Startseite » Fachbeiträge » Was haben Personalabteilungen mit Cybersecurity zu tun?

Was haben Personalabteilungen mit Cybersecurity zu tun?

Den Menschen als größte Schwachstelle für die IT-Sicherheit zu bewerten und den Schuldigen zu suchen, ist der falsche Ansatz. Vielmehr können Mitarbeitende mit dem nötigen Bewusstsein für IT-Risiken die stärkste Sicherheitsbarriere darstellen.

2 Min. Lesezeit
Frau arbeitet am Laptop_wichtiges HR-Thema Cybersecurity
Foto: ©AdobeStock/Halfpoint

Advertorial

Wie Sie mit Awareness Trainings und Game-Based Learning sicheres Verhalten trainieren.

Unglaubliche neun von zehn Unternehmen waren 2022 laut Bitkom von Cyberangriffen betroffen. Der wirtschaftliche Schaden: 203 Milliarden Euro. Doch was macht die Cyberkriminellen so „erfolgreich“, wo doch jedes Unternehmen Security Software im Einsatz hat? Und warum sollte sich die Personalabteilung um Cybersecurity kümmern? Ist das nicht ein Thema für die IT?

Warum Technik allein nicht schützt

Natürlich ist Cybersecurity ein Hauptthema der IT-Abteilung. Mit der passenden Software schützt sie die Systeme des Unternehmens. Aber was passiert, wenn sich Cyberkriminelle durch Phishing und Datendiebstahl direkten Zugriff verschaffen? Die Verteidigung wird umgangen, Daten verschlüsselt und enormer Schaden angerichtet. Und häufig ist die erste Frage: Wer hat den Fehler begangen?

Doch den Menschen als größte Schwachstelle für die IT-Sicherheit zu bewerten und den Schuldigen zu suchen, ist der falsche Ansatz. Vielmehr können Mitarbeitende mit dem nötigen Bewusstsein für IT-Risiken die stärkste Sicherheitsbarriere darstellen. Daher lautet die richtige Frage: Wie können wir unsere Mitarbeitenden am besten in sicherem Verhalten fördern?

Der Mensch im Visier von Cybercrime

Wenn Unternehmen gefragt werden, welche Art von Cyberangriffen sie am häufigsten erlebt haben, steht Phishing an erster Stelle. Genau wie bei der Frage, welcher dieser Angriffe am schwerwiegendsten war (Quelle: Kriminologisches Forschungsinstitut Niedersachsen e.V.). Allzu oft steht am Anfang eines solchen Angriffs eine E-Mail. Vielleicht kennen Sie solche Nachrichten aus Ihrem persönlichen Postfach: eine Info über eine vermeintliche Paketzustellung, die Aufforderung, Ihr Paypal-Passwort zu ändern oder der ominöse entfernte Verwandte, der sich plötzlich meldet und Ihnen Geld vererben möchte.

Aber nicht alle Phishingmails sind so einfach zu entlarven. Cyberkriminelle verfeinern ihre Betrugsmaschen immer weiter und passen ihre Nachrichten sehr genau auf die Empfänger an.

Woher sie die Infos bekommen? Ganz einfach: aus den sozialen Netzwerken. Eine kurze Suche bei LinkedIn reicht, um Name, Position, Vorgesetzte und Interessen von Mitarbeitenden herauszufinden. Aus diesen Informationen erschließen sich Angreifende auch die Logik der E-Mail-Adressen eines Unternehmens und senden ihre maßgeschneiderten Phishingmails ab.

So sieht die E-Mail auf den ersten Blick aus wie eine legitime Nachricht des eigenen Chefs, der eine Überweisung beauftragt. Oder wie eine Bewerbung mit entsprechenden Unterlagen im Anhang. Nur dass der Anhang statt Anschreiben und Lebenslauf Ransomware enthält, die beim Öffnen das ganze System lahmlegt.

Sie merken es bereits: Gegen diese personalisierten Angriffe können technische Schutzmaßnahmen oft nicht helfen. Mit psychologischen Tricks werden Mitarbeitende dazu verleitet, etwas Bestimmtes zu tun. Nämlich zu klicken, einen Anhang zu öffnen, das Passwort einzugeben – aus freien Stücken. Was hier hilft? Allen Mitarbeitenden im Unternehmen beibringen, wie sie sich sicher im digitalen Alltag verhalten.

Vom Azubi bis zum Geschäftsführer

Cybersecurity geht uns also alle etwas an – nicht nur die IT. Doch wie steht es zum Beispiel um Ihr eigenes Sicherheitsbewusstsein? Haben Sie auf folgende Fragen direkt eine Antwort?

  • Wie schütze ich meinen Computer, wenn ich mich in ein öffentliches WLAN einwähle oder von zu Hause aus arbeite?
  • Woran erkenne ich eine Phishingmail?
  • Mir kommt etwas komisch vor. Wie und wo melde ich den Vorfall?

Und das ist nur ein kleiner Ausschnitt sicherheitsrelevanter Themen. Wenn Mitarbeitende die richtigen Antworten auf diese Fragen kennen, ist schon viel für den Schutz vor Cyberangriffen getan.

Lesen Sie den vollständigen Beitrag aus der HR Performance 2/2023.

Andere interessante Fachbeiträge

Mobiles Arbeiten

Von der Zeiterfassung zum Mehrwert

Mit einer modernen Zeitwirtschaftslösung entsteht aus den Arbeitszeitdaten für Unternehmen ein betriebswirtschaftlicher Mehrwert. Im Idealfall übermittelt die Lösung geleistete Arbeitsstunden automatisch an ein Lohn- und Gehaltssystem. Doch die Arbeitszeiten lassen sich zusätzlich beispielsweise mit anderen Unternehmenskennzahlen kombinieren und analysieren. So lassen sich aus Produktivitätsanalysen oder Fehlzeiten Informationen zu Über- und Unterkapazitäten ableiten und Produktionsprozesse besser steuern.

Mann arbeitet neben Sanduhr am Laptop

Smarte Arbeitszeiterfassung als Schlüssel zum Unternehmenserfolg

Festlegungen zum Inhalt der Arbeitszeitdokumentation sind noch nicht getroffen worden. Aber: Um die Einhaltung der Höchstarbeitszeit sowie der täglichen und wöchentlichen Ruhezeiten wirksam gewährleisten zu können, muss der Arbeitgeber Beginn, Ende und Dauer der täglichen Arbeitszeit aufzeichnen. Gibt es eine Vorschrift, wie die Arbeitszeit erfasst werden muss?

Detektiv mit Lupe

Kontrollrechte des Arbeitgebers

Regelt eine Betriebsvereinbarung zur Zeiterfassung, dass „keine anderen Zwecken dienende personenbezogene Auswertung erfolgt“, ist nach dem BAG hieraus zum einen nicht zu entnehmen, dass die Parteien eine Datenverarbeitung zum Zwecke der Ahndung von vorsätzlichen Pflichtverletzungen ausschließen wollten.