Erstellen eines Programms zur Sensibilisierung für Sicherheit für Ihre C-Suite

Eine kürzlich von der britischen Regierung durchgeführte Umfrage „Cyber Resilience Captains of Industry Survey 2021“ bietet einige interessante Einblicke in das Bewusstsein für Cybersicherheitsrisiken auf der C-Suite- und Vorstandsebene eines Unternehmens.

Die Umfrage ergab, dass fast alle Befragten der Meinung sind, dass der Vorstand Cyber-Risikoüberlegungen in die allgemeinen Unternehmensangelegenheiten einbezieht. Der Bericht enthält jedoch folgende Warnung:

„Die Kapitäne sind immer noch der Meinung, dass mehr getan werden kann, um die Vorstandsmitglieder für den Umgang mit Cyber-Bedrohungen zu rüsten. Die Kapitäne nannten am häufigsten die Sensibilisierung der Vorstandsmitglieder und gezielte Schulungen „

Die C-Suite und der Vorstand sind spezielle Gruppen, die maßgeschneiderte Schulungen benötigen, um ihre besonderen Bedürfnisse zu erfüllen. Hier finden Sie einige Ideen für ein Programm zum Sicherheitsbewusstsein Ihrer C-Suite.

Warum die C-Suite schulen?

Die Personen, die in der Führungsetage arbeiten, sind einflussreich in ihrem Unternehmen und tragen entscheidend dazu bei, ein konsistentes und effektives Sicherheitsbewusstsein in der gesamten Organisation zu schaffen. Daher ist es sinnvoll, diese Gruppe mit einer Kampagne zum Sicherheitsbewusstsein anzusprechen.

Der ‚Ton an der Spitze‘ ist ein bekanntes Phänomen im Sicherheitsrisikomanagement. Dieser „Ton an der Spitze“ wird im Handbuch der European Directors‘ Association (ecoDa) hervorgehoben, das mehrere wichtige Empfehlungen zur Risikominderung in einer Zeit umfangreicher Cyber-Bedrohungen enthält. Eine der Empfehlungen lautet, den Ton für das Bewusstsein in der gesamten Organisation anzugeben – so steht es im Bericht:

„Der Vorstand und das Management sollten an der Spitze den Ton angeben und die richtige Kultur entwickeln und das Bewusstsein für die Entwicklung der Cyber-Resilienz schärfen.„

Die Komponenten eines gezielten Programms zur Sensibilisierung der C-Suite für Sicherheitsfragen

Es ist bemerkenswert, dass die britische Regierung in ihrem Bericht „Captain of Industry“ festgestellt hat, dass das Sicherheitsbewusstsein in den Vorstandsetagen angekommen ist. Die C-Suite und die Vorstandsmitglieder müssen jedoch in ein allgemeines und gezieltes Sicherheitsprogramm eingebunden werden. Der Aufbau eines Bewusstseins auf dieser Ebene kann die Kultur einer auf Sicherheit ausgerichteten Denkweise festigen.

Hier sind die entscheidenden Faktoren einer Sensibilisierungskampagne, die sich an die C-Suite richtet:

Bauen Sie die Spannung mit Risiko auf

Die C-Suite hat mit vielen Bällen zu jonglieren. Das Kerngeschäft eines Unternehmens muss immer an erster Stelle stehen. Aber wenn dieses Kerngeschäft durch Cyber-Bedrohungen gefährdet ist, dann muss ein Unternehmen diesen Bedrohungen Vorrang einräumen.

Legen Sie den Grundstein für die C-Suite-Schulung, indem Sie aufzeigen, wie sich die Investition in ein Sicherheitstrainingsprogramm auszahlt. Einige Zahlen, die bei der Definition helfen können, finden Sie in der  IBM und Ponemon Cost of a Data Breach Report: Das Vereinigte Königreich ist eines der Länder mit den höchsten Kosten für Datenschutzverletzungen. Der Durchschnitt liegt bei 4,67 Millionen Dollar (3,8 Millionen Pfund) pro Datenschutzverletzung.

Sobald Sie die Zustimmung Ihrer Führungsetage haben, können Sie den Rahmen für ein effektives Schulungsprogramm für das Sicherheitsbewusstsein schaffen, das sich an die Spitzenkräfte richtet.

Führen Sie ein rollenbasiertes Sicherheitsprogramm für die C-Suite durch

Cyberkriminelle konzentrieren ihre Bemühungen zunehmend auf einzelne Personen und Funktionen in einem Unternehmen. Das macht Sinn, denn je mehr Menschen sich der Sicherheitsprobleme bewusst sind, desto schwieriger wird es, Mitarbeiter auszutricksen. Wenn ein Hacker jedoch sein Ziel versteht, kann er clevere, schwer zu erkennende Phishing-E-Mails erstellen. Die C-Suite steht im Visier von Cyberkriminellen, da sie das finanzielle Herzstück und die Autoritätsperson des Unternehmens ist.

Ein auf die C-Suite ausgerichteter Angriff traf das US-Unternehmen Scoular Co., das Opfer eines Business Email Compromise (BEC) wurde. Das Unternehmen verlor durch drei Überweisungen 17,2 Millionen Dollar an Cyberkriminelle, nachdem die Betrüger den CEO des Unternehmens mit gefälschten E-Mails ins Visier genommen hatten.

