Führungspersonen haben zu selten Zeit, an ihre IT-Sicherheit zu denken. Ein folgenschweres Versäumnis, denn gerade ein Geschäftsführer ist ein attraktives Ziel für Angreifer, weil er oft weitreichende Zugriffsrechte auf die IT hat und weisungsbefugt ist.
Um sich selbst und das Unternehmen zu schützen, benötigt das C-Level ein spezifisches Sicherheitsbewusstsein, geeignete IT-Sicherheitstechnologien und aufmerksame IT-Administratoren. Jörg von der Heydt, Regional Director Bitdefender: „Cyberkriminelle mit wirtschaftlichem Interesse suchen sich ihre Opfer gezielt aus. Manche von Ihnen haben es „nur“ auf die einfachen Ziele abgesehen: Ungeschützte Benutzer oder Systeme sind leicht anzugreifen, versprechen aber in der Regel wenig Profit durch Ransomware oder den Verkauf von Daten.“
Einen höheren Gewinn versprechende Ziele sind in der Regel besser geschützt. Leitende Angestellte sind oft der goldene Mittelweg: Sie sind hochrangige Zielpersonen, die oft nicht besser als ihre Mitarbeiter geschützt sind, aber durch den meist erweiterten Zugriff auf sensible Inhalte einen höheren monetären Ertrag versprechen.
Deshalb haben es die Cyberkriminellen von heute zunehmend auf das Spitzenpersonal in Unternehmen, Behörden und Organisationen auf der ganzen Welt abgesehen. Sicherheitsteams müssen infolgedessen die Risiken für den C-Level neu bewerten: Die Folgen kompromittierter Zugriffsrechte oder einer Fake-Identität eines Unternehmensmitarbeiters sind für das Ansehen und unter Umständen auch für die persönliche Haftung eines Geschäftsführers enorm.
Nutzer mit hoher Fallhöhe
Aufgrund ihres Arbeitspensums sowie ihrer Kompetenzen im Unternehmen eignet sich die C-Suite als hocheffizienter Hebel für Angreifer. Leitende Angestellte arbeiten unter Hochlast, oft bis tief in die Nacht hinein. Eine Vielzahl an Aufgaben verlangt es, ihre Aufmerksamkeit auf verschiedenste Bereiche zu verteilen. Da ist es schnell möglich, dass sie unaufmerksam Links oder Anhänge in Phishing-E-Mails öffnen.
Mitglieder der C-Suite stehen zudem im Rampenlicht zumindest der Fachöffentlichkeit. Viele von ihnen halten Vorträge auf Branchenkonferenzen oder Messen, die die über die unterschiedlichsten Kanäle auch in sozialen Medien publik gemacht werden. Für das Social-Engineering verwertbare Informationen aus LinkedIn, Fallstudien von Anbietern und anderen öffentlich zugänglichen Medien können die Hacker für authentische Phishing-Mails verwenden. Die kriminellen Verfasser beziehen sich darin auf tatsächliche Partner, Zulieferer oder Kunden.
Zentral ist dabei der Zugriff auf Kundendaten. So wurde ein australischer Hedgefonds um fast acht Millionen Dollar betrogen, indem sich Angreifer Zugang zu den Buchhaltungssystemen verschafften und Dutzende von gefälschten Rechnungen an Kunden senden konnten. Ausgangspunkt war eine sorgfältig gestaltete Phishing-Mail, die einer der Unternehmensgründer öffnete.
Hacker haben nicht nur die Möglichkeit, in die Privatsphäre ihrer Opfer einzudringen. Sie können auch in deren Namen kommunizieren, um deren Einfluss auf andere Mitarbeiter zu nutzen. Eine zum richtigen Zeitpunkt gesendete und täuschend echte E-Mail an einen Angestellten kann sehr überzeugend wirken. Bei einem deutschen Autozulieferer führte 2016 eine Phishing-Mail, die angeblich von einem Vorgesetzten stammte, dazu, dass Mitarbeiter 40 Millionen Euro auf das Konto der Hacker überwiesen. Eine andere Phishing-Kampagne zielte auf die Chefetage eines australischen Luft- und Raumfahrtunternehmens ab und führte zu einem Verlust von 47 Millionen Dollar. In diesem Fall entließ das Unternehmen sowohl den CEO als auch den CFO.
Cyberkriminelle mit wirtschaftlichem Interesse suchen sich ihre Opfer gezielt aus.
