{"id":26153,"date":"2021-02-01T13:19:39","date_gmt":"2021-02-01T11:19:39","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26153"},"modified":"2021-02-03T11:36:10","modified_gmt":"2021-02-03T09:36:10","slug":"hr-related-threats","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/hr-related-threats\/26153\/","title":{"rendered":"Personalabteilungen im Visier von Cyberangriffen"},"content":{"rendered":"

Bestimmte Mitarbeiter stehen besonders im Visier von Cyberkriminellen, ungeachtet in welcher Branche sie t\u00e4tig sind. Heute geht es um Cyberbedrohungen, die es speziell auf Mitarbeiter der Personalabteilungen, oft auch HR-Abteilungen (Human Resources) genannt, abgesehen haben. Der einfachste Grund hierf\u00fcr \u2013\u00a0aber l\u00e4ngst nicht der einzige\u00a0\u2013\u00a0ist, dass die E-Mails von HR-Mitarbeitern zu Recruiting-Zwecken auf der Website des jeweiligen Unternehmens ver\u00f6ffentlicht werden und dementsprechend einfach zu finden sind.<\/p>\n

Gezielte Cyberangriffe auf Personalabteilungen<\/h2>\n

In HR-Abteilungen besetzten Mitarbeiter eine recht ungew\u00f6hnliche Arbeitsstelle: Sie erhalten massenhaft betriebsexterne Korrespondenz und gleichzeitig haben sie in der Regel Zugriff auf personenbezogene Daten, bei denen sich das Unternehmen keine Datenlecks erlauben kann.<\/p>\n

Eingehende E-Mails<\/h3>\n

Eine der typischen Vorgehensweisen von Cyberverbrechern besteht darin, Mitarbeitern eine E-Mail mit einem sch\u00e4dlichen Anhang oder b\u00f6sartigen Link zu schicken. Deswegen empfehlen wir unseren Lesern unerm\u00fcdlich, keine verd\u00e4chtigen E-Mails mit Anh\u00e4ngen von unbekannten Absendern zu \u00f6ffnen und keinesfalls bei solchen E-Mails auf einen Link zu klicken. Bei Mitarbeitern der Personalabteilung w\u00e4re diese Empfehlung nat\u00fcrlich l\u00e4cherlich. Ein Gro\u00dfteil der E-Mails, die sie t\u00e4glich erhalten, stammt von unbekannten Menschen und enthalten meistens auch einen Anhang mit dem Lebenslauf oder Links zu beispielsweise einer Arbeitsprobe. Man kann also davon ausgehen, dass mehr als die H\u00e4lfte dieser E-Mails als verd\u00e4chtig eingestuft werden k\u00f6nnten.<\/p>\n

Au\u00dferdem werden Portfolios oder Arbeitsproben von ehemaligen Arbeitsstellen oft in ungew\u00f6hnlichen Formaten geschickt, wie zum Beispiel hoch spezialisierte Dateien von CAD-Programmen. Schon allein durch die Beschaffenheit der Arbeitsstelle, bleibt HR-Mitarbeitern gar nichts anderes \u00fcbrig, als solche Dateien zu \u00f6ffnen und zu \u00fcberpr\u00fcfen. Selbst wenn wir erstmals au\u00dfer Acht lie\u00dfen, dass Cyberverbrecher oft den wahren Zweck einer Datei verstecken, indem sie die Dateierweiterung \u00e4ndern (ist es wirklich eine CAD-Datei, ein Foto im RAW-Format, eine DOC- oder EXE-Datei?), werden nicht alle diese Programme regelm\u00e4\u00dfig aktualisiert und oft auch nicht sorgf\u00e4ltig auf m\u00f6gliche Schwachstellen getestet. Es kommt nicht selten vor, dass Experten selbst bei sehr weit verbreiteter und regelm\u00e4\u00dfig analysierter Software wie beispielsweise Microsoft Office Sicherheitsl\u00fccken entdecken, die die Ausf\u00fchrung willk\u00fcrlichen Codes erm\u00f6glichen.<\/p>\n

