So erhöhen HR-Professionals die Cybersicherheit
HR Professionals spielen eine entscheidende Rolle bei der Stärkung der Cybersicherheit von Unternehmen. Dieser Artikel zeigt auf, wie sie durch Schulungsinitiativen, Kulturförderung und die Zusammenarbeit mit der IT wesentlich zum Schutz von sensiblen Firmendaten – von Kundendaten über Projektdaten bis Personaldaten – beitragen können.
Cyber-Angriffe häufen sich in der Schweiz. (Bild: iStock)
In der heutigen digitalisierten Arbeitswelt ist die Cybersicherheit für Unternehmen aller Grössen und Branchen von entscheidender Bedeutung. Laut dem Crypto Crime Report 2024 der Analysefirma Chainalysis überstiegen die weltweit durch Ransomware-Attacken erpressten Beträge im vergangenen Jahr erstmals die Marke von einer Milliarde Dollar. Eine Studie von Cenuswide, durchgeführt im Auftrag des IT-Unternehmens Cohesity, offenbart zudem, dass 90 Prozent der Cyberangriffsopfer bereit wären, die geforderte Summe zu entrichten, weil sie die finanziellen Einbussen durch Betriebsausfälle und die Kosten für eine Datenwiederherstellung als höher einschätzen. Ein beliebtes Angriffsziel der Cyberkriminellen sind dabei Firmen in der Schweiz, da hierzulande aufgrund des Wohlstands tendenziell viel Geld zu holen ist.
Wichtige Rolle des HR
Angesichts der steigenden Anzahl und Komplexität der Angriffe ist es für Unternehmen unerlässlich, robuste Sicherheitsprotokolle zu implementieren, um sensible Informationen zu schützen. Dabei spielen HR Professionals eine zentrale Rolle, die oft unterschätzt wird. HR-Abteilungen sind nicht nur für die Verwaltung von Personaldaten verantwortlich, sondern auch für die Förderung einer Kultur der Sicherheit im Unternehmen. Durch die Schulung und Sensibilisierung der Mitarbeitenden können sie massgeblich dazu beitragen, das Bewusstsein für Cybersicherheitsrisiken zu schärfen und präventive Massnahmen zu stärken.
Da der Schutz personenbezogener Daten durch das schweizerische Bundesgesetz über den Datenschutz (DSG) und die europäische Datenschutz-Grundverordnung (DSGVO) streng geregelt ist, kommt der HR-Abteilung eine noch wichtigere Rolle zu. Sie muss sicherstellen, dass alle HR-Prozesse und HR-Systeme nicht nur effizient, sondern auch konform mit den lokalen und internationalen Datenschutzstandards sind. Dies erfordert ein grundsätzliches Verständnis der Cybersicherheitslandschaft sowie eine enge Zusammenarbeit mit der IT-Abteilung, um Richtlinien und Praktiken zu entwickeln, die sowohl die Sicherheit der Unternehmensdaten als auch die Privatsphäre der Mitarbeitenden gewährleisten.
Dieser Artikel zeigt auf, welche spezifischen Massnahmen HR-Abteilungen ergreifen können, um die Cybersicherheit ihres Unternehmens zu erhöhen. Die Möglichkeiten reichen von der internen Bewusstseinsbildung über die Einführung von starken Passwortrichtlinien bis hin zur Entwicklung einer Reaktionsstrategie auf Sicherheitsvorfälle. Durch die Implementierung solcher Massnahmen können HR Professionals die IT-Abteilung wirkungsvoll unterstützen oder sogar eine Schlüsselrolle beim Schutz ihres Unternehmens vor Cyberbedrohungen spielen – schliesslich fühlt sich oft, gerade in KMU, niemand wirklich zuständig für diese Problematik.
Schulen und sensibilisieren
Ein zentrales Element der Cybersicherheitsstrategie eines Unternehmens sollte die regelmässige Schulung und Sensibilisierung der Mitarbeitenden sein. Das HR kann folgende Massnahmen ergreifen:
- Entwicklung von Schulungsprogrammen: Erstellung von Schulungsmaterialien, die auf die spezifischen Bedrohungen und Anforderungen des Unternehmens zugeschnitten sind. Diese Programme sollten sowohl neue als auch bestehende Mitarbeitende abdecken und regelmässig aktualisiert werden, um neue Cyberbedrohungen zu adressieren.
- Simulation von Phishing-Angriffen: Durchführung regelmässiger Phishing-Tests, um das Bewusstsein und die Reaktionsfähigkeit der Mitarbeitenden zu schärfen. Solche Simulationen helfen dabei, diese auf realistische Szenarien vorzubereiten und die Wirksamkeit der Schulungsprogramme zu bewerten. Hierfür gibt es spezialisierte Dienstleister. In besonders sensiblen Branchen kann es sich auch lohnen, sogenannte White-Hat-Hacker (mietbare ethische Hacker, die aktiv Sicherheitslücken aufspüren) zu engagieren.
