HR ist zentraler Bestandteil der Cybersicherheit

Künstliche Intelligenz, Cloud-Plattformen, hybrides Arbeiten und wachsende HR-Verantwortlichkeiten machen das Personalwesen zu einem kritischen Bestandteil der Unternehmenssicherheit.

Das Personalwesen durchläuft eine stille, aber tiefgreifende Transformation. Einst überwiegend administrativ geprägt, ist HR heute eine technologiegetriebene, datenintensive Funktion, die eine zentrale Rolle in der Organisationsstrategie spielt. Recruiting, Performance-Management, Lernen und Personalplanung werden zunehmend automatisiert und durch Analysen gesteuert. Diese Funktionen werden heute größtenteils über cloudbasierte Plattformen bereitgestellt.

Dieser Wandel hat HR zugleich zu einem kritischen Bestandteil der Cybersicherheitslandschaft gemacht. HR-Systeme enthalten einige der sensibelsten Daten innerhalb einer Organisation, darunter personenbezogene Informationen, Identitätsmerkmale, Zugriffsrechte und Beschäftigungsunterlagen.

Gleichzeitig ermöglichen sie neue Arbeitsformen, die weit über traditionelle Netzwerkgrenzen hinausgehen. Infolgedessen ist HR sowohl ein bevorzugtes Ziel für Bedrohungsakteure als auch ein zentraler Kontrollpunkt für die organisatorische Sicherheit geworden.

HR als sicherheitskritische Funktion

Phishing, Social Engineering und Identitätsbetrug richten sich häufig gegen HR-Teams, da ihre Arbeit zeitkritisch und vertrauensbasiert ist. Gefälschte Bewerbungen, manipulierte Gehaltsanfragen, unsichere Endgeräte von Remote-Arbeitenden oder kompromittierte Onboarding-Prozesse können erhebliche finanzielle, rechtliche und reputative Schäden verursachen.

Laut der ISC2 Cybersecurity Workforce Study 2025 gaben 93 Prozent der Cybersicherheitsfachkräfte in Deutschland an, mindestens eine schwerwiegende Auswirkung infolge eines Mangels an qualifiziertem Personal erlebt zu haben; 77 Prozent berichteten sogar von mehreren Auswirkungen.

Diese Ergebnisse verdeutlichen den dringenden Bedarf, dass HR-Teams Sicherheitsbewusstsein und technisches Verständnis entwickeln – insbesondere beim Umgang mit sensiblen Mitarbeiterdaten.

Gerade außerhalb klassischer IT-Abteilungen besteht häufig Unsicherheit im Umgang mit digitalen Bedrohungen. HR-Fachkräfte arbeiten mit komplexen Systemen, ohne immer über ausreichende Kenntnisse zu Sicherheitsarchitekturen, Zugriffskontrollen oder Angriffsmethoden zu verfügen. Diese Lücke erhöht das Risiko unbeabsichtigter Sicherheitsvorfälle erheblich.

KI im HR-Bereich: Neue Sicherheitsherausforderungen

Künstliche Intelligenz (KI) entwickelt sich zu einem zentralen Instrument im HR-Management. Algorithmen unterstützen die Vorauswahl von Bewerbenden, analysieren die Mitarbeiterzufriedenheit, prognostizieren Fluktuationsrisiken, überwachen die digitale Employee Experience und automatisieren administrative Prozesse.

Der Einsatz von KI verändert jedoch auch das Sicherheitsprofil von HR-Systemen. KI-Modelle benötigen große Datenmengen, greifen auf sensible Informationen zu und sind häufig in Drittanbieterplattformen integriert. Unsichere Schnittstellen, unzureichend geschützte Trainingsdaten oder fehlende Governance- und Kontrollstrukturen können neue Angriffsflächen schaffen. Hinzu kommt die Herausforderung der Nachvollziehbarkeit:

Wenn Entscheidungen zunehmend von Algorithmen vorbereitet oder beeinflusst werden, steigt der Bedarf an Transparenz und Aufsicht – sowohl aus rechtlicher als auch aus sicherheitstechnischer Sicht.

