Cyberangriff auf die Lohnabrechnung! Realistische Gefahr oder Schreckensszenario?

Heute wird’s ernst, liebe Payroll-Profis. Wir reden über Cyberangriffe auf die Lohnabrechnung. Dieses Thema blenden viele gerne aus, obwohl es ziemlich brisant ist. Es klingt auf den ersten Blick ein bisschen nach Hollywood, ist aber harte Realität in deutschen Unternehmen. Was tun wir eigentlich, wenn plötzlich alle Abrechnungen verschwunden sind oder wenn Gehaltsdaten im Darknet auftauchen?

Genau deshalb haben wir mit David Schramm gesprochen. Er ist IT-Sicherheitsexperte mit viel Erfahrung in echten Krisenlagen. Er erklärt uns, warum die Payroll ein Lieblingsziel von Cyberkriminellen ist – und wie Unternehmen und Steuerberaterkanzleien diesen Gefahren wirkungsvoll begegnen können.

David, warum ist ausgerechnet die Lohnabrechnung so attraktiv für Cyberkriminelle?

Die Antwort ist hart, aber einfach. In der Payroll liegen die sensibelsten Daten überhaupt. Mit Gehältern, Kontodaten und vielen weiteren persönlichen Infos lässt sich jede Menge Schaden anrichten. Wer sich Zugriff darauf verschafft, kann erpressen, Identitäten klauen, Mandanten täuschen oder sogar Geldkonten manipulieren.

Die Payroll ist wie ein Generalschlüssel. Viele Unternehmen, Kanzleien oder Lohnbüros haben keine Ahnung, wie wertvoll diese Daten sind. Und leider wird es kriminellen Profis oftmals allzu einfach gemacht, diese sensiblen Daten abzugreifen.

Podcast-Tipp: KI im Personalwesen: Das neue EU-Recht! 

Was macht die Branche denn in der Praxis so angreifbar?

Viele hängen irgendwo zwischen analog und digital fest. Auf der einen Seite arbeiten sie mit modernen Cloud-Lösungen, gleichzeitig kommen dann aber PDF-Belege per Mail rein. Manches läuft über sichere Portale, anderes völlig ungeschützt auf dem lokalen Rechner.

Die Technik ist im Prinzip oft sicher. Die größte Schwachstelle ist der Mensch und genau da setzen moderne Angriffe an. Phishing-Mails sind heute so gut gemacht, dass selbst geschulte Mitarbeiter keinen Unterschied mehr zu seriösen Mails von Mitarbeitern oder Mandanten merken. Keine Tippfehler, kein komischer Ton. Und dann kommen noch so genannte „Deepfakes“ dazu, also zum Beispiel Fälschungen von Gesichtern oder Stimmen von Personen, die täuschend echt wirken.

Das klingt ziemlich beängstigend. Muss man eigentlich ein echter IT-Profi sein, um so einen Angriff durchzuziehen?

Im Gegenteil! Cyberkriminalität ist längst ein Businessmodell. Es gibt Erpressungs-Software quasi im Baukastensystem mit Anleitung, Support und sogar Erfolgsbeteiligung. Die Übeltäter brauchen keine tiefen IT-Kenntnisse mehr, KI schreibt täuschend echte Mails. Und wenn Kriminelle einmal an Daten wie Telefonnummern oder E-Mail-Adressen aus der Lohnabrechnung gekommen sind, können sie daraus Dutzende weitere Angriffe starten oder die Daten verkaufen.

Aber schützt Sicherheitssoftware da nicht ausreichend?

Das Ganze ist immer ein Katz- und Mausspiel mit den bösartigen Hackern. Die Antivirenhersteller müssen permanent neue Angriffe oder Varianten von Attacken erkennen können und aufrüsten. Sie hinken dem Angreifer meistens hinterher. Außerdem hilft auch das beste Programm nichts, wenn die Daten exportiert oder lokal gespeichert werden. Das ist wie mit einem Tresor. Der kann noch so sicher sein, ist aber völlig nutzlos, wenn der Schlüssel schön sichtbar darauf liegt. Die Schwachstellen liegen im Alltag, dort werden Zeitdruck oder Unwissenheit zur Gefahr.

 

"Cyberkriminalität ist längst ein Businessmodell.
David Schramm IT-Sicherheitsexperte

Hast du ein konkretes Beispiel für so einen Angriff?

Ein Fall vom letzten Jahr war besonders heftig: Ein externer IT-Dienstleister wurde gehackt und die Angreifer hatten damit Zugriff auf die Lohnsoftware eines mittelständischen Unternehmens. In der Folge war die komplette Abrechnung lahmgelegt, alle Daten wurden verschlüsselt, nichts ging mehr. Das Unternehmen selbst war eigentlich gut geschützt, aber der Angriff kam über die Dienstleisterkette. Es reicht also nicht, nur auf sich selbst zu achten. Man muss auch wissen, wie sicher die Partner unterwegs sind.

Was sind aus deiner Sicht aktuell die größten Bedrohungen?