Der Verizon 2021 Data Breach Investigations Report (DBIR) stellt fest, wie wichtig es ist, das Sicherheitsbewusstsein zu schulen, und kommt zu dem Schluss:

„Es gibt keinen einheitlichen Ansatz, um die menschlichen Risiken zu minimieren, die zu Sicherheitsverletzungen führen. Jedes Unternehmen ist mit unterschiedlichen Arten von Angriffen konfrontiert und muss seine Programme für Behavioral Engineering und Cybersicherheitsschulung entsprechend anpassen. .“

Entwerfen Sie Ihr Sicherheitstraining anhand der Unternehmensrollen und beziehen Sie die Rollen der C-Suite mit ein. Konzentrieren Sie sich auf die Arten von Angriffen, die auf Mitarbeiter der C-Ebene abzielen, wie BEC und CEO-Imitation.

Bringen Sie das Soziale in die C-Suite

Cyberkriminelle, die es auf die „großen Phisher“ abgesehen haben, wie z.B. den CEO und den CFO, werden etwas über ihre Beute herausfinden. Sie tun dies als Teil der Social-Engineering-Kette, die verschiedene Techniken einsetzt, um das Verhalten zu manipulieren.

Eine solche Taktik ist die sich als Führungskräfte ausgeben, auch bekannt als ‚Whaling‘ oder ‚Executive Impersonation‘. Ein berüchtigtes Beispiel dafür war ein  2019 „Deep Fake“-Angriff, bei dem die Stimme des Firmenchefs gefälscht wurde, um den Geschäftsführer in Großbritannien dazu zu bringen, 243.000 Dollar auf das Bankkonto des Betrügers zu überweisen.

Diese Form des Social Engineering ist auf dem Vormarsch, mit einer 131% Anstieg in den Jahren 2020-2021. Bei dieser Art von Betrug geht es darum, ein Profil der Zielperson zu erstellen, um die Informationen für die Durchführung von Social Engineering zu erhalten.

Machen Sie Social Engineering zu einem festen Bestandteil Ihres Sicherheitstrainingskalenders und schulen Sie Ihre C-Suite über ihre Verwundbarkeit in diesem Bereich.

Spear-Phish der C-Suite

Die C-Suite ist durch Spear-Phishing-Angriffe, eine gezielte Form des Phishings, gefährdet. Bei einer kürzlich durchgeführten Phishing-Kampagne wurden gefälschte Microsoft Office 365-E-Mails verwendet, um Anmeldedaten zu stehlen. Die Kampagne richtete sich an C-Suite-Führungskräfte und ihre Assistenten in vielen Branchen.

Durch Spear-Phishing der C-Suite wendet sich ein Cyberkrimineller direkt an die Entscheidungsträger eines Unternehmens. Spear-Phishing funktioniert, weil die gefälschten E-Mails auf bekannten Informationen über das Ziel beruhen. Die Spear-Phisher verwenden oft genau die Anwendungen wie Office 365, die ein Unternehmen regelmäßig nutzt.

Erstellen Sie eine raffinierte simulierte Phishing-Kampagne, die speziell auf Ihre C-Suite abzielt. Nutzen Sie Ihr Wissen über rollenbasiertes Phishing, um realistisch wirkende Spearphishing-E-Mails zu erstellen, die auf Ihre C-Suite abzielen. Verwenden Sie eine fortschrittliche Plattform für simuliertes Phishing, die das Lernen am Ort des Geschehens einsetzt. Dadurch werden Verhaltensprobleme erfasst, wenn sie auftreten, und der Benutzer erhält Informationen darüber, was schief gelaufen ist und warum.

Kennen Sie Ihre C-Suite durch Metriken für Sicherheitsschulungen

Phishing-Simulationsplattformen wie MetaPhish bieten Metriken in Form eines Dashboards, das die Datenergebnisse von Phishing-Simulationen anzeigt. So erhalten Sie Rückmeldung darüber, wie viele Mitglieder Ihrer C-Suite auf einen Link in einer simulierten Phishing-E-Mail geklickt haben. In den Berichten kann sogar das Gerät angegeben werden, das für den Zugriff auf die Phishing-E-Mail verwendet wurde. So können Sie Ihre Bemühungen zur Verbesserung des Sicherheitsverhaltens der Führungskräfte noch gezielter ausrichten.

Geben Sie an der Spitze den Ton für Cybersicherheit an

Ihre Führungskräfte, die in der C-Suite arbeiten, sind Ihre internen Einflussnehmer. Aber sie müssen ein Beispiel für exzellentes Sicherheitsverhalten sein, um ein Vorbild für die gesamte Belegschaft zu sein. Wenn Sie an der Spitze den Ton für die Sicherheit angeben, fördern Sie eine auf Sicherheit ausgerichtete Denkweise. Dieses Sicherheitsdenken ist entscheidend für die Schaffung einer Sicherheitskultur und die Minderung von Cyber-Risiken im Unternehmen.