Cyberangriffe sind heutzutage eine der größten Bedrohungen für Unternehmen überhaupt, und man müsste meinen, dass das Thema ob seiner Brisanz auch in den Führungsebenen der Unternehmen allgegenwärtig ist. Tatsächlich wird Cybersicherheit mittlerweile zwar auch jenseits von IT-Abteilungen diskutiert und findet dank CIOs und CISOs auch bei Geschäftsführung und Vorständen Gehör, dennoch beschäftigt sich längst nicht jede C-Level-Kraft mit der gebührenden Sorgfalt mit diesem elementaren Thema.
Ein Hauptproblem ist dabei, dass viele Führungskräfte zwar über einen recht guten Überblick über die allgemeine Cybersicherheitslage sowie potenzielle Cyberrisiken ihres Unternehmens verfügen, doch das Risiko, das von ihnen selbst ausgeht, nach wie vor gerne übersehen. Dabei sind C-Levels attraktive Opfer, vor allem was Angriffe und Datenschutzverletzungen über kompromittierten Identitäten angeht.
Wie einfach ist es, an die Zugangsdaten, d.h. die Kombination aus E-Mail-Adresse und Passwort, eines bestimmten Geschäftsführers zu gelangen, zeigt eine Untersuchung von ZDNet. Demnach können solche sensiblen Daten für einen Preis von 100 bis 1.500 US-Dollar in einem geschlossenen Bereich des Untergrund-Online-Forums für russischsprachige Hacker Exploit.in einfach erworben werden.
1.500 US-Dollar mag auf den ersten Blick viel Geld für Zugangsdaten eines Accounts sein. Doch bedenkt man, dass Führungskräfte oft über privilegierte Zugriffe verfügen, die weit über die Rechte von durchschnittlichen Mitarbeitenden hinaus gehen, lohnt sich das Geschäft. Ihre Konten sind der Türöffner zu vielen sensiblen und kritischen Daten des Unternehmens, seien es Personalinformationen, geistiges Eigentum, Kundendaten, Finanzinformationen etc. Diese Daten sind weit mehr wert als 1.500 Dollar und ihre Kompromittierung für die betroffenen Unternehmen oft teils existenzschädigend.
Reale Gefahren
Dass diese Bedrohung real ist und auch Führungspersonal regelmäßig Opfer von Phishing und E-Mail-Betrug wird, zeigt unter anderem der Fall Barbara Corcoran. Die Shark-Tank-Investorin wurde um fast 400.000 Dollar betrogen als sie auf eine Betrugs-E-Mail inklusive einer gefälschten Renovierungsrechnung hereingefallen ist, die angeblich von ihrer Assistentin kam. Und vor einigen Jahren verschaffte sich ein gerade einmal 15-jähriger Brite Zugang zu den Konten von CIA-Chef John Brennan, FBI-Direktor Mark Giuliano und Heimatschutzminister Jeh Johnson und stahl Berichten zufolge sensible Regierungsdokumente.
Ebenfalls hoch im Kurs steht bei Cyberkriminellen der sogenannte CEO-Fraud. Dabei nutzen Angreifer gekaperte E-Mail-Konten von Geschäftsführern, Managern oder Chefs und fordern Mitarbeiter etwa dazu auf, Geld auf ein bestimmtes Konto zu überweisen oder sensible Passwörter zurückzusetzen. Der deutsche Automobilzulieferer Leoni ist auf diese Weise vor ein paar Jahren um rund 40 Millionen Euro betrogen worden.
Zeitdruck öffnet Malware die Tür
Ein Grund, warum Führungskräfte die Sicherheit ihrer eigenen Accounts nicht immer mit der gebührenden Sorgfalt verfolgen, liegt in einem enormen Zeitdruck. Nicht selten umgehen sie die Sicherheitsprotokolle ihres eigenen Unternehmens, um zeitkritische Aufgaben schnell erledigen zu können. Diese Nachlässigkeiten machen sich Angreifer dann zunutze, um die Systeme mit Hilfe von Malware zu infiltrieren.
