Bestimmte Mitarbeiter stehen besonders im Visier von Cyberkriminellen, ungeachtet in welcher Branche sie tätig sind. Heute geht es um Cyberbedrohungen, die es speziell auf Mitarbeiter der Personalabteilungen, oft auch HR-Abteilungen (Human Resources) genannt, abgesehen haben. Der einfachste Grund hierfür – aber längst nicht der einzige – ist, dass die E-Mails von HR-Mitarbeitern zu Recruiting-Zwecken auf der Website des jeweiligen Unternehmens veröffentlicht werden und dementsprechend einfach zu finden sind.
Gezielte Cyberangriffe auf Personalabteilungen
In HR-Abteilungen besetzten Mitarbeiter eine recht ungewöhnliche Arbeitsstelle: Sie erhalten massenhaft betriebsexterne Korrespondenz und gleichzeitig haben sie in der Regel Zugriff auf personenbezogene Daten, bei denen sich das Unternehmen keine Datenlecks erlauben kann.
Eingehende E-Mails
Eine der typischen Vorgehensweisen von Cyberverbrechern besteht darin, Mitarbeitern eine E-Mail mit einem schädlichen Anhang oder bösartigen Link zu schicken. Deswegen empfehlen wir unseren Lesern unermüdlich, keine verdächtigen E-Mails mit Anhängen von unbekannten Absendern zu öffnen und keinesfalls bei solchen E-Mails auf einen Link zu klicken. Bei Mitarbeitern der Personalabteilung wäre diese Empfehlung natürlich lächerlich. Ein Großteil der E-Mails, die sie täglich erhalten, stammt von unbekannten Menschen und enthalten meistens auch einen Anhang mit dem Lebenslauf oder Links zu beispielsweise einer Arbeitsprobe. Man kann also davon ausgehen, dass mehr als die Hälfte dieser E-Mails als verdächtig eingestuft werden könnten.
Außerdem werden Portfolios oder Arbeitsproben von ehemaligen Arbeitsstellen oft in ungewöhnlichen Formaten geschickt, wie zum Beispiel hoch spezialisierte Dateien von CAD-Programmen. Schon allein durch die Beschaffenheit der Arbeitsstelle, bleibt HR-Mitarbeitern gar nichts anderes übrig, als solche Dateien zu öffnen und zu überprüfen. Selbst wenn wir erstmals außer Acht ließen, dass Cyberverbrecher oft den wahren Zweck einer Datei verstecken, indem sie die Dateierweiterung ändern (ist es wirklich eine CAD-Datei, ein Foto im RAW-Format, eine DOC- oder EXE-Datei?), werden nicht alle diese Programme regelmäßig aktualisiert und oft auch nicht sorgfältig auf mögliche Schwachstellen getestet. Es kommt nicht selten vor, dass Experten selbst bei sehr weit verbreiteter und regelmäßig analysierter Software wie beispielsweise Microsoft Office Sicherheitslücken entdecken, die die Ausführung willkürlichen Codes ermöglichen.
Zugriff auf personenbezogene Daten
Große Unternehmen verfügen öfters über ein Team aus verschiedenen HR-Fachkräften, die für die Kommunikation mit den Bewerbern und der Zusammenarbeit mit den derzeitigen Beschäftigten zuständig sind. Bei kleinen und mittleren Unternehmen (KMU) werden diese Aufgaben meistens von einer Person erledigt. Das bedeutet, dass eine einzige Person höchstwahrscheinlich den Zugriff auf sämtliche personenbezogene Daten des Unternehmens hat.
Wenn jemand daran Interesse hätte, das Unternehmen anzugreifen, reicht es in der Regel bereits die Mailbox des HR-Mitarbeiters zu kompromittieren. Bewerber, die interessanten Arbeitgebern ihren Lebenslauf schicken, geben ihre ausdrückliche oder stillschweigende Einwilligung zur Speicherung und Bearbeitung ihrer personenbezogenen Daten, aber sind deswegen noch lange nicht damit einverstanden, dass ihre Daten an Dritte weitergegeben werden. Cyberkriminelle können sich solche Daten für Blackmails (Erpressung durch Androhung der Bloßstellung) zunutze machen.
