Führungskräfte schützen Wie CISOs für mehr Cybersicherheit im C-Level-Bereich sorgen

Foto: ESB Professional – shutterstock.com

Hochrangige Führungskräfte, darunter Vorstandsmitglieder und leitende Angestellte, haben in der Regel Zugang zu sensiblen Informationen, was sie zu bevorzugten Zielen für bösartige Akteure macht. Ihre persönlichen Geräte sind neben anderen Zugangspunkten ein eklatanter Angriffsvektor für Cyberangreifer, die in die oberste Etage eindringen wollen.

Wie CISOs wissen, spielen bei Cybervorfällen nur allzu oft auch menschliche Faktoren eine Rolle – das trifft auch auf Führungskräfte zu. Laut dem Verizon 2022 Data Breach Investigations Report (Bericht über die Untersuchung von Datenschutzverletzungen) war bei 82 Prozent der Datenschutzverletzungen ein menschliches Element beteiligt, wobei der Großteil davon auf Phishing, Kompromittierung von Geschäfts-E-Mails (BEC) und gestohlene Anmeldedaten zurückzuführen ist. Eine Ivanti-Studie zeigt zudem, dass Manager häufiger von Phishing-Attacken betroffen sind als ihre Angestellten.

Das Zuhause ist die neue Angriffsfläche

Aufgrund zahlreicher Faktoren entsteht eine neue Risikoklasse, die über sehr persönliche Wege auf die höchsten Ränge eines Unternehmens abzielt. Sicherheitsverantwortliche sollten daher berücksichtigen, dass der digitale Lebensbereich einer Führungskraft das schwächste Glied des Unternehmens sein könnte. Dies betrifft nicht nur die Geräte und Konten des Unternehmens, Heimserver, Hausüberwachungssysteme, Geräte der Familie und sogar Interaktionen in sozialen Medien können Schwachstellen darstellen und Sicherheitsrisiken am Arbeitsplatz bergen. “Das bedeutet, dass das Zuhause die neue Angriffsfläche ist”, sagt Chris Pierson, CEO von BlackCloak.

Es ist eine Selbstverständlichkeit, dafür zu sorgen, dass interne Systeme und Mitarbeiter ein Unternehmen schützen, aber es ist viel schwieriger, mit Risiken von außen umzugehen. Diese lassen sich nicht so einfach kontrollieren. Das digitale Leben des Führungsteams, so Pierson, könnte so etwas wie eine tickende Zeitbombe sein.

Nach Piersons Erfahrung im Onboarding wurde ein erheblicher Anteil (39 Prozent) der digitalen Lebensbereiche der neuen Führungskräfte kompromittiert. Wenn Privat- und Unternehmensleben miteinander verknüpft sind, kann dies für CISOs zu einem Problem werden: Dadurch gibt es Bereiche, die sie nicht kontrollieren können.

Das Risiko, mit dem sich Führungskräfte konfrontiert sehen, ist rapide angestiegen, da die pandemiebedingte Zunahme hybrider Arbeitsformen die Vermischung von beruflichem und privatem digitalen Leben verstärkt. Komplexe geopolitische Spannungen, Möglichkeiten für digitalen Aktivismus gegen Unternehmen – insbesondere in Branchen mit höherem Risikoprofil – und die Aussicht auf finanziellen Gewinn durch die Angriffe auf wohlhabende Führungskräfte gefährden deren persönliche digitale Leben.

Eine große Organisation, insbesondere wenn es sich um ein börsennotiertes Unternehmen mit einem Führungsteam handelt, das in den Medien und in den sozialen Medien präsent ist, kann ein Blitzableiter für die Aufmerksamkeit bösartiger Akteure sein, erklärt Gergana Winzer, Partnerin für Cyberdienste bei KPMG Australia. “Einige dieser Kleinkriminellen haben erkannt, dass sie Geld verdienen können, indem sie einfach zu erwerbende Malware oder Ransomware online nutzen und sie bei diesen vermögenden Personen einsetzen”, sagt Winzer.

Wenn eine persönliche Sicherheitslücke zu einem Unternehmensangriff führt

Pierson zufolge kann diese Art von persönlichen Risiken viele verschiedene Formen annehmen. Eines der größten Risiken sei der Verlust von geistigem Eigentum – der Verlust von Unternehmensdokumenten von den persönlichen Geräten oder Konten von Führungskräften, wo es weniger oder keine Kontrollen gibt. “Führungskräfte in Unternehmen haben in der Regel komplexe Smart-Home-Systeme mit Sicherheitskameras und Servern, auf denen eine Vielzahl von Geräten und Diensten gehostet werden, und all diese stellen potenzielle Angriffspunkte dar”, führt der BlackCloak-CEO aus.

