Traditionell konzentrieren sich Human-Resource-Organisationen (HR) auf die Personalverwaltung und die Beantwortung allgemeiner Fragen zu Leistungen und Gehaltsabrechnung.
Heute wird die Abteilung als strategischer Bereich innerhalb einer Organisation betrachtet, der sich auf Schulungen, Mitarbeiterprognosen und mehr konzentriert. Um mit den gestiegenen Anforderungen Schritt halten zu können, setzen HR-Abteilungen weltweit auf SaaS-basierte HCM-Lösungen (Human Capital Management), um Prozesse und Daten über mehrere Systeme hinweg zu vereinheitlichen.
Die Ausweitung von Geschäftsprozessen von On-Premises auf die Cloud kann jedoch zu neuen Herausforderungen, möglichem Betrug und Datenschutzlücken führen, die Strafen von Datenschutzbehörden zur Folge haben können. Diese neuen SaaS-basierten Tools steigern die Effizienz und Flexibilität ─ aber wer stellt sicher, dass die Anwendungen und die damit verbundenen Daten geschützt sind und den gesetzlichen Vorschriften entsprechen?
Nehmen wir zum Beispiel SuccessFactors. Das SaaS-basierte HCM-Angebot von SAP verarbeitet mehr als 1,2 Milliarden Transaktionen pro Tag und ist mit hunderten von anderen geschäftskritischen Enterprise Resource Planning (ERP)-Anwendungen verbunden, um Abläufe zu optimieren. Eine Fehlkonfiguration zwischen miteinander vernetzten Systemen oder eine Lücke in den Berechtigungskontrollen kann zu Sicherheitsproblemen und Compliance-Verstößen führen, die das gesamte Unternehmen gefährden.
Infosec-Teams sind mit diesen Cloud-Anwendungen vertraut, aber die Überwachung derer fällt oft nicht in den Zuständigkeitsbereich des Teams. Stattdessen vertrauen Unternehmen darauf, dass die HR-Informationstechnologien diese Aufgabe übernehmen: Diese sollen nicht nur für die Verwaltung und kontinuierliche Laufzeiten, sondern auch für Sicherheit sorgen. Doch damit ein Unternehmen optimal geschützt ist, müssen die IT-Teams der Personalabteilungen Sicherheitsexperten sein und alle Auswirkungen kennen, die diese mächtigen cloudbasierten Tools auf das Unternehmen haben können.
Allgemeine SaaS-Fehlerquellen im Personalwesen (und wie Hacker sie nutzen können)
Wie bei jeder Geschäftsanwendung in einem intelligenten Unternehmen sind die ordnungsgemäße Implementierung und Konfiguration sowie genaue Richtlinien das A und O. Doch viele Unternehmen unterschätzen das Risiko, dass der Einsatz von SaaS-Anwendungen für ihr Unternehmen bedeuten kann. Für die erfolgreiche Anwendung müssen die IT-Teams der Personalabteilungen die allgemeinen SaaS-Stolperfallen für das Personalwesen kennen und wissen, wie sie zukünftige Risiken minimieren können. Fünf Fehlerquellen gilt es zu beachten:
1. Zu viele Berechtigungen.
Die IT-Teams in Personalabteilungen müssen sicherstellen, dass alle Nutzer nur die nötigsten Zugriffsberechtigungen erhalten. Verliert die IT den Überblick über die erteilten Berechtigungen, können unberechtigte Nutzer z. B. vertrauliche Daten zu Zahlungen, Leistungskennzahlen, Einstellungen und Unternehmensrichtlinien einsehen. Dies könnte auch einem Angreifer die Möglichkeit bieten, einen umfassenden Datenexport durchzuführen. Eine solche Verletzung der Datensicherheit kann einen erheblichen Verstoß gegen Datenschutzbestimmungen wie die Datenschutz-Grundverordnung (DSGVO) darstellen und katastrophale Folgen für die Bilanz und den Ruf des betroffenen Unternehmens haben.
2. Trennung von Verantwortlichkeiten.
Ein Mitarbeiter, der zu viel Macht hat, kann innerhalb des HCM-Angebots zu einem gefährlichen Nutzer werden, der durch erweiterte Berechtigungen Daten löschen oder auf vertrauliche Personendaten zugreifen kann. Um dies zu verhindern, muss die HR-IT sicherstellen, dass ein einzelner Nutzer nie allein für einen ganzen Prozess verantwortlich ist.
3. Übernahme von Berechtigungen.
Dass sich ein Angreifer für einen anderen Nutzer ausgibt, kommt in der Cloud sehr häufig vor und kann für IT-Teams in Personalabteilungen mit Tools wie SuccessFactors enorme Probleme verursachen. Indem er sich als ein anderer Benutzer ausgibt, könnte ein Angreifer erweiterten Zugriff an andere delegieren, auf Proxy-Verwaltungseinstellungen zugreifen und Geschäftsrichtlinien ignorieren. Daher muss die HR-IT die Zugriffsberechtigungen der Benutzer genau identifizieren und verfolgen und nur autorisierten Mitarbeitern erlauben, aus legitimen geschäftlichen Gründen im Namen anderer zu handeln.