Ganz oben steht Ransomware. Diese Angriffe zielen darauf ab, Systeme zu verschlüsseln und Lösegeld zu erpressen. Besonders gefährlich sind Varianten mit sogenannter „Double Extortion“: Dabei werden nicht nur Daten verschlüsselt, sondern zusätzlich vertrauliche Informationen kopiert und mit einer Veröffentlichung gedroht.

Eine zweite große Gefahr sind sogenannte „Credential Stealer“. Das sind Schadprogramme, die auf den Rechnern gespeicherte Zugangsdaten auslesen wie beispielsweise Passwörter, Zertifikate oder Cookies. Damit können Angreifer unbemerkt in Systeme eindringen und sich dort dauerhaft festsetzen.

Zunehmend gefährlich sind auch Angriffe über die sogenannte Lieferkette, also über externe Dienstleister oder Software-Komponenten. Viele Unternehmen nutzen heute Programme oder Module, die von Dritten stammen. Wenn einer dieser Anbieter oder eine eingebundene Bibliothek manipuliert wird, kann Schadcode über diesen Weg unbemerkt in die eigene Umgebung gelangen. Solche „Supply-Chain-Angriffe“ sind besonders tückisch, weil sie selbst gut geschützte Systeme über vertrauenswürdige Quellen treffen können.

Und schließlich spielt auch Künstliche Intelligenz eine immer größere Rolle. KI-Tools ermöglichen es selbst weniger erfahrenen Tätern, eigene Schadsoftware zu entwickeln oder täuschend echte Phishing-Mails zu erstellen. Dadurch wird Cyberkriminalität insgesamt professioneller, schneller und für viele deutlich einfacher zugänglich.

Und wenn es wirklich zum Datenverlust kommt, was kann man dann machen?

Im schlimmsten Fall ist das Vertrauen der Mitarbeiter, Kunden bzw. Mandanten futsch – und das wiegt meist schwerer als jeder technische Schaden. Viele versuchen den Vorfall kleinzureden oder zu verschweigen, aber das geht fast immer nach hinten los. Dazu kommen hohe Kosten für Wiederherstellung, mögliche Bußgelder und manchmal sogar Lösegeldforderungen.

Noch gravierender wird es, wenn Daten nicht nur verschlüsselt, sondern auch exfiltriert und dann veröffentlicht werden, das ist leider inzwischen fast schon Standard. Dann helfen auch die besten Sicherungskopien nichts mehr.

Wie können sich Unternehmen, Payroll-Teams und Steuerkanzleien schützen, am besten präventiv?

Da gibt es aus meiner Sicht drei goldene Empfehlungen:

Erstens: Schulungen für alle, wirklich alle Beschäftigten. Jeder muss wissen, wie Phishing aussieht und was man im Zweifel tun sollte.

Zweitens: Prozesse prüfen. Wo liegen die Daten? Wie werden sie übertragen? Gibt es eine saubere Trennung zwischen sensiblen Infos und anderen Bereichen?

Drittens: Einen klaren Notfallplan. Wer ruft wen an, wenn etwas passiert? Welche Systeme müssen zuerst heruntergefahren werden? Wer ist wofür verantwortlich? Diese Fragen müssen vorher beantwortet sein – nicht erst, wenn’s brennt.

Und was sagst du denen, die denken: Uns passiert sowas eh nicht?

Das sagen alle, bis es sie trifft.

Ich sage dann oft: Speichert einfach meine Nummer. Vielleicht braucht ihr sie nie. Aber wenn doch, zählt jede Sekunde. Und glaubt mir: Kein System ist zu klein oder zu unwichtig, um Ziel solcher Angriffe zu werden. Das erlebe ich leider immer und immer wieder.

Wer ist David Schramm?

Checkliste:

Cyberangriff auf die Payroll – bin ich vorbereitet?

Ein Cyberangriff auf die Lohnabrechnung kann schnell Realität werden, und trifft dann meist völlig unvorbereitet. Besonders gefährdet sind Unternehmen, die mit sensiblen Mitarbeiterdaten arbeiten, externe Dienstleister einbinden oder Daten digital austauschen. Genau hier setzen viele Angreifer an: gezielt, leise und oft unbemerkt.

Unsere Checkliste hilft dabei, die eigene Widerstandsfähigkeit gegenüber digitalen Angriffen zu prüfen und gezielt zu stärken.

Schnell-Test

• Ich verarbeite sensible Mitarbeiterdaten wie Gehaltsangaben, SV-Nummern, Bankverbindungen
• Ich arbeite mit externen Dienstleistern oder nutze eigene Tools/Portale
• Daten werden gelegentlich per Mail oder lokal gespeichert/exportiert

Wenn du hier mindestens zweimal „Ja“ sagen musstest, lies unbedingt weiter.

