Cyber-Attacken auf Führungskräfte erschweren

Die Managementebene, also der gesamte C-Level eines Unternehmens, steht besonders im Fokus von Cyber-Angriffen. Dafür gibt es mehrere Gründe: Die Führungskräfte verfügen aufgrund von Funktion und Verantwortungsbereich über mehr sensible Informationen als der „normale“ Mitarbeiter. Bezüglich Sicherheitsaspekten ist insbesondere problematisch, dass für die Managementebene oft „Sonderregeln“ mit Privilegien gelten; so werden IT-Sicherheitsrichtlinien und -standards gelockert, um beispielsweise das Login zu vereinfachen. Manager sind zudem oft technisch weniger versiert und müssen unter Zeitdruck eine Vielzahl von Informationen bearbeiten – sie können also auch nicht jede erhaltene E-Mail kritisch unter die Lupe nehmen.

NTT Security (Switzerland) empfiehlt sechs einfache Massnahmen zur Gefahrenabwehr.

1. Sorgfältiges Management der Social-Media-Accounts

Es ist heute unumgänglich, in sozialen Kanälen sichtbar zu sein, jedoch erfordert es ein sorgfältiges Management der Accounts und eine Social-Media-Strategie. Die auf sozialen Plattformen verfügbaren Daten werden nämlich häufig von Cyber-Kriminellen für sogenannte Phishing-Angriffe verwendet, um Zugang zu persönlichen oder Firmendaten zu bekommen. Generell gilt deshalb, möglichst wenige persönliche Informationen zu teilen, ein sogenanntes „Tagging“ auf Bildern zu unterbinden und keine privaten Bilder zu posten.

2. Vermeidung von öffentlichen und freien Netzen

Angreifer verwenden oftmals Netze in Bahnhöfen, Flughäfen, Hotels oder Cafés, um über sogenannte „Fake Access Points“ Zugriff auf die mobilen Geräte ahnungsloser Anwender zu erhalten. Die Nutzung öffentlicher Netze sollte somit unterbleiben. Darüber hinaus ist es ratsam, in öffentlichen Bereichen keine Telefonate mit sensiblen Informationen zu führen.

3. Sicherung des Heimnetzes

Schlecht gesicherte Heimnetze sind ein klassisches Einfallstor für gezielte Angriffe. In ihnen sollten deshalb die gleichen Sicherheitsmassnahmen ergriffen werden, die auch im Firmennetz Standard sind.

4. Sensibilisierung des Sekretariats

Fingierte Anrufe etwa als vermeintlicher Helpdesk-Mitarbeiter, um Informationen zu bekommen beziehungsweise Passwörter zu erschleichen, sind noch immer üblich. Folglich muss auch das Sekretariat eines Managers ausdrücklich im Hinblick auf Social-Engineering-Gefahren geschult werden.

5. Restriktives Öffnen von E-Mails

Bei gezielten Angriffen werden täuschend echt gestaltete Mails von „Freunden“, dem Verein oder Mitarbeitern erstellt, die den Manager dazu verleiten sollen, eine Datei zu öffnen oder auf einen Link zu klicken. Eine Führungskraft sollte deshalb niemals eine E-Mail öffnen, die sie nicht erwartet. Ausserdem sollte keinesfalls eine Datei geöffnet oder ein Link genutzt werden, ohne dass die Quelle validiert ist.

6. Sicherung der Passwörter

Von entscheidender Bedeutung sind nicht zuletzt Passwortschutz und -sicherheit. Für die Verwaltung von Passwörtern ist auf jeden Fall die Nutzung eines Passwortmanagers zu empfehlen. Damit können für jeden Login eigene und komplexe Passwörter erstellt werden. Sollte das Passwort für eine Webseite ermittelt werden, so ist nur dieser eine Login betroffen und ein Angreifer kann sich mit diesem Passwort nicht auf weiteren Webseiten oder auf Systemen anmelden. Generell darf bei jeder Passwortnutzung auch nicht vergessen werden, dass das sogenannte „Shoulder Surfing“ noch immer eine beliebte Methode ist, das heisst, es muss darauf geachtet werden, dass beim Eingeben eines Passworts niemand hinter oder neben einem steht.

„Diese sechs einfachen Sicherheitsmassnahmen sind erste Schritte für die Gefahrenabwehr, und zwar Schritte, die weitgehend in der Hand der Manager selbst liegen“, sagt Kai Grunwitz, Senior Vice President EMEA bei NTT Security.

Siehe auch SF-Artikel «Achtung vor CEO-Fraud»