4. Sicherheitskonfigurationen.
SuccessFactors bietet zahlreiche benutzerdefinierte Funktionen, mit denen sich Geschäftsprozesse optimieren lassen. So kann das IT-Team zum Beispiel mit dem Metadata-Framework-Tool unternehmensspezifische Objekte erstellen, die individuelle Geschäftsprozesse unterstützen – eine Funktion, die ohne Programmieren auskommt und viel Zeit und Geld spart. Bei nicht ordnungsgemäßer Konfiguration können durch Metadata Framework und andere benutzerdefinierte Funktionen jedoch Schwachstellen entstehen, über die Hacker Zugang zum SuccessFactors-System erhalten und vertrauliche Mitarbeiterdaten stehlen können. Ein solcher Angriff stellt eine Verletzung von Datenschutzbestimmungen dar (DSGVO, California Consumer Privacy Act [CCPA] usw.) und zieht erhebliche Sanktionen und Strafen nach sich. Darüber hinaus müssen auch die Standardeinstellungen und Verschlüsselungscodes überprüft werden, um sicherzustellen, dass Angreifer nicht auf Backend-Server und Mitarbeiterdaten zugreifen können. Dies sind nur wenige Beispiele, die zeigen, wie wichtig es ist, dass IT-Teams in Personalabteilungen Sicherheitsmechanismen entsprechend Best Practices gestalten. Dazu müssen sie kontinuierlich überwachen und nachverfolgen, ob die Berechtigung aller eingetragener Systemadministratoren angemessen ist. Falls nicht, müssen die entsprechenden Berechtigungen entfernt werden.
5. Integrierte Systeme.
Der Wechsel zu einer SaaS- oder cloudbasierten HCM-Lösung bedeutet den Verlust von Transparenz der Applikation, jedoch auch einen Gewinn an Flexibilität. Diese mangelnde Transparenz macht es schwierig zu erkennen, ob unerwünschte Systeme Dritter eine Verbindung zu Ihrer HCM-Anwendung herstellen. Und noch schwieriger ist es zu erkennen, ob Daten, die an Systeme Dritter gesendet wurden, abgefangen oder verändert werden. Aufgrund dieser Lücke ist es schwierig einzuschätzen, ob die wertvollsten Daten des Unternehmens wirklich geschützt sind. Wenn z. B. eine Drittanwendung gefährdet ist, kann ein Angreifer versuchen, über eine vorhandene Verbindung Zugriff auf die HCM-Anwendung zu erhalten. Die unsachgemäße Verwaltung von verknüpften Drittanwendungen kann damit nicht nur zu einer Unterbrechung von Geschäftsprozessen führen, sondern aufgrund des Verstoßes gegen Datenschutzbestimmungen auch Sanktionen und Strafen nach sich ziehen. Aus diesem Grund müssen integrierte Systeme Dritter unbedingt gemäß den gängigen Sicherheitspraktiken konfiguriert werden.
Sicherheit und Compliance in SaaS-basierten HCM-Anwendungen
Diese fünf Tipps sind eine gute Grundlage für ein zuverlässiges Sicherheitskonzept für die IT in Personalabteilungen. Sie dienen als Checkliste, mit der Unternehmen gewährleisten können, dass SaaS-basierte HCM-Lösungen sicher sind und alle Datenschutzvorschriften erfüllen. Doch es ist ein zeitaufwendiger und schwer nachzuverfolgender Prozess, Berechtigungen, die Trennung von Verantwortlichkeiten, Sicherheitskonfigurationen und integrierte Systeme im Auge zu behalten. Vor allem wenn dieser manuell erfolgt. Aus diesem Grund sollten IT-Experten in Personalabteilungen Drittanwendungen mithilfe von Tools und Lösungen automatisieren und intelligent analysieren. Solche Lösungen sind in der Lage, Compliance-Verstöße, falsche Konfigurationen und Schwachstellen zu erkennen, deren Ursache zu bestimmen und eine Fehlerbehebung einzuleiten. Darüber hinaus können IT-Teams in Personalabteilungen mithilfe dieser Tools Nutzeraktivitäten nachverfolgen, auf anomales Verwalten hinweisen und Alarme auslösen, sobald Berechtigungen erweitert oder missbraucht werden. Durch diese Funktionen erhalten Teams mehr Zeit, um Anwendungen zu überwachen, sich auf Integrationsanforderungen zu konzentrieren, das Management zu optimieren und sich anderen wichtigen Initiativen zu widmen. So wird sichergestellt, dass die HR weiterhin die strategischen Unternehmensziele unterstützt.
Die Cloud-Transformation ermöglicht es HR-Organisationen (und den IT-Teams, die sie unterstützen), Innovationen im Handumdrehen umsetzen. Die Teams sollten nicht durch die Sicherheits- und Compliance-Auswirkungen modernster SaaS-basierter Technologie ausgebremst werden. Indem diese Probleme direkt und mit der Unterstützung fortschrittlicher Technologie angegangen werden, können IT-Teams in Personalabteilungen den erfolgreichen Einsatz von SaaS-basierten HCM-Lösungen sicherstellen.