10 To-dos zur Cyber-Resilienz für die Payroll

1. Sensibilisierung: Alle im Team regelmäßig praxisnah zu Phishing, Fake-Mails, Deepfakes & Co. schulen.
2. Zugriffsrechte minimieren: Nur wer Daten wirklich braucht, darf Zugriff erhalten. Keine offenen Admin-Konten.
3. Passwortsicherheit erhöhen: Zwei-Faktor-Authentifizierung konsequent nutzen, Passwörter regelmäßig ändern.
4. Datenflüsse dokumentieren: Wer schickt was wohin und über welche Kanäle? Ungesicherte Mailanhänge vermeiden.
5. Externe Tools prüfen: Eigene Upload-Portale oder Drittanbieter regelmäßig auf Schwachstellen analysieren.
6. Sicherheitskonzept dokumentieren: Gibt es Richtlinien zum Umgang mit sensiblen Daten? Gibt es ein Berechtigungskonzept?
7. Notfallplan festlegen: Wer ist im Ernstfall zuständig? Wer darf Systeme trennen, wer informiert Mandanten, wer dokumentiert?
8. Backups absichern: Backups dürfen nicht auf demselben System liegen wie die Originaldaten. Sie sollten von einem externen Server erstellt und verwaltet werden, sonst kann Malware auch die Sicherungen löschen oder manipulieren.
9. Vertragspartner absichern: Prüfen, ob Dienstleister dieselben Sicherheitsstandards einhalten (nicht nur AV-Vertrag abschließen!).
10. Sicherheits-Audit durchführen lassen: Externe Sichtweise einholen, Angreifer denken auch nicht nach Schema F.

Belege & Nachweise

• Übersicht über alle Benutzerkonten und Rechte
• Nachweis über durchgeführte Schulungen
• Dokumentierter Notfallplan mit Ansprechpartnern
• Backup-Protokolle und Testberichte
• Vertragliche Absicherungen mit Dienstleistern

Prüferblick

Interne Sicherheit interessiert Prüfer zunehmend, besonders nach Vorfällen. Fragen zu Datenflüssen, Portalen oder Zugriffsrechten gehören zum Standard.

An Chef oder Mandanten weitergeben

Keine Selbstsicherheit vortäuschen. Führungskräfte und Mandanten erwarten, dass Verantwortliche vorbereitet sind. Besser ehrlich kommunizieren, wo es Lücken gibt und wie man sie schließt.

Die wichtigsten Fragen:
Cyberangriffe auf Lohnsysteme

Was ist das Ziel von Cyberangriffen auf die Payroll?

Meistens geht es um Erpressung oder Datendiebstahl. Gehaltsdaten, Bankverbindungen und Steuerinfos sind für Kriminelle wertvoll.

Wie gelangen Angreifer in das System?

Oft durch Phishing-Mails, manipulierte Webseiten oder über infizierte Anhänge. In vielen Fällen reicht ein Klick auf eine scheinbar harmlose Mail aus. Auch Drittanbieter wie IT-Dienstleister oder Tools können die Tür sein.

Was passiert, wenn Lohnabrechnungsdaten gestohlen oder verschlüsselt werden?

Neben Stillstand und technischem Aufwand kommt es oft zu rechtlichen Konsequenzen und Vertrauensverlust. Mandanten könnten abspringen, Bußgelder drohen, die Reputation leidet.

Reicht ein Backup als Absicherung?

Nicht unbedingt. Wenn das Backup auf demselben System liegt, wird es häufig gleich mitverschlüsselt. Zudem hilft ein Backup nicht, wenn Daten kopiert und veröffentlicht wurden. Leider passiert das immer häufiger.

Wie kann man sich konkret schützen?

Durch klare Prozesse, geschulte Teams, sichere Datenwege, starke Passwörter und einen durchdachten Notfallplan. Externe Sicherheits-Audits decken oft Schwachstellen auf, die intern übersehen werden.

Was sollte ich tun, wenn es passiert?

Ruhe bewahren, betroffene Systeme sofort vom Netzwerk trennen oder im Zweifel abschalten (nicht weiterarbeiten), Beweise sichern (z. B. Screenshots von Erpressernachrichten), Zugangsdaten betroffener Konten ändern (nicht vom kompromittierten System aus, sonst werden Anmeldedaten mitgelesen).

Anschließend einen Incident-Response-Dienstleister einschalten. Das ist ein spezialisierter IT-Sicherheitsanbieter, der Unternehmen im Falle eines Cyberangriffs oder Sicherheitsvorfalls unterstützt.

Eine Übersicht qualifizierter Incident-Response-Dienstleister in deiner Nähe findest du auf der Karte des Bundesamts für Sicherheit in der Informationstechnik (BSI):

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber-Sicherheitsnetzwerk/Karte/karte_node.html

Ein Cyberangriff auf die Lohnabrechnung kann schnell Realität werden, und trifft dann meist völlig unvorbereitet. 

 Lesetipp: Rettet KI die Payroll?

 Foto: Erstellt mit Midjourney.

Weitere Podcast-Folgen zum Thema IT:

Alle Daten sind weg!

VORSICHT FALLE! Betrugsmasche in der Payroll

Haftungsausschluss

Die Inhalte auf dieser Webseite dienen lediglich der unverbindlichen Information und stellen keine Rechtsberatung dar. Diese Informationen können eine individuelle und verbindliche Rechtsberatung nicht ersetzen, insbesondere nicht mit Blick auf spezielle individuelle Fallgestaltungen. Alle bereitgestellten Informationen sind folglich ohne Gewähr auf Korrektheit, Vollständigkeit und Aktualität.