Passwort-Sicherheitspolitik verstärken
Starke Passwörter sind eine der wichtigsten Sicherheitsmassnahmen. (Bild: iStock)
Passwörter sind die erste und wichtigste Verteidigungslinie gegen unautorisierten Zugriff. Die HR-Abteilung kann durch folgende Initiativen zur Sicherheit beitragen:
- Richtlinien für starke Passwörter: Einführung von Richtlinien, die die Erstellung komplexer und einzigartiger Passwörter für alle Systeme und Anwendungen erfordern (Mindestlänge von zehn bis zwölf Zeichen, Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen). Diese Richtlinien sollten regelmässige Passwortänderungen und die Vermeidung von Wiederverwendung vorsehen.
- Förderung von Passwort-Managern: Empfehlung der Nutzung von Passwort-Managern, um die Verwaltung starker, einzigartiger Passwörter zu vereinfachen (bspw. «Nordpass», «1Password», «RoboForm»).
- Implementierung von Multi-Faktor-Authentifizierung (MFA): Förderung der Nutzung von MFA, wo immer möglich, um eine zusätzliche Sicherheitsebene zu bieten, indem neben dem Passwort weitere Faktoren erforderlich sind (bspw. Smartphone-App, Fingerabdruck).
Kultur der Cybersicherheit fördern
Eine starke Kultur der Cybersicherheit ist ein entscheidender Faktor für die Resilienz eines Unternehmens gegenüber Cyberbedrohungen. Die HR-Abteilung spielt eine zentrale Rolle bei der Entwicklung und Pflege dieser Kultur, indem es sicherstellt, dass Cybersicherheit als gemeinsame Verantwortung aller angesehen wird. Hier sind einige Schlüsselstrategien, mit denen diese Kultur gefördert werden kann:
- Einbettung in die Unternehmenskultur: Die Cybersicherheit wird zu einem integralen Bestandteil der Unternehmenswerte und -praktiken gemacht. Dies beinhaltet die klare Kommunikation der Bedeutung von Cybersicherheit für das Gesamtziel des Unternehmens und die Erwartung, dass alle Mitarbeitenden ihren Teil dazu beitragen.
- Führungskräfte als Vorbilder: Führungskräfte sollten als Vorbilder agieren, indem sie sich an die Cybersicherheitsrichtlinien halten und ihre Bedeutung betonen. Ihre Beteiligung kann massgeblich zur Verstärkung der Sicherheitskultur beitragen.
- Regelmässige Kommunikation: Regelmässige Verbreitung von Informationen und Updates über Cybersicherheitsthemen durch verschiedene Kanäle wie E-Mails, Intranet oder während Besprechungen. Ziel ist es, das Bewusstsein und das Verständnis für die ständig wechselnden Bedrohungen und Praktiken zu schärfen.
- Feedback und Dialog fördern: Mitarbeitende ermutigen, ihre Bedenken hinsichtlich der Cybersicherheit zu äussern und Vorfälle ohne Angst vor Repressalien zu melden. Ein offener Dialog kann helfen, Schwachstellen zu identifizieren und zu adressieren, bevor sie zu ernsthaften Problemen führen.
- Anerkennung: Mitarbeitende anerkennen und belohnen, die sich besonders für die Cybersicherheit einsetzen oder die bei der Identifizierung und Meldung von Sicherheitslücken helfen. Solche Anreize können die Motivation steigern, sich aktiv an der Sicherheitskultur zu beteiligen.
- Regelmässige Bewertungen: Regelmässige Überprüfungen der Sicherheitskultur und -praktiken, um Bereiche für Verbesserungen zu identifizieren. Dies kann etwa Umfragen zur Mitarbeitendenzufriedenheit, Audits der Sicherheitspraktiken und Überprüfungen der Incident-Response-Pläne umfassen.
Phishing ist einer der häufigsten Arten, wie sich Cyberkriminelle Zugang zu Daten und Systemen verschaffen. (Bild: iStock)
Mit der IT-Abteilung zusammenarbeiten
Die effektive Förderung der Cybersicherheit in einem Unternehmen erfordert eine enge Zusammenarbeit zwischen der HR-Abteilung und der IT-Abteilung. Diese interdisziplinäre Partnerschaft ermöglicht es, umfassende und kohärente Strategien zu entwickeln, die sowohl technische als auch menschliche Aspekte der Cybersicherheit abdecken.
- Cybersicherheitsrichtlinien: HR und IT sollten gemeinsam an der Entwicklung von Cybersicherheitsrichtlinien arbeiten, die klar, verständlich und für alle Mitarbeitenden zugänglich sind. Diese Richtlinien sollten Anweisungen zur sicheren Nutzung von Unternehmenssystemen, zur Datenverwaltung und zu Reaktionsverfahren bei Sicherheitsvorfällen umfassen.
- Datenschutz und Compliance: Unter Berücksichtigung der Datenschutzgesetze in der Schweiz, wie dem Bundesgesetz über den Datenschutz (DSG) und der DSGVO, ist die Zusammenarbeit bei der Entwicklung von Datenschutzpraktiken entscheidend. Dies stellt sicher, dass alle Personaldaten sowohl sicher als auch konform gehandhabt werden.
