Erstellung eines Sicherheitsprogramms für Ihre C-Suite

Eine aktuelle Umfrage der britischen Regierung mit dem Titel „Cyber Resilience Captains of Industry Survey 2021“ bietet interessante Einblicke in das Bewusstsein für Cybersicherheitsrisiken auf der Ebene der Geschäftsführung, des Vorstands und der C-Suite eines Unternehmens.

Die Umfrage ergab, dass fast alle Befragten der Ansicht sind, dass der Vorstand Cyber-Risikoüberlegungen in die allgemeinen Unternehmensangelegenheiten einbezieht. In dem Bericht wird jedoch eine Warnung ausgesprochen:

„Die Kapitäne sind immer noch der Meinung, dass mehr getan werden kann, um die Vorstandsmitglieder für den Umgang mit Cyber-Bedrohungen zu rüsten.Die Kapitäne nannten am häufigsten die Sensibilisierung der Vorstandsmitglieder und gezielte Schulungen.

Die C-Suite und der Vorstand sind spezielle Gruppen, die maßgeschneiderte Schulungen benötigen, um ihre besonderen Bedürfnisse zu erfüllen. Im Folgenden finden Sie einige Ideen für die Erstellung eines Sicherheitsprogramms für Ihre C-Suite.

Warum die C-Suite schulen?

Die Personen, die in der Führungsetage arbeiten, sind einflussreich in ihrem Unternehmen, und dieser Einfluss ist von entscheidender Bedeutung, wenn es darum geht, ein konsistentes und effektives Sicherheitsbewusstsein in der gesamten Organisation zu schaffen. Daher ist es sinnvoll, diese Gruppe mit einer Kampagne zur Sicherheitsaufklärung anzusprechen.

Der „Ton an der Spitze“ ist ein bekanntes Phänomen im Sicherheitsrisikomanagement. Dieser „Ton an der Spitze“ wird im Handbuch der European Directors Association (ecoDa) hervorgehoben, das mehrere Schlüsselempfehlungen zur Risikominderung in einer Zeit umfangreicher Cyber-Bedrohungen enthält. Eine der Empfehlungen lautet, den Ton für das Bewusstsein in der gesamten Organisation anzugeben – so heißt es in dem Bericht:

„Der Vorstand und die Geschäftsführung sollten an der Spitze den Ton angeben, die richtige Kultur entwickeln und das Bewusstsein für die Entwicklung der Cyber-Resilienz schärfen.„

Die Komponenten eines gezielten Sicherheitsprogramms für die C-Suite

Es ist bemerkenswert, dass die britische Regierung in ihrem Bericht „Captain of Industry“ festgestellt hat, dass das Sicherheitsbewusstsein in den Vorstandsetagen angekommen ist. Allerdings müssen die C-Suite und die Vorstandsmitglieder in ein allgemeines und gezieltes Sicherheitsprogramm eingebunden werden. Der Aufbau eines Bewusstseins auf dieser Ebene kann die Kultur einer auf Sicherheit ausgerichteten Denkweise festigen.

Hier sind die kritischen Faktoren einer Sensibilisierungskampagne, die sich an die C-Suite richtet:

Mit Risiko die Spannung aufbauen

Die C-Suite hat mit vielen Bällen zu jonglieren. Das Kerngeschäft eines Unternehmens muss immer an erster Stelle stehen. Wenn dieses Kerngeschäft jedoch durch Cyber-Bedrohungen gefährdet ist, muss ein Unternehmen diesen Bedrohungen Vorrang einräumen.

Legen Sie den Grundstein für die C-Suite-Schulung, indem Sie aufzeigen, wie sich die Investition in ein Schulungsprogramm für das Sicherheitsbewusstsein auszahlt. Der Bericht von IBM und Ponemon über die Kosten von Datenschutzverletzungen enthält einige Zahlen, die dabei helfen können, dies zu definieren: Das Vereinigte Königreich ist eines der Länder mit den höchsten Kosten für Datenschutzverletzungen, wobei der Durchschnitt bei 4,67 Millionen Dollar (3,8 Millionen Pfund) pro Verletzung liegt.

Sobald Sie die Zustimmung Ihrer Führungsebene haben, können Sie den Rahmen für ein effektives Schulungsprogramm für das Sicherheitsbewusstsein schaffen, das sich an die Führungsebene richtet.

Durchführung eines rollenbasierten Programms zur Sensibilisierung der C-Suite für Sicherheitsfragen

Cyberkriminelle konzentrieren ihre Bemühungen zunehmend auf einzelne Personen und Funktionen in einem Unternehmen. Das ist sinnvoll, denn je mehr Menschen sich der Sicherheitsprobleme bewusst sind, desto schwieriger wird es, Mitarbeiter auszutricksen. Wenn ein Hacker jedoch sein Ziel versteht, kann er clevere, schwer zu erkennende Phishing-E-Mails erstellen. Die C-Suite steht im Visier von Cyberkriminellen, da sie das finanzielle Herzstück und die Autoritätsstelle des Unternehmens ist.

Ein auf C-Suiten ausgerichteter Angriff traf die US-Firma Scoular Co, die Opfer eines Business Email Compromise (BEC) wurde. Das Unternehmen verlor 17,2 Millionen Dollar durch drei Überweisungen an Cyberkriminelle, nachdem die Betrüger den CEO des Unternehmens mit gefälschten E-Mails ins Visier genommen hatten.