Jörg von der Heydt, Bitdefender
Wesentliche Cyberhygiene und zentrale Sichtbarkeit von Sicherheitsereignissen
Um Angriffe auf die C-Suite zu stoppen, bedarf es zunächst einer wirksamen und konsequenten Cyberhygiene im gesamten Unternehmen. Leider lassen sich viele leitende Angestellte von grundlegenden Kontrollen ausnehmen – vor allem, wenn sie Zugriff auf verschiedene, oft sensible Systeme und Daten benötigen. Das ist verständlich, hat aber Folgen. Vielleicht hat der CEO nur einmal während eines Notfalls Zugriff auf die Gehaltsabrechnung benötigt. Einmal eingerichtet, bleibt das Privileg häufig bestehen und stellt damit ein höheres Risiko dar. Die Konsequenzen, wenn solche Privilegien in die Hände unberechtigter Dritter gelangen, werden dabei oft nicht bedacht.
Viele leitende Angestellte haben für die Erstellung und Umsetzung notwendiger Sicherheitsrichtlinien oft weder die Zeit noch die technischen Mittel. Hierfür benötigen sie die Hilfe der IT-Sicherheitsteams und ihrer Technologien. Extended Detection and Response (XDR)-Plattformen verschaffen den Administratoren als Sicherheitsassistenten für das C-Level den erforderlichen Einblick in die Zugriffs- und Autorisierungsrichtlinien und identifizieren sowie priorisieren Gefahren.
Eine ganzheitliche Plattform, die Endpunkte, Benutzer und Vorgänge in der gesamten IT-Infrastruktur KI-gestützt überwacht, ist für die Identifikation von Gefahrentrends oder Ereignissen, die auf einen Angriff hindeuten könnten, unerlässlich. Ein IT-Administrator, der über solche Werkzeuge verfügt, kann seinem Geschäftsführer nicht nur besser beraten, sondern auch Vorfälle frühzeitig im Gespräch klären. Zum anderen kann er proaktiv Zugriffsrechte blockieren und möglichen Schaden abwenden.
Wer seinen C-Level wirksam unterstützen will, muss dabei drei Taktiken verfolgen:
1. Schnelles Erkennen
Angriffe auf hochrangige Mitarbeiter haben zumeist schwerwiegende Folgen für das Unternehmen. Daher ist es wichtig, diese so schnell wie möglich zu erkennen, bevor ein Schaden entstehen kann. Dies verlangt, dass all relevanten Sicherheitsereignisse und -informationen in einer XDR-Plattform zusammenlaufen, auf der KI scheinbar nicht zusammenhängende Vorgänge korrelieren kann. Selbst den besten Sicherheitsanalysten der Welt fällt es inzwischen schwer, einen komplexen verteilten oder mehrstufigen Angriff hinreichend schnell zu analysieren. Eine XDR-Plattform arbeitet dagegen in Echtzeit und verringert die benötigte Zeit, einen Angriff zu erkennen, beträchtlich.
2. Das Ausmaß des Angriffs bestimmen
XDR-Plattformen können IT-Sicherheitsverantwortliche zu einem frühen Zeitpunkt mit dem notwendigen Kontext versorgen, um einen Angriff und seine Folgen zu bewerten. Dafür stellen sie automatisch Informationen zusammen, wie der Angreifer sich Zugang zum Netz verschaffte, wie er sich weiter im Netz bewegte und welche Systeme letztlich betroffen sind. Zusätzlich belegen sie, ob die Hacker Daten exfiltriert haben und Command-and-Control-Nachrichten übermittelten.
3. Sofortmaßnahmen ergreifen
Wichtig sind umsetzbare und vor allem leicht verständliche, idealerweise visualisierte Informationen, um einen Angriff zu stoppen oder seine Folgen zu minimieren. Dazu gehören Ratschläge zur Quarantäne bestimmter Systeme, das Sperren des Zugangs für bestimmte Benutzer, das Herunterfahren von Anwendungen oder auch das Wiederherstellen von Endpunkten.
Technologie und der Faktor Mensch
Angriffe auf die C-Suite haben ein enormes Schadenspotenzial – von Umsatzeinbußen über Entlassungen bis hin zum Konkurs des Unternehmens. Leider handeln viele Mitglieder der Führungsebene trotz des großen Risikos in Bezug auf Sicherheit nach dem Laissez-Faire-Prinzip und räumen dem Zugang und der Produktivität Vorrang vor Sicherheitskontrollen ein. Glücklicherweise können Sicherheitsverantwortliche die meisten Angriffe durch eine gute Cyberhygiene im gesamten Unternehmen verhindern. Darüber hinaus können sie dank XDR-Plattformen Angriffe frühzeitig erkennen und Privilegien besser verwalten.
Letztlich kommt es aber auch auf jeden Mitarbeiter an: Eine außergewöhnliche Kontaktaufnahme eines Vorgesetzten – ganz gleich auf welchem Weg – verlangt dieselbe Vorsicht wie eine verdächtige Mail eines externen Absenders. Security-Awareness-Maßnahmen müssen daher ein fester Bestandteil einer Sicherheitsstrategie sein.
it-sa Expo&Congress Besuchen Sie uns in Halle 7-229 |