Dass die Personalgewinnung erhebliche Sicherheitsrisiken bergen kann, zeigt Everman am Beispiel von KnowBe4: Das Unternehmen stellte 2024 versehentlich einen nordkoreanischen Bedrohungsakteur als Softwareentwickler ein, der über einen scheinbar legitimen Background-Check verfügte. Die Gefahren beschränken sich aber nicht auf das Onboarding. Auch bei Kündigungen vergessen Organisationen häufig, Zugänge zu entziehen, sodass Konten offenstehen und von Angreifern unbemerkt übernommen werden können.
Für den Anwendungsfall Talentakquise zerlegt Everman den Prozess in Kategorien, die dem üblichen Einstellungsablauf entsprechen: Stellenbeschreibung, Stellenausschreibung, Vorstellungsgespräch, Onboarding, Beschäftigung und Offboarding. Um Bedrohungen wie im Fall KnowBe4 zu begegnen, empfiehlt er ein Bedrohungsprofil, mit dem sich bestimmen lässt, wie gefährlich eine Rolle für die Organisation ist, wenn sie mit der falschen Person besetzt wird.
Auch das aus Sicherheitsteams bekannte Threat-Monitoring lässt sich übertragen. In früheren Unternehmen setzte Everman die privaten IP-Adressen ausgeschiedener Mitarbeitender nach deren Weggang auf die Sperrliste des VPN. Zwar sei eine solche Liste leicht zu umgehen, doch wollten Organisationen womöglich verhindern, dass insbesondere verärgerte Ex-Beschäftigte zurückkehren.
Ein weiterer Baustein ist die Schulung der Sicherheitskultur. Everman rät, nach dem Onboarding Open-Source-Intelligence zu sammeln und Social-Media- sowie Online-Aktivitäten zu beobachten, um zu prüfen, ob die Vorstellung einer Person von akzeptablem Risiko und Compliance zum Unternehmen passt. Wenn jemand seinen frischen Mitarbeiterausweis und den neuen Job in sozialen Medien zeigt, wirke das auf viele nur wie Begeisterung – für ihn und sein Red Team sei es jedoch eine Gelegenheit, das Foto des Ausweises zu stehlen und Schaden anzurichten.
“Mehr denn je sind Sicherheits- und Governance-Teams ausgedünnt”, sagt Everman. Das Geschäft habe sich nicht verändert, doch aufkommende Technik wie KI bewege sich so schnell, dass auch die Umsetzung rasant verlaufe; ein rein reaktiver Ansatz sei dafür möglicherweise nicht mehr im besten Interesse.
Everman plädiert zudem für ein erweitertes Verständnis von Bedrohungen. Viele dächten bei einer Bedrohung sofort an Sicherheit, was er für eine seltsame Denkweise hält – Cyberbedrohungen seien nicht die einzigen Risiken, die Zeit und Geld kosten. Eine Bedrohung könne ebenso die Reputation oder die Privatsphäre betreffen. Wer einen Anbieter freigebe und ein neues Werkzeug ohne sämtliche Kontrollen ausrolle, könne ein Unternehmen ausbremsen oder Sicherheitsfachleuten schaden, falls ein Problem nicht vor der Produktivsetzung erkannt werde. Je früher Datenschutzrichtlinien, Risikobereitschaft und Cybersicherheit in solche Prozesse integriert seien, desto eher lasse sich darauf vertrauen, etwas Sicheres in die Welt zu setzen.
Intern habe der Ansatz zu besseren Gesprächen geführt – über IT-Teams hinaus bis zu Projektmanagement-Teams und zu maßgeblichen Entscheidern, für die solche Gespräche früher dem CISO vorbehalten waren. Das Center for Internet Security müsse stets am Puls der Entwicklungen sein, weshalb Teams so weit wie möglich in diese Prozesse eingebunden sein sollten. Selbst Teams, mit denen man früher aneinandergeriet – auch Entwickler –, zeigten sich offener, wenn man mit einem Plan auf sie zugehe. “Wir versuchen, uns in ihren Arbeitsablauf einzufügen”, sagt Everman. Wer sich nahtlos einpasse, werde nicht länger als Reibungspunkt wahrgenommen.
