Die Führungsebene – ein IT-Sicherheitsrisiko?
Mit dem Einsatz spezieller Social-Engineering-Techniken lässt sich überprüfen, inwiefern Führungskräfte ein Sicherheitsrisiko darstellen.
Technische IT-Sicherheitssysteme sind immer nur so stark wie ihr schwächstes Glied – dabei geht es nicht nur um neue Technologien und Softwarelösungen, sondern auch um den „Risikofaktor Mensch“. Die Minimierung dieser potenziellen Schwachstelle durch die Schulung der Security Awareness und Etablierung unterstützender technischer Lösungen muss immer ein wichtiger Baustein einer präventiven Sicherheitsstrategie sein.
Gesamtes C-Level prüfen
Wie es konkret um die „Schwachstelle Mensch“ für die IT-Sicherheit eines Unternehmens bestellt ist, ermittelt NTT Security im neuen „Management Hack“. Im Fokus stünden dabei die Führungsebene eines Unternehmens, das heisst der gesamte C-Level wie CEO, CFO oder CIO. Die Managementebene sei ein attraktives Ziel für jeden Hacker, da dieser Personenkreis in der Regel uneingeschränkten Zugriff auf vertrauliche Unternehmensdaten geniesse, schreibt der Sicherheitsanbieter. Nicht selten profitierten Manager auch von besonderen Privilegien: So werden Sicherheits-Policies und -Standards ausgesetzt oder aufgelockert, um zum Beispiel das Login zu vereinfachen – mit fatalen Folgen.
Nach entsprechender Abstimmung mit dem Auftraggeber werden simulierte, personalisierte Social-Engineering-Angriffe durchgeführt, von denen die im Fokus stehenden Personen im Idealfall nichts wissen. Dabei wird laut NTT analysiert, wie verantwortungsbewusst die Managementebene in Sachen Security Awareness und IT-Sicherheit ist. Im Anschluss zeige man konkrete Schwachstellen auf und empfehle Massnahmen.
Erste Erfahrungen mit „Management Hack“
Das auf IT-Sicherheit spezialisierte Unternehmen hat mehrere „Management Hack“-Projekte in Skandinavien durchgeführt. „Die Ergebnisse haben selbst uns überrascht. So erhielten wir vielfach in nur zehn Minuten Zugriff auf unternehmenskritische Daten, etwa Business-Pläne, M&A-Planungen, Warenwirtschaftssysteme, Domain-Controller, User-Namen oder Passwörter. Auch administrative Zugangsdaten wurden oft gefunden“, erklärt Kai Grunwitz von NTT Security. „Die damit verbundenen Gefahren für ein Unternehmen liegen auf der Hand. So kann sich ein Angreifer mit Administratorrechten frei im Netzwerk bewegen und oft für lange Zeit unbemerkt auf kritische Informationen zugreifen.“
Mit dem neuen Service ziele man auf eine Erhöhung des Sicherheitsbewusstseins auf Vorstands- und Geschäftsleitungsebene ab – letztlich aber auch auf die Etablierung einer neuen Sicherheitsstrategie und -kultur im gesamten Unternehmen. „Unsere ersten Projekte haben gezeigt, dass auf Unternehmensseite durchaus Handlungsbedarf besteht“, so Grunwitz. „Der Reifegrad in Bezug auf Cyber-Security ist auf Managementebene, vorsichtig ausgedrückt, noch eher gering ausgeprägt.“
