Immer am Ball: IT Security bei Berg
Personaldienstleister wie wir arbeiten täglich mit Hunderten von sensiblen Datensätzen. Um sie zu schützen, reichen Firewall und Virenscanner längst nicht mehr aus. Warum das so ist, erklärt Lukasz Utz von der Brunner & Schmidt Datentechnik GmbH, der bei uns für IT-Sicherheit verantwortlich ist.
Denkt man an Hackerangriffe, hat man oft große Konzerne im Sinn. Doch tatsächlich sind auch kleinere Unternehmen zunehmend betroffen. Ein bekanntes Beispiel ist eine Steuerkanzlei aus der Region Nürnberg mit nur etwa 20 Mitarbeitenden, die jüngst auf diese Weise mit rund 100.000 Euro zur Wiederfreischaltung ihrer Daten erpresst wurde. Damit so etwas bei Berg nicht passiert, haben wir IT-Security zu einer unserer höchsten Prioritäten gemacht. Was wir konkret dafür unternehmen, erläutert Lukasz in unserem aktuellen Interview.
Lukasz, was muss man auf jeden Fall tun, wenn man IT Security ernst nimmt?
Es ist entscheidend, kontinuierlich am Ball zu bleiben, denn Cyberkriminelle entwickeln ständig neue Angriffsstrategien. Gerade in der Personalbranche, wo so viele personenbezogene Daten verarbeitet werden, hat die IT-Sicherheit einen besonders hohen Stellenwert. Eine Firewall allein reicht da längst nicht mehr aus.
Unser mehrstufiges Sicherheitssystem umfasst Firewalls, E-Mail-Schutzlösungen, Echtzeit-Monitoring für Server und Endgeräte, automatisiertes Patchmanagement sowie eine umfassende Endpoint Detection and Response (E.D.R.) Lösung für sämtliche Systeme. Diese Technologie überwacht nicht nur Viren, Malware und Trojaner, sondern analysiert auch das Benutzerverhalten, um verdächtige Aktivitäten frühzeitig zu erkennen und schadhafte Aktionen proaktiv einzudämmen. Zusätzlich überwachen wir alle Geräte im Netzwerk, von PCs bis hin zu mobilen Endgeräten, um sicherzustellen, dass keine unerkannten Schwachstellen existieren. Abgerundet wird unser Sicherheitsnetz durch ein durchdachtes, mehrstufiges und redundantes Backupkonzept in den Rechenzentren.
Durch diese Maßnahmen können wir sicherstellen, dass sensible Daten bestmöglich geschützt sind. Da sich die Angriffsstrategien ständig ändern, müssen auch wir ständig neue vorbeugende Gegenmaßnahmen ergreifen. Heißt: einmal ein Schutzsystem aufbauen und gut ist für die nächsten Jahre, das gibt es nicht. IT-Security ist ein fortlaufender Prozess, der ständig aktualisiert und überprüft werden muss.
Welche speziellen IT-Sicherheitsanforderungen haben Personaldienstleister?
Personaldienstleister wie Berg müssen besonders auf den Schutz personenbezogener Daten achten, da sie täglich mit sensiblen Informationen wie Gehaltsdaten, Gesundheitsinformationen und Bewerbungsunterlagen arbeiten. Diese Daten müssen technisch abgesichert werden, um unbefugten Zugriff zu verhindern.
Als Dienstleister stellen wir sicher, dass die Daten unserer Kunden optimal geschützt sind. Deshalb setzen wir auf verschlüsselte E-Mail-Kommunikation sowie spezielle Monitoring- und Sicherheitssysteme. Besonders die E-Mail-Kommunikation stellt einen kritischen Schwachpunkt dar, da heute etwa die Hälfte aller erfolgreichen Cyberangriffe über schadhafte E-Mails erfolgen. Wir gewährleisten, dass eingehende E-Mails auf Schadsoftware geprüft und gefiltert werden, bevor sie in unsere Systeme gelangen.