Aber das soll nicht heißen, dass es Angreifer nicht auch auf eine persönliche Bereicherung abgesehen haben. “Da es sich bei Führungskräften um sehr vermögende Personen handelt, können sie für Kriminelle ein attraktiveres Ziel sein als Banken und Finanzinstitute, bei denen es mehr Kontrollen gibt”, so Pierson. “Wir sehen, dass ihre persönlichen E-Mails bei Angriffen auf Geschäfts-E-Mails kompromittiert werden, wir stellen fest, dass ihre persönlichen Geräte immer wieder durch Malware und andere Social-Engineering-Betrügereien angegriffen werden. Folglich ist Geld ein wichtiger Motivator für viele dieser Angriffe.”

Dann gibt es noch die sehr persönlichen Angriffe mit böswilligen Absichten. Persönliches Doxxing – die Offenlegung von Namen, Adressen, Telefonnummern und sogar persönlichen Fotos und Videos – verletzt die Privatsphäre und bietet Angreifern die Möglichkeit, diese auszunutzen. “Diese Informationen werden als Mittel der Erpressung eingesetzt, können aber auch einen sehr großen Imageschaden und sogar Einschüchterung zur Folge haben”, fügt Pierson hinzu.

Nach Ansicht von Experten darf die Berücksichtigung dieser komplexen Sicherheitsaspekte nicht zu zusätzlichen Reibungen zwischen den Führungskräften, ihren Familien und ihrem Umgangmit der Technologie führen. Vielmehr müsse die Angriffsfläche für diese Art von Konten, Diensten und Geräten verkleinert werden und gewährleistet sein, dass die Risiken gemindert werden können, so Pierson.

Wie CISOs die Risiken für Führungskräfte mindern können

Es kann schwierig sein, den Schutz von Führungskräften außerhalb der Büroumgebung und der Hardware zu gewährleisten, wenn CISOs nicht direkt in ihr persönliches digitales Leben eingreifen können. “Sie wollen Kirche und Staat getrennt halten”, sagt Pierson. “Sie wollen diese Trennung der Privatsphäre, aber sie wollen auch, dass die Risiken abgedeckt sind und wissen, was getan wird”.

Pierson ist der Meinung, dass CISOs genau verstehen müssen, wie und wo sich die beiden Risikobereiche – Business- und Privatpersonen – überschneiden. “Schauen Sie sich Ihre Führungsseite ‘Über uns’ an. Dort fängt es an. Machen Sie sich klar, wie tief die Informationen in die nächsten Ebenen hineinreichen, und finden Sie dann heraus, welchen größten Risiken diese Personen in ihrem Privatleben ausgesetzt sind und was der CISO tun kann, um sie zu verringern oder zu entschärfen.”

Ausgeklügelte, gut koordinierte Cyberangriffe beginnen möglicherweise nicht in den Systemen des Unternehmens, sondern gehen von der Kompromittierung einer Führungskraft aus und verbreiten sich dann von dort aus, so die KPMG-Expertin Winzer. Als Vorsichtsmaßnahme müssten CISOs auf Veränderungen in den Risikoprofilen von Führungskräften und Managementteams achten, “was bedeutet, dass sie neugierig bleiben und ständig daran interessiert sind, die blinden Flecken zu finden.” Diese blinden Flecken können sehr groß sein – ein CEO, der häufig in den Medien auftritt, dessen Börsengeschäfte öffentlich einsehbar sind oder der einfach bekannt genug ist, um in Gesprächen in den sozialen Medien aufzutauchen, ist ein gefundenes Fressen für potenzielle Hacker. “Als CISO muss ich mir der Bedrohungen bewusst sein, die dieser Person und ihrer Fähigkeit, ihre Arbeit innerhalb des Unternehmens zu erledigen, potenziell schaden können”, so die Expertin.

Schützen Sie die “Kronjuwelen” des Unternehmens

Um den potenziellen Schwachstellen zu begegnen, die vom persönlichen Bereich auf das Unternehmen übergreifen können, empfiehlt Winzer den CISOs, eine Risikobewertung vorzunehmen. Dabei werden die “Kronjuwelen” des Unternehmens ermittelt, die geschützt werden müssen. Dazu gehört eine Bewertung potenzieller Risiken, auch durch persönliche Angriffe, und die Entwicklung von Strategien zur Risikominderung.

Laut Winzer bedeutet dies, dass so viele Bedrohungen oder Schwachstellen wie möglich dokumentiert und berücksichtigt werden müssen, um die Wahrscheinlichkeit und die Auswirkungen eines persönlichen Angriffs abschätzen zu können. “Berechnen Sie, was die Bedrohung für die Führungsebene und die Vorstandsmitglieder bedeutet, und ergreifen Sie dann entsprechende Maßnahmen, die jedoch auf der Risikobereitschaft und dem Schutz der Daten basieren müssen, die das Unternehmen für wichtig hält.”

