Bewerbungen: Bessere IT-Sicherheit in Personalabteilungen

28 Juli 2022

Zusammen mit zwei Projektpartnern beschäftigt sich ein Team von Forscherinnen der Universität der Bundeswehr München im Rahmen des Projekts „FLEIS“ (Federated Learning Enhancing IT Security) mit der IT-Sicherheit in Personalabteilungen. Mittels Künstlicher Intelligenz (KI) in Form von Federated Learning (FL) sollen digitale Bedrohungen in Personalabteilungen durch Bewerbungsunterlagen künftig besser erkannt und abgewehrt werden.

Personalabteilungen erhalten meist täglich Bewerbungsunterlagen per E-Mail oder über ein Bewerberportal, die geöffnet werden müssen. Ein ideales Einfallstor für Angreifer, um Viren oder Malware in Unternehmen zu schleusen. Die Problematik liegt vor allem darin, dass die Bewerbungsunterlagen vertrauliche, personenbezogene Daten enthalten. Somit können solche Unterlagen nicht ohne Weiteres zur Prüfung etwa an IT-Dienstleister weitergeschickt werden. Das Projektteam der Universität der Bundeswehr München unter Leitung von Dr. Steffi Rudel, Institut für Schutz und Zuverlässigkeit an der Fakultät für Informatik, setzt daher bei FLEIS in Kooperation mit den Unternehmen itWatch GmbH und Trevisto AG auf eine KI-basierte, zukunftsweisende Technologie: Federated Learning (FL). Fördergeber des Projekts ist das Forschungs- und Entwicklungsprogramm „Informations- und Kommunikationstechnik“ des Freistaates Bayern, Projektträger ist die VDI/VDE Innovation + Technik GmbH.

Lokal trainierte Modelle

Für KI-Anwendungen benötigt man möglichst viele Daten, damit mittels Machine Learning (ML) Modelle auf Basis von Daten trainiert werden können. Je mehr Daten vorhanden sind, umso besser wird das Modell. Da Personalabteilungen sensible Unterlagen wie Bewerbungen nicht einfach an eine Zentrale schicken dürfen, ist die Idee: Die Daten bleiben bei den Unternehmen und werden lokal mit FL in einem Modell trainiert. Lediglich dieses lokal trainierte Modell, nicht aber die Daten selbst, werden dann zurück an die Zentrale geschickt. In der Zentrale können dann viele lokal trainierte Modelle unterschiedlicher Unternehmen miteinander kombiniert und zu einer neuen, optimierten Modellversion aggregiert werden. Diese optimierte Version wird dann wieder an die einzelnen Unternehmen zurückgeschickt, dort weiter lokal trainiert und erneut an die Zentrale zurückgeschickt. „Dieses föderierte Lernen von verschiedenen Teilnehmenden lässt das zentrale Modell immer schlauer werden und ist gleichzeitig ungefährlich für die Unternehmen, da keine sensiblen Daten weitergegeben werden“, erklärt Dr. Rudel. Die Wissenschaftlerin kann sich auch weitere Anwendungsfelder für FL vorstellen, etwa den Gesundheitsbereich für sensible Patientendaten oder den Versicherungssektor.

Bewerbungen per E-Mail gefährlicher

In einem ersten Schritt haben sich die Forscherinnen bereits angeschaut, auf welchem Weg Unternehmen Bewerbungen erhalten und welche Abteilung wann Zugriff darauf hat. Bei kleineren und mittleren Unternehmen, die sehr wenige Bewerbungen erhalten, läuft der Bewerbungsprozess in der Regel noch per E-Mail. Größere Unternehmen arbeiten dagegen meist mit Bewerber-Management-Tools, sog. Applicant-Tracking-Systemen (ATS). „Aus der Sicherheitsperspektive sind Unternehmen mit ATS natürlich viel besser geschützt, da die Bewerbungen in dem Tool gekapselt sind. Per E-Mail sind Viren gleich im Unternehmen drin“, so Dr. Rudel. In einem nächsten Schritt wird das Forschungsteam untersuchen, wie viele Angriffe auf Personalabteilungen tatsächlich stattfinden und welche Lösungen möglichst anwenderfreundlich für die Mitarbeitenden dort sind. Im Anschluss daran wird erhoben, wie das Wissen in Personalabteilungen mit Blick auf digitale Bedrohungen grundsätzlich aussieht.

Im Rahmen von FLEIS soll nicht nur ein Prototyp eines FL-Systems entwickelt, sondern auch die Kompetenz der Mitarbeitenden in den Personalabteilungen mittels Weiterbildung und Training gestärkt werden. Dr. Rudel betont: „Wir möchten eine ganzheitliche Verbesserung der IT-Sicherheit in Personalabteilungen in Deutschland erreichen.“


Titelbild: Dr. Steffi Rudel möchte zusammen mit ihrem Team die IT-Sicherheit in Personalabteilungen mithilfe von Federated Learning verbessern (© Universität der Bundeswehr München / Siebold)