Zugriff auf personenbezogene Daten<\/h3>\n

Gro\u00dfe Unternehmen verf\u00fcgen \u00f6fters \u00fcber ein Team aus verschiedenen HR-Fachkr\u00e4ften, die f\u00fcr die Kommunikation mit den Bewerbern und der Zusammenarbeit mit den derzeitigen Besch\u00e4ftigten zust\u00e4ndig sind. Bei kleinen und mittleren Unternehmen (KMU) werden diese Aufgaben meistens von einer Person erledigt. Das bedeutet, dass eine einzige Person h\u00f6chstwahrscheinlich den Zugriff auf s\u00e4mtliche personenbezogene Daten des Unternehmens hat.<\/p>\n

Wenn jemand daran Interesse h\u00e4tte, das Unternehmen anzugreifen, reicht es in der Regel bereits die Mailbox des HR-Mitarbeiters zu kompromittieren. Bewerber, die interessanten Arbeitgebern ihren Lebenslauf schicken, geben ihre ausdr\u00fcckliche oder stillschweigende Einwilligung zur Speicherung und Bearbeitung ihrer personenbezogenen Daten, aber sind deswegen noch lange nicht damit einverstanden, dass ihre Daten an Dritte weitergegeben werden. Cyberkriminelle k\u00f6nnen sich solche Daten f\u00fcr Blackmails (Erpressung durch Androhung der Blo\u00dfstellung) zunutze machen.<\/p>\n

Und da wir gerade von Erpressungen sprechen, kommt hier nat\u00fcrlich auf Ransomware ins Spiel. Der neuste Trend bei Ransomware-Entwicklern besteht darin, die Daten erst zu stehlen<\/a>, bevor sie dem Dateneigent\u00fcmer den Zugriff darauf verwehren. Wenn ein Cyberverbrecher es schafft, Ransomware auf dem Computer der Personalabteilung zu installieren, bedeutet das f\u00fcr ihn einen gro\u00dfen Erfolg, weil er sich als Hauptgewinn alle personenbezogenen Daten in die Tasche stecken kann.<\/p>\n

BEC-Angriffe fassen Fu\u00df<\/h3>\n

Sich darauf zu verlassen, dass ein gutgl\u00e4ubiger oder ungeschulter Mitarbeiter einen Fehler macht ist mit Risiken verbunden. Eine schwierigere, aber effektivere Methode ist der BEC-Angriff (Business E-Mail Compromise)<\/a>, der in den letzten Jahren zugenommen hat. Bei diesen Angriffen \u00fcbernimmt der Cyberverbrecher eine bestehende Firmen-E-Mail und versucht dar\u00fcber einen Kollegen des entsprechenden Mitarbeiters dazu zu bringen, Geld auf die Konten von Kriminellen zu \u00fcberweisen oder vertrauliche Dateien zu senden. Cyberverbrecher hacken hierf\u00fcr oft die Konten von jemandem im Unternehmen, dessen Anweisungen befolgt werden\u00a0\u2013\u00a0in den h\u00e4ufigsten F\u00e4llen das Konto einer F\u00fchrungskraft\u00a0\u2013\u00a0um den Erfolg des BEC-Angriffs zu sichern. Der aktiven Phase dieses Angriffs geht eine sorgf\u00e4ltige Erfassung der Daten \u00fcber das Opfer voraus, um den passenden Vorgesetzten zu finden. F\u00fcr diese Aufgabe kann eine HR-Mailbox besonders n\u00fctzlich sein.<\/p>\n

Zum einen, weil wie bereits oben erkl\u00e4rt, ist es einfacher zu erreichen, dass in der Personalabteilung eine Phishing-Mail ge\u00f6ffnet wird und zum anderen werden E-Mails aus der Personalabteilung normalerweise von allen Mitarbeitern als vertrauensw\u00fcrdig angesehen. HR-Mitarbeiter schicken Abteilungsleitern oft die Lebensl\u00e4ufe von interessanten Bewerbern und im Allgemeinen werden viele Dokumente von der Personalabteilung an die anderen Abteilungen des Unternehmens gesendet. Das macht ein gehacktes E-Mail-Konto zu einer besonders effektiven Plattform, um einen BEC-Angriff zu starten und Zugang zum gesamten Unternehmensnetzwerk zu erhalten.<\/p>\n

Effektiver Schutz f\u00fcr Computer von HR-Mitarbeitern<\/h2>\n

Zum Schutz der Computer, die f\u00fcr die Verwaltung des Personalwesens verwendet werden, empfehlen wir Folgendes:<\/p>\n