Und da wir gerade von Erpressungen sprechen, kommt hier natürlich auf Ransomware ins Spiel. Der neuste Trend bei Ransomware-Entwicklern besteht darin, die Daten erst zu stehlen, bevor sie dem Dateneigentümer den Zugriff darauf verwehren. Wenn ein Cyberverbrecher es schafft, Ransomware auf dem Computer der Personalabteilung zu installieren, bedeutet das für ihn einen großen Erfolg, weil er sich als Hauptgewinn alle personenbezogenen Daten in die Tasche stecken kann.
BEC-Angriffe fassen Fuß
Sich darauf zu verlassen, dass ein gutgläubiger oder ungeschulter Mitarbeiter einen Fehler macht ist mit Risiken verbunden. Eine schwierigere, aber effektivere Methode ist der BEC-Angriff (Business E-Mail Compromise), der in den letzten Jahren zugenommen hat. Bei diesen Angriffen übernimmt der Cyberverbrecher eine bestehende Firmen-E-Mail und versucht darüber einen Kollegen des entsprechenden Mitarbeiters dazu zu bringen, Geld auf die Konten von Kriminellen zu überweisen oder vertrauliche Dateien zu senden. Cyberverbrecher hacken hierfür oft die Konten von jemandem im Unternehmen, dessen Anweisungen befolgt werden – in den häufigsten Fällen das Konto einer Führungskraft – um den Erfolg des BEC-Angriffs zu sichern. Der aktiven Phase dieses Angriffs geht eine sorgfältige Erfassung der Daten über das Opfer voraus, um den passenden Vorgesetzten zu finden. Für diese Aufgabe kann eine HR-Mailbox besonders nützlich sein.
Zum einen, weil wie bereits oben erklärt, ist es einfacher zu erreichen, dass in der Personalabteilung eine Phishing-Mail geöffnet wird und zum anderen werden E-Mails aus der Personalabteilung normalerweise von allen Mitarbeitern als vertrauenswürdig angesehen. HR-Mitarbeiter schicken Abteilungsleitern oft die Lebensläufe von interessanten Bewerbern und im Allgemeinen werden viele Dokumente von der Personalabteilung an die anderen Abteilungen des Unternehmens gesendet. Das macht ein gehacktes E-Mail-Konto zu einer besonders effektiven Plattform, um einen BEC-Angriff zu starten und Zugang zum gesamten Unternehmensnetzwerk zu erhalten.
Effektiver Schutz für Computer von HR-Mitarbeitern
Zum Schutz der Computer, die für die Verwaltung des Personalwesens verwendet werden, empfehlen wir Folgendes:
- Falls möglich, isolieren Sie die Computer der Personalabteilung in einem separaten Subnetz. Sollte einer der Computer kompromittiert werden, können Sie so verhindern, dass eine Bedrohung sich auf das gesamte Unternehmensnetzwerk ausbreitet.
- Speichern Sie keine personenbezogenen Daten auf den Arbeitsplätzen. Es ist besser sensible Daten auf einem separaten Server zu speichern. Eine noch bessere Lösung wäre ein System, das speziell für die Speicherung dieser Art von Daten entwickelt wurde und durch mehrstufige Authentifizierung geschützt ist.
- Ratschläge von HR-Mitarbeitern bezüglich Security Awareness-Schulungen im Unternehmen sollten befolgt werden und besonders die Mitarbeiter der Personalabteilung sollten die ersten sein, die daran teilnehmen.
- Bitten Sie HR-Mitarbeiter eindringlich ein besonderes Augenmerk auf die Dateien der Bewerber zu legen. Recruiter sollten in der Lage sein eine ausführbare Datei zu erkennen und sie dementsprechend nicht zu öffnen. Es ist hilfreich eine Liste von zugelassenen Dateien für das Senden des Lebenslaufs aufzustellen und die echten Bewerber darüber zu informieren.
Grundsätzlich sind natürlich auch alle gewöhnlichen Sicherheitsmaßnahmen und Best Practices zu beachten, wie zum Beispiel: Die Software von Computern der Personalabteilung regelmäßig zu aktualisieren, eine strenge, leicht zu befolgende Passwort-Richtlinie aufrechtzuerhalten (keine schwachen oder duplizierte Passwörter für interne Ressourcen und darauf achten, dass die Passwörter regelmäßig in bestimmten Zeitabschnitten geändert werden) und auf jedem Rechner sollte eine Sicherheitslösung installiert sein, die schnell auf neue Bedrohungen reagiert und feststellt, wenn versucht wird Sicherheitslücken in Software auszunutzen.