HR als Einfallstor für Angriffe: Die Personalabteilung hat keine Firewall

Sie sind hier:>, Blog>HR als Einfallstor für Angriffe: Die Personalabteilung hat keine Firewall

HR als Einfallstor für Angriffe: Die Personalabteilung hat keine Firewall

Cyber­at­tack­en ver­laufen genau­so wie in der analo­gen Welt vor über 100 Jahren. Sie basierend auf Kom­mu­nika­tion und dem Wis­sen über ver­trauliche Infor­ma­tio­nen. Zwar wer­den im Inter­net­zeital­ter immer wieder App­lika­tio­nen, Net­zw­erke und andere tech­nis­che Details inten­siv disku­tiert, aber man ver­gisst dabei die Stellen in der Infor­ma­tion­ssicher­heit, die kaum oder gar nicht geschützt sind: Die Wech­sel­wirkung zwis­chen Men­schen. Diese geschehen unab­hängig von allen Sicher­heits­maß­nah­men, denn jedes Unternehmen nimmt ja ständig E-Mails und Tele­fonate ent­ge­gen. Wie gehen Sie mit diesem zwis­chen­men­schlichen Infor­ma­tions­fluss um? Konkreter: Wie helfen Sie sen­si­blen Abteilun­gen wie der Human Resources — HR Abteilung sichere Entschei­dun­gen zu tre­f­fen?

Angriffe vorbei an der IT-Technik?

Bei Kom­mu­nika­tion und Infor­ma­tion­ssicher­heit denken viele an Anti-Virus oder Spam-Fil­ter. Das sind grundle­gende Kom­po­nen­ten der Grund­sicherung. Die wirk­lich wichti­gen Fra­gen für die Imple­men­ta­tion beant­worten aber wed­er Richtlin­ien noch Kon­fig­u­ra­tio­nen. Welche Inhalte in welch­er Sprache ver­ar­beit­et Ihr Unternehmen? Müssen Sie alle Briefe in jed­er Form beant­worten? Sobald es um die dig­i­tale Welt geht, wird aber nicht alles anders. Natür­lich erhal­ten Sie täglich Geschäfts­briefe. Was auf gedruck­tem Papi­er wie Wer­bung oder Papi­er auss­chaut, schaut meist dig­i­tal auch danach aus. Die Sicher­heit­sprob­leme, die aus Kom­mu­nika­tion entste­hen, wer­den nur lei­der auf die IT Abteilung abgewälzt. Natür­lich möchte die Per­son­al­abteilung neue Bewer­bun­gen von allen möglichen Eingabequellen annehmen, weil Tal­ente ent­ge­hen kön­nten. Das wis­sen auch poten­tielle Angreifer und wer­den genau den Kanal nutzen, der einen Angriff am ein­fach­sten macht.

Ausspähen über die Personalabteilung / Human Resource / HR

Neben der tech­nis­chen Ebene gibt es auch noch die des Social Engi­neer­ings. Einge­hende Unter­la­gen wie, der CV oder Ref­eren­zen, wer­den geprüft. Man kann aber selb­st mit dem aktuell­sten Stand der Tech­nik nicht in Minuten entschei­den, ob es sich um eine echte Bewer­berin oder einen Bewer­ber zwecks Ausspähung han­delt. Ganz klar, man kann nicht alle Neue­in­steiger gle­ich verdächti­gen, aber darum geht es ja nicht. Es geht darum wie Sie sich der Außen­welt präsen­tieren und wie Sie mit dem Risiko umge­hen, den jed­er poten­tielle Geschäfts­brief birgt. Speziell bei Pen­e­tra­tion Tests ohne Ken­nt­nis der inter­nen Struk­tur, ist eine Bewer­bung ein guter Weg Ein­blick in ein Unternehmen zu erlan­gen.

Die Erken­nt­nisse kann man zusam­men­fassen:

  • Der IT fehlen die Infor­ma­tio­nen für die Umset­zung der Maß­nah­men.
  • Bes­timmte Abteilun­gen wer­den immer filterlos/öffentlich erre­ich­bar sein müssen.
  • Angreifer wer­den diese Umstände immer aus­nutzen.

Sicherheit von Kopf bis Fuß — oder doch umgekehrt?

Richtlin­ien und Com­pli­ance alleine helfen bei diesem Prob­lem nicht weit­er. Sie benöti­gen klare Prozesse, die die Tech­nik und die betrof­fe­nen Abteilun­gen z.B. HR ken­nen. Wenn klar ist welche Sprachen Doku­mente haben dür­fen, die ver­ar­beit­et wer­den, dann hil­ft das der IT Abteilung bei der Kon­fig­u­ra­tion der Fil­ter, um ein Beispiel zu nen­nen.

Lei­der begin­nen manche bei der Absicherung am Endgerät und imple­men­tieren Maß­nah­men, ohne bei den Geschäft­sprozessen zu begin­nen. In Sicher­heits­ber­atun­gen soll­ten Sie auf Berater zurück­greifen, die bei ihren Unter­suchun­gen sowohl die Organ­i­sa­tion als auch die tech­nis­che Imple­men­ta­tion im Blick haben. Let­ztlich ist die Umset­zung von Infor­ma­tion­ssicher­heit nur das Find­en und Füllen von Lück­en, die alle irgend­wo haben. Man darf dabei den Fak­tor Men­sch und seine Auf­gabe im Unternehmen nicht vergessen.

Weit­ere Infor­ma­tio­nen:

Achtung Social Engi­neer­ing
Der Unsinn von Social Engi­neer­ing
Tagessem­i­nar IT-Sicher­heit in Indus­trie mit IEC 62443
Sem­i­nar: IT-Secu­ri­ty / Infor­ma­tion Secu­ri­ty am 13.–14. Novem­ber 2017

Von | 2017-10-09T22:57:01+00:00 02.09.2017|Allgemein, Blog|

Über den Autor: