispielen unterschiedlicher Angriffsszenarien an:

  • Phishing – die häufigste Angriffsart für Datendiebstahl: Mit gefälschtem SMS, Mail oder Anruf wird ein Mitarbeiter oder eine Mitarbeiterin verleitet, das eigene Passwort preiszugeben.
    -> MFA verhindert jedoch den Hackern den Zugang, weil sie mit Phishing den zweiten erforderlichen Berechtigungsnachweis nicht erbeuten können, z.B. einen Code, der auf das Handy oder an die Mailadresse des Mitarbeiters oder der Mitarbeiterin geschickt wird.
  • Brute-Force oder Wörterbuchangriffe: Mit Hilfe eines Programms werden automatisiert unzählige Anmelde-Kombinationen von Benutzernamen und Passwörtern ausprobiert; die Hacker hoffen, eine Kombination zu erhalten, die ihnen den Zugriff, etwa zur HR-Lösung einer Firma, ermöglicht.
    -> MFA verhindert den Zugang, weil wiederum der zweite Berechtigungsnachweis fehlt.
  • Ransomware-Angriffe: Dabei wird ein Schadprogramm heimlich installiert, welches unternehmenskritische Daten verschlüsseln soll; die Hacker verlangen dann Lösegeld für das Entschlüsseln (wobei auch wenn gezahlt wird, Daten oft nicht wiederherstellbar sind).
    -> MFA verhindert, dass Ransomware-Angriffe beginnen können, denn dazu benötigen Cyberkriminelle den Zugang zum System, also wieder zweistufige Berechtigungsnachweise.

Hinweis: Natürlich kann auch Multi-Faktor-Authentifizierung keine hundertprozentige Garantie gegen Cybergefahren bieten, jedoch wird die Sicherheit – wie in den Beispielen gezeigt – wesentlich erhöht. Außerdem könnten IT-seitig versuchte Hackerangriffe erkannt werden: Wenn viele unautorisierte MFA-Anmeldeversuche stattfinden, kann das ein Warnhinweis sein.

Personaldaten sind viel wert und daher begehrt

Der Handel mit gestohlenen Daten und deren Missbrauch ist ein lukratives Geschäft; das Zentrum für sichere Informationstechnologie – Austria beziffert das so:

  • Der Name wurde in 87 Prozent der Fälle von Identitätsdiebstahl missbraucht, gefolgt von der Sozialversicherungsnummer mit 63 Prozent und dem Geburtsdatum mit 35 Prozent.
  • Ein vollständiges Identitätspaket einer Person (Name, Adresse, SVNR, Bankkonto etc.) wird im Darknet (einem versteckten Teil des Internet) ab 30 US-Dollar gehandelt.

DSGVO und NIS2: Gesetzliche Konsequenzen von Datendiebstahl

Wenn personenbezogene Daten gestohlen, missbraucht oder auch verloren werden, spricht man von einem Data Breach. Die Konsequenzen dieser Verletzung der Privatsphäre regelt die DSGVO: Eine Datenschutzverletzung muss binnen 72 Stunden an die Aufsichtsbehörde gemeldet werden und betroffene Personen sind, wenn das Risiko vorhersehbar hoch ist, unverzüglich zu benachrichtigen. Verstöße gegen die Meldepflichten können Geldstrafen führen.

Die NIS-Richtlinie (das Kürzel steht für die Sicherheit der Netz- und Informationssysteme) hat das Ziel, ein hohes Niveau an Cybersicherheit innerhalb der EU-Mitgliedstaaten zu erreichen. Nun soll in Kürze NIS2 in Kraft treten: das wird mehr Unternehmen betreffen, damit kritische Infrastrukturen besser geschützt werden können. Die Umsetzung in Österreich wurde vom Gesetzgeber zwar noch nicht beschlossen, Unternehmen sollten sich dennoch darauf vorbereiten. Zu den NIS2-Maßnahmen gegen Cyberangriffe zählen verstärkte Zugriffskontrollen und hier lautet die Expertenmeinung, auf MFA zu setzen (siehe Fakt 8: Mehrere Faktoren verbessern die Sicherheit beim Account-Login).

Umsetzung in der HR-Lösung

Datenschutz ist nicht nur ein IT-Thema, sondern geht heute jede Abteilung etwas an. Diese Security-Fragen, die MFA und mehr betreffen, sollten Sie dem Anbieter Ihrer HR-Software stellen:

  • Entspricht die HR-Lösung den Anforderungen der DSGVO und wird das auch bei der Weiterentwicklung mitbedacht?
  • Ist es erforderlich oder zumindest wahlweise möglich, den Anmeldevorgang mit MFA durchzuführen?
  • Sind die Personaldaten – im Fall einer Cloudlösung – auf europäischen Servern gespeichert?

Ein Data Breach kann schwerwiegende Folgen haben, denn Personaldaten zählen nun mal zu den sensibelsten Daten im Unternehmen. Auch der Imageschaden ist groß.

 

Vorteile von MFA für HR und das gesamte Unternehmen

  • Sensible Personaldaten sind besser vor Cyberangriffen geschützt, damit werden vor allem aktuelle Bedrohungen wie Phishing reduziert.
  • Der Zugang zum HR-System hängt nicht nur von Passwörtern ab, die oft leicht zu knacken sind, sondern es sind zwei Berechtigungsnachweise erforderlich.
  • Das Vertrauen der Beschäftigten wird gestärkt, die Personalabteilung geht bei Datensicherheit mit gutem Beispiel voran.
  • Gesetzliche Anforderungen werden erfüllt, was ansonsten zu Strafen führen könnte.
  • Mit der Nutzung von MFA wird proaktiv gegen die Gefahren von Datendiebstahl vorgegangen, um die Privatsphäre der Belegschaft so gut wie möglich zu schützen und um das Unternehmen vor finanziellen Verlusten und Imageschaden zu bewahren.
Beitrag teilen Facebook Twitter LinkedIn XING

Weitere Artikel

12. März 2024 Das bringt Self-Service in HR

Den Begriff ist zwar sperrig: Employee Self-Service, auf Deutsch: Mitarbeiter Selbstverwaltung. Die Umsetzung ist jedoch nicht sperrig: Lesen Sie über den Wert von selber machen, digitale Kommunikations-Champions und die Freude an strategischer Personalarbeit. Außerdem haben wir Ihnen eine Checkliste für die Lösungs-Auswahl zusammengestellt.

3. November 2021 Die neue Regelung für 3G am Arbeitsplatz

Geimpft, genesen oder getestet heißt es jetzt auch bei der Arbeit. Mit dieser Verordnung wird in einigen Punkten Neuland betreten und das wird naturgemäß von Arbeitsrechtsexperten in nächster Zeit evaluiert werden. Wir haben nach heutigem Wissensstand zusammengefasst, worauf Unternehmen künftig achten müssen und geben Tipps zur Umsetzung.

13. März 2020 Home-Office in der Praxis

Aufgrund der kontinuierlich fortschreitenden Digitalisierung in der Arbeitswelt nehmen neue Formen der Arbeitsleistung wie beispielsweise Home-Office für Betriebe verschiedenster Branchen einen immer höheren Stellenwert ein.