Cyber-Sicherheit hat Vorstandsetagen erreicht
20. November 2017
Vorstandsmitglieder sind ein ebenso anfälliges wie attraktives Ziel von Cyber-Kriminellen. Wenn Angreifer an ein Mitarbeiter-Passwort gelangen, können sie zu Insidern werden. Wenn sie an das Passwort eines Vorstandsmitglieds kommen, erhalten sie virtuell einen Platz am Vorstandstisch. Vorstandsmitglieder sind aus mehreren Gründen attraktive Ziele für Cyber-Kriminelle:
• Der Wert der Daten, auf die sie Zugriff haben: Vorstandsmitglieder haben Zugang zu Informationen, die sensibel, zeitnah und für das Unternehmen von wesentlicher Bedeutung sind.
• Einflussmöglichkeiten: Es ist nicht ungewöhnlich für einen Hacker, eine einflussreiche Person nachzuahmen, wenn er einen kreativen Phishing-Köder versendet. Wenn eine Phishing-E-Mail von einem Vorstandsmitglied stammt, wird der Empfänger wahrscheinlich eher darauf eingehen. Einige der erfolgreichsten Phishing-Betrügereien waren erfolgreich, weil die Opfer dachten, sie würden auf Befehl eines Verantwortlichen handeln.
• „Nicht-Angestellter“-Status: Ein Vorstandsmitglied, das kein Angestellter des Unternehmens ist, kann sein eigenes Gerät zu Besprechungen mitbringen. Dieses weist möglichweise das gleiche Sicherheitsniveau wie ein normales Mitarbeitergerät auf. Vorstandsmitglieder durchlaufen normalerweise aber nicht das gleiche Sicherheitstraining wie Mitarbeiter, was sie zu einfacheren Zielen macht.
Es ist unerlässlich, zu verstehen, wie das Unternehmen kritische Daten und diejenigen, die darauf zugreifen, schützt. Vorstandsmitglieder müssen dieses Thema untereinander und mit der IT-Abteilung, das sich mit dem Zugriff auf Daten beschäftigt, besprechen.
Wenn die Verwendung eines Benutzernamens und eines Kennworts die einzige Barriere für die Eskalierung von Berechtigungen oder die Kompromittierung des nächsten Geräts ist, könnte der Vorstand extrem anfällig sein für solche Übergriffe. Aber wenn Passwörter allein nicht ausreichen, wie kann das Unternehmen sicherstellen, dass es sich bei der Authentifizierung eines Vorstandsmitglieds tatsächlich um diese Person handelt. Was kann das Unternehmen über Passwörter hinaus an Sicherheitsmaßnahmen nutzen? Wenn man darüber nachdenkt, Geld von einem Bankkonto abzuheben, ist es schwer, sich eine Bank vorzustellen, die hierfür weder eine Bankkarte noch eine PIN verlangt. Das gleiche Konzept sollte unternehmensweit für den Zugriff auf Daten gelten. Es gibt einige wichtige Fragen, die sich Vorstandsmitglieder beim nächsten Zugriff auf Daten stellen sollten:
• Welchen Wert haben die Informationen, auf die wir zugreifen?
• Wie erhalten wir Zugang zu diesen Informationen?
• Wie sind diese Informationen geschützt?
• Ist der Schutz ausreichend angesichts derart sensibler Informationen?
Als einflussreiche Führungskräfte spielen Vorstandsmitglieder eine wichtige Rolle in der Sicherheitskultur eines Unternehmens. Die oben genannten Fragen sind wichtig im Hinblick auf eine sichere Internet-Nutzung und gezielte Maßnahmen, um zu verhindern, dass Zugangsdaten in falsche Hände geraten. Auf diese Weise kann der Vorstand dazu beitragen, dass sich das Unternehmen angemessen gegen das bei Cyber-Angriffen häufigste Szenario schützt: den Diebstahl von Zugangsdaten. Die Zukunft des Unternehmens und jedes einzelnen Vorstandsmitglieds hängen maßgeblich davon ab. (rhh)