Der Verizon 2021 Data Breach Investigations Report (DBIR) stellt fest, wie wichtig eine maßgeschneiderte Schulung des Sicherheitsbewusstseins ist und kommt zu dem Schluss:

„Es gibt keinen einheitlichen Ansatz, um die menschlichen Risiken zu minimieren, die zu Sicherheitsverletzungen führen. Jedes Unternehmen ist mit unterschiedlichen Arten von Angriffen konfrontiert und muss seine Programme für Behavioral Engineering und Cybersicherheitsschulung entsprechend anpassen.“

Entwerfen Sie Ihr Sicherheitstraining entsprechend den Unternehmensrollen und beziehen Sie die Rollen der C-Suite mit ein. Konzentrieren Sie sich auf die Arten von Angriffen, die auf Mitarbeiter der C-Ebene abzielen, z. B. BEC und CEO-Impersonation.

Das Soziale in die C-Suite bringen

Cyberkriminelle, die es auf die „großen Phisher“ abgesehen haben, wie z. B. den CEO und den CFO, werden sich über ihre Beute informieren. Sie tun dies als Teil der Social-Engineering-Kette, die verschiedene Techniken zur Verhaltensmanipulation einsetzt.

Eine dieser Taktiken ist das Imitieren von Führungskräften, auch bekannt als „Whaling“ oder „Executive Impersonation“. Ein berüchtigtes Beispiel hierfür war ein „Deep Fake“ Angriff aus dem Jahr 2019, bei dem die Stimme des Firmenchefs vorgetäuscht wurde, um den britischen Geschäftsführer dazu zu bringen, 243.000 US-Dollar auf das Bankkonto des Betrügers zu überweisen.

Diese Form des Social Engineering ist auf dem Vormarsch, wobei für den Zeitraum 2020-2021 ein Anstieg von 131 % zu verzeichnen ist. Bei dieser Art von Betrug geht es darum, ein Profil der Zielperson zu erstellen, um die Informationen für die Durchführung von Social Engineering zu erhalten.

Setzen Sie die Sensibilisierung für Social Engineering fest in Ihren Kalender für Sicherheitsschulungen und schulen Sie Ihre Führungskräfte über ihre Anfälligkeit in diesem Bereich.

Spear-Phish der C-Suite

Die C-Suite ist durch Spear-Phishing-Angriffe gefährdet, die eine gezielte Form des Phishings darstellen. Bei einer kürzlich durchgeführten Phishing-E-Mail-Kampagne wurden gefälschte Microsoft Office 365-E-Mails verwendet, um Anmeldedaten zu stehlen. Die Kampagne richtete sich an C-Suite-Führungskräfte und ihre Assistenten in vielen Branchen.

Mit Spear-Phishing an die C-Suite wendet sich ein Cyberkrimineller direkt an die Entscheidungsträger in einem Unternehmen. Spear-Phishing funktioniert, da die gefälschten E-Mails auf bekannten Informationen über das Ziel beruhen. Die Spear-Phisher verwenden oft genau die Anwendungen wie Office 365, die ein Unternehmen regelmäßig nutzt.

Erstellen Sie eine ausgeklügelte simulierte Phishing Kampagne, die speziell auf Ihre C-Suite abzielt. Nutzen Sie Ihr Wissen über rollenbasiertes Phishing, um realistisch aussehende Spear-Phishing-E-Mails zu erstellen, die auf Ihre C-Suite abzielen. Verwenden Sie eine fortschrittliche Plattform für simuliertes Phishing, die das Lernen am Ort des Geschehens nutzt. Dadurch werden Verhaltensprobleme erfasst, wenn sie auftreten, und der Benutzer erhält Informationen darüber, was falsch gelaufen ist und warum.

Kennen Sie Ihre C-Suite durch Metriken für Sicherheitsschulungen

Phishing-Simulationsplattformen wie MetaPhish bieten Metriken in Form eines Dashboards, das die Datenergebnisse von Phishing-Simulationen anzeigt. So erhalten Sie Rückmeldung darüber, wie viele Mitglieder Ihrer Führungsebene auf einen Link in einer simulierten Phishing-E-Mail geklickt haben. In den Berichten kann sogar das Gerät angegeben werden, das für den Zugriff auf die Phishing-E-Mail verwendet wurde; so können Sie Ihre Bemühungen zur Verbesserung des Sicherheitsverhaltens der Führungskräfte noch gezielter gestalten.

Geben Sie den Ton für Sicherheit an der Spitze vor

Ihre Führungskräfte in der C-Suite sind Ihre internen Einflussnehmer. Sie müssen jedoch ein hervorragendes Sicherheitsverhalten vorleben, um ein Beispiel für die gesamte Belegschaft zu sein. Wenn Sie an der Spitze den Ton für die Sicherheit angeben, fördern Sie eine auf Sicherheit ausgerichtete Denkweise. Dieses Sicherheitsdenken ist für die Schaffung einer Sicherheitskultur und die Minderung von Cyber-Risiken im Unternehmen von entscheidender Bedeutung.