- Schulungsmaterialien: IT-Experten besitzen das technische Wissen, das für die Erstellung detaillierter Schulungsmaterialien über Cybersicherheitsbedrohungen und Best Practices erforderlich ist. HR Professionals können dieses Wissen nutzen, um zielgerichtete Schulungsprogramme zu entwickeln, die auf die Bedürfnisse verschiedener Mitarbeitendengruppen zugeschnitten sind.
- Incident Response Plan: HR und IT sollten gemeinsam einen detaillierten Plan für den Umgang mit Sicherheitsvorfällen ausarbeiten. Dieser Plan sollte klare Anweisungen enthalten, wer im Falle eines Vorfalls zu benachrichtigen ist, wie Informationen gesammelt und analysiert werden sollen und wie über den Vorfall kommuniziert werden soll.
- Übungen und Simulationen: Die Durchführung von Übungen und Simulationen von Sicherheitsvorfällen kann helfen, die Vorbereitung und Reaktionsfähigkeit des Unternehmens zu verbessern. Die HR-Abteilung kann bei der Organisation dieser Übungen unterstützen und sicherstellen, dass sie realistische Szenarien abdecken.
- Beratung bei technologischen Entscheidungen: HR Professionals sollten sich von IT-Fachleuten beraten lassen, wenn es um die Auswahl und Implementierung von Technologien geht, die Personaldaten betreffen, wie zum Beispiel HR-Informationssysteme. Dies stellt sicher, dass Sicherheitsüberlegungen von Anfang an berücksichtigt werden.
Fazit
Die Cybersicherheit ist eine fortwährende Herausforderung für Unternehmen weltweit, und ihre Bedeutung kann in der heutigen digital vernetzten Arbeitswelt nicht hoch genug eingeschätzt werden. In diesem Kontext spielt die HR-Abteilung eine entscheidende Rolle, nicht nur als Hüterin der Personaldaten, sondern auch als Förderin einer starken Cybersicherheitskultur. Dabei ist eine Zusammenarbeit zwischen HR und IT von unschätzbarem Wert. Sie ermöglicht nicht nur die Entwicklung effektiver Sicherheitsrichtlinien und -verfahren, sondern stellt auch sicher, dass alle Mitarbeitenden – von der Führungsebene bis zu den neusten Teammitgliedern – in die Sicherheitsstrategie des Unternehmens eingebunden sind.
Die typischsten Cyberrisiken für Unternehmen
Um effektive Strategien zur Verbesserung der Cybersicherheit zu entwickeln, ist es zunächst unerlässlich, die verschiedenen Arten von Risiken zu kennen, denen Unternehmen ausgesetzt sind. Cyberbedrohungen können von aussen durch Hackerangriffe oder – was keinesfalls unterschätzt werden darf – von innen durch unbeabsichtigte oder bösartige Handlungen von Mitarbeitenden entstehen. Ein tiefgreifendes Verständnis dieser Bedrohungen ist entscheidend, um präventive Massnahmen zu ergreifen und die Resilienz des Unternehmens gegenüber Cyberangriffen zu stärken.
Externe Bedrohungen
- Phishing-Angriffe: Diese erfolgen oft per E-Mail und zielen darauf ab, Personen dazu zu bringen, sensible Informationen preiszugeben oder schädliche Software (beispielsweise Ransomware) herunterzuladen. Phishing kann sehr raffiniert sein und erfordert ein hohes Mass an Wachsamkeit von allen Mitarbeitenden.
- Ransomware-Attacke: Eine Form von Malware, die Daten auf dem infizierten System verschlüsselt und ein Lösegeld für die Freigabe verlangt. Ransomware-Angriffe können verheerende Auswirkungen auf Unternehmen haben und den Zugang zu kritischen Daten blockieren. In den meisten Fällen basieren Ransomware-Attacken auf einem vorangegangenen Phishing-Angriff, um so Einfallstore zu öffnen.
- Distributed Denial of Service (DDoS): Bei solchen Angriffen werden die Systeme eines Unternehmens mit Anfragen überflutet, bis sie überlastet sind und legitime Benutzeranfragen nicht mehr bearbeiten können. Dies kann zu erheblichen Betriebsunterbrechungen führen.
Interne Bedrohungen
- Insider-Bedrohungen: Diese kommen von Personen innerhalb des Unternehmens, wie zum Beispiel aktuellen oder ehemaligen Mitarbeitenden, die absichtlich oder unbeabsichtigt Unternehmensdaten gefährden. Solche Bedrohungen können besonders schwer zu erkennen und zu verhindern sein.
- Unsachgemässe Handhabung von Daten: Fehler im Umgang mit sensiblen Informationen, wie das Versenden von persönlichen Daten über unsichere Kanäle oder die unzureichende Sicherung von mobilen Geräten, können unbeabsichtigt Sicherheitslücken schaffen.