Die ISC2 Workforce Study 2025 zeigt, dass 35 Prozent der Cybersicherheitsfachkräfte in Deutschland KI bereits in ihre Arbeitsabläufe integriert haben und 77 Prozent an Aktivitäten zur Einführung von KI, wie Tests oder Evaluierungen, beteiligt sind. Zudem nennen 43 Prozent KI als den wichtigsten Kompetenzbedarf. Für HR-Teams unterstreichen diese Erkenntnisse sowohl die Chancen, die KI bietet, als auch die Notwendigkeit, zu verstehen, wie KI-gestützte Prozesse mit sensiblen Mitarbeiterdaten interagieren und wie die Sicherheit systemübergreifend gewährleistet werden kann.

Eine besonders kritische Bedrohung: Deepfakes

Eine der disruptivsten KI-gestützten Bedrohungen für HR ist der zunehmende Einsatz von Deepfakes. Synthetische Audio- und Videoinhalte werden inzwischen genutzt, um Mitarbeitende oder Führungskräfte zu imitieren, Identitätsprüfungen zu umgehen und Genehmigungsprozesse zu manipulieren. Für HR stellt diese Bedrohung einen grundlegenden Wandel dar, da Deepfake-gestützte Angriffe über klassischen E-Mail-Betrug hinausgehen und menschliches Vertrauen in großem Maßstab ausnutzen. Sie stellen langjährige Annahmen zur Identitätsverifikation infrage und zwingen Organisationen dazu, neu zu definieren, was als Authentizitätsnachweis gilt.

Die Bewältigung des Deepfake-Risikos erfordert mehr als nur neue Tools. HR-Prozesse müssen mehrstufige Verifizierungsmechanismen, klare Eskalationswege und kanalübergreifende Authentifizierung etablieren. Mitarbeitende im Erkennen synthetischer Medien zu schulen und eine robuste Identitäts-Governance aufzubauen, gehört inzwischen zu den wesentlichen Sicherheitsmaßnahmen.

Hybride Arbeitsumgebungen als Sicherheitsfaktor

Neben dem technologischen Wandel hat sich auch die Organisation der Arbeit verändert. Mobile und hybride Arbeitsmodelle sind für viele Beschäftigte zur Norm geworden. Für HR bringt diese Entwicklung erhebliche Risiken mit sich.

Mitarbeitende greifen von unterschiedlichen Standorten, mit verschiedenen Geräten – und häufig über private Netzwerke – auf HR-Systeme zu. Diese Vielfalt erschwert die Durchsetzung einheitlicher Sicherheitsstandards. Unzureichender Endgeräteschutz, schwache Authentifizierungsmechanismen oder unklare Richtlinien im Umgang mit sensiblen Daten erhöhen das Risiko von Datenabflüssen.

In diesem Kontext ist HR nicht nur Nutzer, sondern aktiver Gestalter dieser Rahmenbedingungen. Richtlinien für mobiles Arbeiten, Schulungen zur sicheren Nutzung digitaler Systeme sowie die Kommunikation von Sicherheitsanforderungen fallen häufig in den Verantwortungsbereich von HR.

Der Mensch im Zentrum der Sicherheitsstrategie

Trotz zunehmender Automatisierung bleiben Menschen entscheidend für den Erfolg oder Misserfolg von Sicherheitsmaßnahmen. Hohe Arbeitsbelastung, Zeitdruck und unzureichende Schulung erhöhen die Fehlerwahrscheinlichkeit – insbesondere in HR-nahen Prozessen, die oft unter erheblichem organisatorischem Druck stehen.

Gleichzeitig zeigt die Studie, dass Organisationen zunehmend auf Qualifizierung und Kompetenzaufbau setzen, anstatt Sicherheitsherausforderungen ausschließlich durch zusätzliche Tools oder Personal zu adressieren. Sicherheitskompetenz wird immer stärker als langfristige Investition verstanden.

HR übernimmt dabei eine doppelte Rolle: Einerseits muss es eigene Sicherheitskompetenzen aufbauen, andererseits ist es dafür verantwortlich, Sicherheitsbewusstsein und eine Kultur des kontinuierlichen Lernens in der gesamten Organisation zu fördern.

Zertifizierungen als strukturierender Rahmen

In diesem Zusammenhang können international anerkannte Cybersicherheitszertifizierungen wie die von ISC2 einen strukturierten Rahmen für den Aufbau von Sicherheitskompetenzen bieten und Vergleichbarkeit über Abteilungen und Länder hinweg schaffen. Grundlegende Zertifizierungen wie Certified in Cybersecurity (CC) ermöglichen HR-nahen Rollen einen fundierten Einstieg in zentrale Sicherheitskonzepte. Führungsnahe Zertifizierungen wie Certified Information Systems Security Professional (CISSP) und Certified Governance, Risk and Compliance (CGRC) wiederum geben Entscheidungsträgern eine gemeinsame Sprache, um Sicherheit als untrennbaren Bestandteil der Geschäftsstrategie voranzubringen.

Sicherheit als Kernbestandteil der HR-Strategie

Die Herausforderungen der IT-Sicherheit im HR-Kontext sind vielfältig und wachsen parallel zur digitalen Transformation weiter. Die zunehmende Digitalisierung von HR-Prozessen, der Einsatz von KI-Systemen und die Etablierung mobiler Arbeitsmodelle verändern die Sicherheitsanforderungen grundlegend. HR entwickelt sich zu einem sicherheitskritischen Knotenpunkt, an dem technologische, organisatorische und menschliche Faktoren zusammenlaufen.

Organisationen, die HR strategisch in ihre Sicherheitsarchitektur integrieren, systematisch Kompetenzen aufbauen und auf anerkannte Zertifizierungen setzen, schaffen nicht nur stärkere Schutzmechanismen, sondern fördern auch Vertrauen, Transparenz und Resilienz. In einer Arbeitswelt, die zunehmend von digitalen und synthetischen Medien geprägt ist, wird Sicherheit damit zu einem zentralen Element verantwortungsvoller Personalarbeit – und HR zu einem entscheidenden Mitgestalter der Zukunft der Cybersicherheit.

Zertifizierungen als strukturierender Rahmen

In diesem Zusammenhang können international anerkannte Cybersicherheitszertifizierungen wie die von ISC2 einen strukturierten Rahmen für den Aufbau von Sicherheitskompetenzen bieten und Vergleichbarkeit über Abteilungen und Länder hinweg schaffen. Grundlegende Zertifizierungen wie Certified in Cybersecurity (CC) ermöglichen HR-nahen Rollen einen fundierten Einstieg in zentrale Sicherheitskonzepte. Führungsnahe Zertifizierungen wie Certified Information Systems Security Professional (CISSP) und Certified Governance, Risk and Compliance (CGRC) wiederum geben Entscheidungsträgern eine gemeinsame Sprache, um Sicherheit als untrennbaren Bestandteil der Geschäftsstrategie voranzubringen.

Sicherheit als Kernbestandteil der HR-Strategie

Die Herausforderungen der IT-Sicherheit im HR-Kontext sind vielfältig und wachsen parallel zur digitalen Transformation weiter. Die zunehmende Digitalisierung von HR-Prozessen, der Einsatz von KI-Systemen und die Etablierung mobiler Arbeitsmodelle verändern die Sicherheitsanforderungen grundlegend. HR entwickelt sich zu einem sicherheitskritischen Knotenpunkt, an dem technologische, organisatorische und menschliche Faktoren zusammenlaufen.

Organisationen, die HR strategisch in ihre Sicherheitsarchitektur integrieren, systematisch Kompetenzen aufbauen und auf anerkannte Zertifizierungen setzen, schaffen nicht nur stärkere Schutzmechanismen, sondern fördern auch Vertrauen, Transparenz und Resilienz. In einer Arbeitswelt, die zunehmend von digitalen und synthetischen Medien geprägt ist, wird Sicherheit damit zu einem zentralen Element verantwortungsvoller Personalarbeit – und HR zu einem entscheidenden Mitgestalter der Zukunft der Cybersicherheit.

Autor: Jon France ist CISO bei ISC2.

(erschienen in HR Performance 2/2026)