Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4
Im Sommer dieses Jahres gelang es einem nordkoreanischen Hacker, unerkannt ein Bewerbungsverfahren bei KnowBe4 zu durchlaufen. Dank KnowBe4s gut durchdachter Sicherheitsarchitektur war der Erfolg seines Angriffs jedoch nur von kurzer Dauer. In weniger als 30 Minuten wurde er enttarnt und gestoppt – ohne Schäden verursacht zu haben. Im System hatte er sich nicht umsehen, Daten weder erbeuten noch kompromittieren können.
In Folge des Angriffs setzte KnowBe4 auf Transparenz, machte den Vorgang publik. Zahlreiche Medien berichteten. In den folgenden Wochen meldeten sich dann weitere Unternehmen zu Wort – darunter auch deutsche – deren HR-Abteilungen ebenfalls ungewollt Bekanntschaft mit als ordentlichen Bewerbern getarnten nordkoreanischen Hackern gemacht hatten. Die Medienberichterstattung zeigt: Fake Job Candidates stellen ein wachsendes Sicherheitsrisiko dar, mit erheblichem Schadenspotential.
KnowBe4 nahm den Infiltrierungsversuch zum Anlass, die Sicherheitsarchitektur seiner HR-Prozesse einer grundlegenden Überprüfung zu unterziehen und – wo möglich – weiter zu optimieren.
Zwölf Maßnahmen kristallisierten sich dabei als besonders zielführend heraus:
Vor dem Interview:
- Prüfung von Anschreiben und Lebenslauf auf verdächtige Muster
- Prüfung der Telefonnummern von Referenzkontakten auf deren Echtheit
- Abgleich des Bewerbungsprofils mit im Netz einsehbaren Profilen des Bewerbers
- Abgleich des Bewerbungsprofils mit im Netz einsehbaren offiziellen Quellen
- Nutzung neuester Identitätsprüfungstechnologien, um gefälschte oder nachgemachte Ausweisdokumente zu erkennen
Während des Interviews:
- Durchführung telefonischer Screenings als Referenzscreenings
- Durchführung eines virtuellen Bewerbungs-Calls, wobei „Video-on“ sowie die Abschaltung von Unschärfen, Filtern und Hintergrundbildern eine zwingende Voraussetzung sein sollte, die jeder Bewerber zu erfüllen hat
- Nutzung neuester Identitätsprüfungstechnologien, um die Echtheit des Gesichts des Kandidaten in der Videokonferenz verifizieren zu können
- Einflechtung konkreter Fragestellungen, die der Bewerber nur beantworten kann, wenn seine angegebene Identität zutrifft (zum Beispiel zu Lokalitäten am Geburtsort, am derzeitigen Wohnort oder zu angegebenen Hobbies)
Nach dem Interview:
- sollte vor oder während des Interviews der Verdacht entstehen, dass es sich bei einem oder mehreren Kandidaten um Betrüger handelt, sollte dem CISO umgehend Meldung erstattet werden
- wird ein Bewerber angenommen, sollte darauf geachtet werden, dass beim Versand von Firmengeräten – wie Mobiltelefonen, Laptops, Tablets und Hardware-Token – an dessen Privatadresse, ausschließlich dieser die Geräte in Empfang nehmen darf – und dies auch nur dann, wenn er sich mittels offizieller Dokumente ausgewiesen und den Empfang gegenüber dem Versandunternehmen schriftlich quittiert hat
- Und schließlich sollte der neue Mitarbeiter – in der Anfangsphase seiner neuen Anstellung – nur begrenzten Zugriff auf das Unternehmensnetzwerk erhalten
Um solche und ähnliche zwingend erforderliche Sicherheitsmaßnahmen effektiv, effizient – und vor allem nachhaltig – in ihre HR-Abteilungen zu implementieren, werden viele Unternehmen die Sicherheitskultur und das Sicherheitsbewusstsein ihrer HR-Teams noch einmal spürbar anheben müssen. Gelingen wird das nur mit kontinuierlichen Trainings und Schulungen. Anders wird es nicht möglich sein, die eigenen HR-Teams fit für die Fake Job-Kandidaten von heute und morgen zu machen.