Die Entscheidung, den Betrieb und die Sicherheit der Serverlandschaft vollständig in ein Rechenzentrum und damit in die Hände von Profis zu legen, war eine wichtige Grundsatzentscheidung der Berg-Geschäftsführung. Auch wir verfolgen den Grundsatz: Jeder sollte das tun, was er am besten kann.
Wie profitiert ein Kandidat bei Berg von einer starken IT-Security?
Unsere Kandidaten können sich darauf verlassen, dass ihre Daten bei uns in sicheren Händen sind. Besonders Personaldienstleister sind verpflichtet, personenbezogene Daten bestmöglich zu schützen, da es hierbei nicht nur um Lebensläufe oder Kontaktdaten, sondern oft auch um vertrauliche Informationen wie Gehälter oder Gesundheitsdaten geht.
Wir nutzen modernste Technologien, um sicherzustellen, dass diese Daten nicht nur DSGVO-konform gespeichert, sondern auch technisch optimal abgesichert werden. So ist der gesamte E-Mail-Verkehr bei Berg durchgängig verschlüsselt, sodass Bewerberdaten sicher zwischen den Berg Mitarbeitenden und Kunden und Kandidaten übertragen werden.
Selbst im Falle eines potentiellen Cyberangriffs, greifen Schutzmechanismen schnellstmöglich ein und isolieren betroffene Systeme, um mögliche Schäden zu verhindern oder auf ein Minimum zu reduzieren. Einen 100% Schutz gibt es gewiss nirgends auf der Welt. Für die Kandidaten bedeutet das: Sie können sicher sein, dass ihre Daten bestens geschützt sind. Wir lassen nichts unversucht, um das Maximum an Sicherheit zu gewährleisten – denn dieser Schutz ist ein wesentlicher Bestandteil des Vertrauens, das wir unseren Bewerbern und Kunden bieten.
Wie schätzt du das IT-Sicherheitsniveau bei Berg ein?
Berg ist in puncto IT-Security hervorragend aufgestellt, was vor allem unserer über zwanzigjährigen vertrauensvollen Zusammenarbeit zu verdanken ist. In all diesen Jahren gab es keinen ernstzunehmenden Vorfall, was das entgegengebrachte Vertrauen weiter festigt. Auf dieser soliden Vertrauensbasis waren wir bei Berg in der Lage, die erforderlichen Technologien kontinuierlich zu implementieren und optimal aufeinander abzustimmen, um Kunden- und Bewerberdaten nach dem neuesten Stand der Sicherheitstechnik bestmöglich zu schützen.
Ich würde Berg eine Schulnote 1 mit einem kleinen Minus geben – nicht, weil etwas ganz Bestimmtes fehlt, sondern um uns daran zu erinnern, dass wir in puncto IT-Sicherheit niemals nachlassen dürfen. Das Vertrauen in diese Prozesse ist bei Berg sehr hoch, und wir arbeiten kontinuierlich daran, den Schutz auf dem neuesten Stand zu halten.
Im Bereich Awareness-Training für Mitarbeiter bestünde noch Ausbaupotenzial, da regelmäßige Schulungen ihre Sensibilität im Umgang mit scheinbar harmlosen E-Mails weiter schärfen würden. Ein solches Training trägt dazu bei, das Bewusstsein für potenzielle Gefahren zu erhöhen und die Mitarbeitenden in die Lage zu versetzen, verdächtige Nachrichten besser zu erkennen. Angesichts der Tatsache, dass in der Arbeitswelt sehr viele Mitarbeitende immer wieder auf betrügerische E-Mails hereinfallen, ist es entscheidend, ihre Kenntnisse regelmäßig aufzufrischen. Diese Maßnahme würde nicht nur die Sicherheit der Daten weiter verbessern, sondern auch das Vertrauen in die Sicherheitsprozesse von Berg stärken – denn letztendlich sind es die Menschen, die durch ihr Verhalten einen wesentlichen Beitrag zur IT-Sicherheit leisten können.“