Zu den Abhilfestrategien könnten Richtlinien gehören, die festlegen, welche und wie viele Informationen diese Führungskräfte über sich selbst öffentlich preisgeben können, so Winzer. “Es ist wirklich wichtig, so viele Informationen wie möglich zu erhalten, um die Bedrohung zu bewerten, sie in Ihr Risikoregister aufzunehmen und dann etwas dagegen zu unternehmen, anstatt sie zu ignorieren. Denn das ist alles im Internet – jedes Mal, wenn wir etwas ignoriert haben, ist es eingetroffen.”

Awareness-Trainings für Führungskräfte

Neben der Risikobewertung und den Strategien zur Risikominderung kann auch eine unternehmensinterne Schulung dazu beitragen, den digitalen Fußabdruck einer Führungskraft zu sichern. Steven Sim, Mitglied der ISACA Emerging Trends Working Group, erklärt, dass die C-Level-Kräfte, wie alle Mitarbeiter, an maßgeschneiderten Awareness-Schulungen teilnehmen sollten, die Phishing-Simulationsübungen und Tabletop-Übungen beinhalten. “Bei diesen Übungen sollte auch die C-Suite und, wenn möglich, der Vorstand an der Simulation einer durch einen Cybervorfall ausgelösten Unternehmenskrise teilnehmen”.

Diese Übungen sollten Teil eines mehrjährigen Programms zur Verbesserung der Sicherheit sein, wenn sie nicht bereits im Rahmen des normalen Geschäftsbetriebs durchgeführt werden, und Menschen, Prozesse und Technologien umfassen, so Sim. Angesichts der drohenden Bußgelder und einer möglichen Rufschädigung müsse das Programm die gesamte digitale und geschäftliche Lieferkette sowie das intelligente Ökosystem der IT-Sicherheitsfachleute umfassen.

Der ISACA-Experte empfiehlt, das Risikoregister für Führungskräfte und Unternehmen ständig zu aktualisieren, da sich die Cyberbedrohungslandschaft mit neuen Taktiken und Techniken schnell weiterentwickelt. Sicherheitsmetriken, wichtige Risikoindikatoren und Leistungsindikatoren von Cybersicherheitsinitiativen und -projekten müssten kontinuierlich gemessen werden, um die Umsetzung eines erfolgreichen Programms zur Verbesserung der Cybersicherheit zu gewährleisten. “Dies hilft einem Unternehmen, seiner aktuellen Risikobereitschaft gerecht zu werden und gleichzeitig einen Blick in die Zukunft zu werfen, um sich gegen potenzielle Bedrohungen für seine Führungskräfte und das Unternehmen zu wappnen”, erklärt Sim.

Lesetipp: Security Awareness in der Praxis – So begeistern Sie für IT-Sicherheit

Unternehmenskultur berücksichtigen

Die Unternehmenskultur ist ein weiteres wichtiges Element, das laut der KPMG-Expertin Winzer bei der Risikoverwaltung für Führungskräfte nicht außer Acht gelassen werden darf. In der Praxis bedeutet dies, dass der CISO einen ganzheitlichen Ansatz verfolgt, anstatt sich auf Patches oder Schulungsprogramme zu verlassen. Obwohl viele Security-Verantwortliche dies schon seit Jahren tun, empfiehlt sie, dass eine wirkliche Verbesserung der Cyberkultur einen starken kooperativen Ansatz in der gesamten Führungsetage erfordert. “Der CISO, der CFO und der CEO müssen alle zusammenarbeiten, um sicherzustellen, dass die Kultur der gemeinsamen Verantwortung im gesamten Unternehmen verbreitet wird”, sagt sie.

Lesetipp: In 5 Schritten zur Sicherheitskultur

Gemeinsame Verantwortung bedeute vor allem, dass das Risiko gemeinsam getragen wird. “Wenn ein CEO betroffen ist und persönliche Daten und Dateien durchsickern, einschließlich sensibler Informationen über seinen Status oder sein Wissen über das Unternehmen, Geschäftsgeheimnisse und Ähnliches, dann ist das das Problem des CISO. Es ist dann nicht mehr nur das private Problem des CEOs,” betont Winzer. Wenn sich jeder bewusst sei, dass er in Bezug auf seine eigene Rolle und die Cybersicherheit Verantwortung trägt, sei es für den CISO viel einfacher, seine Arbeit zu erledigen. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Tipp: Sie möchten regelmäßig über wichtige Themen rund um IT-Sicherheit informiert werden? Abonnieren Sie doch einfach unseren kostenlosen Newsletter.