Ein gutes Beispiel hierfür ist die Schadsoftware Azorult, die bei Cyberkriminellen beliebt ist, um gespeicherte Passwörter, Browser-Anmeldedaten, Cookies, Verläufe, Chat-Sitzungen oder auch Kryptowährungs-Wallet-Dateien zu sammeln und exfiltrieren. Dabei handelt es sich um einen Trojaner, der sich selbst auf einen Computer herunterlädt, getarnt als oder eingebettet in ein legitimes Programm. Azorult wird aktiv in Untergrundforen gehandelt, aber – und das ist entscheidend – muss aktiv „hereingelassen“ werden, um die Systeme der Opfer zu infizieren. Soll dies verhindert werden, reicht es nicht aus, Antiviren- oder Firewall-Software zu installieren, und es ist auch nicht nur eine Aufgabe der IT-Abteilung. Denn jeder – auch der Chef – kann zum unfreiwilligen Türöffner werden.
5 Tipps für mitarbeiterübergreifende Sicherheit
Folgende fünf Sicherheitsmaßnahmen sollte jedes Unternehmen umsetzen, um die Risiken von Konto-Kompromittierungen und Malware-Infektionen mitarbeiterübergreifend und nachhaltig zu minimieren.
- Schulen Sie Ihre Mitarbeiter: Sicherheitsschulungen sind unerlässlich, nicht nur für privilegierte Mitarbeiter wie Administratoren, sondern auch für diejenigen in der Chefetage. Daher sollten sich Security-Verantwortliche darauf konzentrieren, alle Mitarbeiter dafür zu sensibilisieren, wie Phishing-E-Mails aussehen und Social Engineering, Spoofing- und Baiting-Angriffe funktionieren, und sie dann gezielt darin zu schulen, wie man diesen Bedrohungen nicht auf dem Leim geht. Wer selbst nicht das Wissen oder die Ressourcen hat, kann sich an Anbieter wenden, die diese Art von Mitarbeiter-Security-Schulungen durchführen.
- Schaffen Sie ein Geflecht aus mehreren Sicherheitsebenen: Eine Multi-Faktor-Authentifizierung, die andere Schutzmaßnahmen wie Firewalls oder Viren- und Malware-Schutz des Unternehmens ergänzt, ist unerlässlich. Dies gilt auch für Best Practices wie das automatische Abmelden von ungenutzten Systemen und Sicherheitskontrollen für privilegierte Zugänge, um komplexe Passwörter zu automatisieren und abzusichern, so dass es für Angreifer schwieriger wird, sie zu knacken.
- Richten Sie ein Message Verification System ein: Mitarbeitende brauchen unabhängige Möglichkeiten, um die Echtheit von verdächtig anmutenden Anfragen zu überprüfen. Wenn diese Authentifizierungsverfahren eindeutig sind und nicht ohne Überprüfung durch Kollegen umgangen werden können, sind sie auch in der Lage, betrügerische von harmlosen Anfragen zu unterscheiden.
- Schaffen Sie eine Kultur von Vertrauen: Kein Mitarbeiter sollte sich scheuen, in Fragen der IT-Sicherheit um Rat zu fragen, sei es das eigene IT-Team oder andere Spezialisten innerhalb oder außerhalb des Unternehmens. Mitarbeiter sollten dazu motiviert werden, verdächtige Anfragen an den entsprechenden Überprüfungsprozess weiterzuleiten.
- Organisieren Sie Incident Response-Simulationen: Schwerwiegende Sicherheitsvorfälle können sich in jedem Unternehmen ereignen. Alle, inklusive der Führungskräfte sollten auf diesen Vorfall vorbereitet sein. Spezielle Übungen, bei denen solche Angriffe simuliert werden, sind hier von großem Nutzen.
Datenschutzverletzungen oder Ransomware-Angriffe sind nicht nur ein IT-Problem, sondern können die Existenz eines ganzen Unternehmens bedrohen, weshalb bewährte Verfahren der Cybersicherheit auch von allen Mitarbeitenden ernstgenommen und umgesetzt werden müssen. Insbesondere Führungskräfte sollten dabei mit gutem Beispiel vorangehen und zeigen, dass Sicherheit in ihrer Unternehmenskultur höchste Priorität genießt.