Es ist von entscheidender Bedeutung, Ihr Finanzteam in Sachen Sicherheit zu schulen, damit es die Risiken im Zusammenhang mit Finanzdaten und -transaktionen versteht und potenziellen Sicherheitsverletzungen vorbeugen kann.
Im Dezember 2021 rief einHacker, der sich als Geschäftsführereines französischen Metallurgieunternehmensausgab, den Buchhalter des Unternehmens an und brachte ihn dazu, eine "dringende und vertrauliche Überweisung" von 300 000 EUR (264 000 £) auf das Bankkonto eines Betrügers zu schicken. Die Bande, die hinter diesem Business Email Compromise (BEC)-Betrug steckt, stahl rund 40 Millionen Dollar (33 Millionen Pfund), bevor sie von Europol gefasst wurde. Diese Art von Betrug ist ein zunehmendes Problem für die Finanzabteilung eines Unternehmens und stellt ein großes Risiko für die Informationssicherheit dar.
Das Finanzteam eines Unternehmens ist seit jeher ein Anziehungspunkt für Cyberkriminelle, denn es hält die finanziellen Fäden des Unternehmens in der Hand, und Cyberkriminelle folgen dem Geld. Daher muss jeder im Finanzteam ein potenzielles Ziel für Betrüger sein. Ransomware-Angriffe, BEC/CEO-Betrug und Cyber-Bedrohungen, bei denen Anmeldedaten abgefangen werden, sind Teil der erhöhten Risiken, die mit einer Finanzabteilung und ihren Teammitgliedern verbunden sind.
Die Schulung des Sicherheitsbewusstseins von Finanzteams ist von entscheidender Bedeutung, wenn es darum geht, Betrügereien wie BEC-Betrug zu bekämpfen. Hier sind die Best Practices von MetaCompliance, um sicherzustellen, dass Ihr Finanzteam sich der Risiken seiner Aufgaben bewusst ist.
Fünf Best Practices für die Durchführung von Sicherheitsschulungen für Ihr Finanzteam
Das Finanzteam ist wie eine leichte Beute, wenn sich Ihr Sicherheitsbewusstsein nicht auf die spezifischen Risiken konzentriert, denen es ausgesetzt ist. Hier sind unsere fünf Best Practices, die sicherstellen, dass Ihre Sicherheitsschulung effektiv ist:
Konzentration auf hochriskante Bedrohungen für die Finanzabteilung
Das Finanzteam ist durch spezifische Schwachstellen gefährdet, da es Geld überweisen kann oder über privilegierte Anmeldedaten mit Zugriff auf Finanzdaten verfügt. Diese Machtposition des Finanzteams in einem Unternehmen bedeutet, dass spezifische Bedrohungen eher auf diese Abteilung abzielen. Daher ist ein Schulungsprogramm für das Sicherheitsbewusstsein am effektivsten, wenn es auf bestimmte Rollen in einem Unternehmen zugeschnitten ist, und ein Mitglied des Finanzteams ist eine solche Rolle.
Rollenbasiertes Security Awareness Training befasst sich mit bestimmten Arten von Bedrohungen, die sich gegen bestimmte Mitarbeiterrollen richten. Erstellen Sie ein rollenbasiertes Sicherheitsschulungsprogramm, das auf dem grundlegenden Sicherheitsbewusstsein aufbaut, indem es sich auf die Arten von Risiken und Bedrohungen konzentriert, mit denen ein Mitglied eines Finanzteams oder einer Finanzabteilung wahrscheinlich konfrontiert ist; dazu gehören die folgenden:
- Business Email Compromise (BEC): Klären Sie Ihre Mitarbeiter darüber auf, wie dieser raffinierte, mehrstufige Cyberangriff durchgeführt wird. Vergewissern Sie sich, dass sie verstehen, wie Cyberangreifer Social Engineering einsetzen, um ihnen vorzugaukeln, sie seien eine Führungskraft oder ein wichtiger Lieferant.
- Rechnungsbetrug: In der Regel wird ein Unternehmenslieferant kompromittiert, ist aber auch eine Unterart des BEC-Betrugs. Die Betrüger geben sich dann als Lieferanten aus und fordern die Zahlung einer Rechnung.
- Chief Executive Officer (CEO)-Betrug: Eine weitere Variante des BEC-Betrugs, bei der sich die Betrüger als leitender Angestellter ausgeben, um das Finanzteam zur Zahlung einer gefälschten Rechnung zu bewegen. Oft hacken oder fälschen die Betrüger ein C-Level-E-Mail-Konto.
- Gehaltsumleitungsbetrug: Die Betrüger geben sich als Angestellte aus und fordern die Lohnbuchhaltung auf, ihre Kontodaten zu ändern, damit das Gehalt an die Betrüger überwiesen wird.
Erstellen Sie Phishing-Simulationen, die die Risiken für Finanzteams widerspiegeln
Die britischeAufsichtsbehörde ICO verhängte kürzlich eine Geldstrafe inHöhe von 4,4 Millionen Pfund gegen dieInterserve Group Limited, weil sie es versäumt hatte, angemessene Sicherheitsmaßnahmen zur Verhinderung eines Cyberangriffs zu ergreifen; der Angriff begann mit einer Phishing-E-Mail, die an einen Mitarbeiter der Buchhaltung geschickt wurde. Der Angriff begann mit einer Phishing-E-Mail, die an einen Mitarbeiter der Buchhaltungsabteilung geschickt wurde. Eine Reihe von Ereignissen, wie das Herunterladen des bösartigen Anhangs in der E-Mail und die Nichtbeachtung der Sicherheitsprotokolle des Unternehmens, führten zum Verlust sensibler persönlicher Daten von 113.000 Mitarbeitern. Selbst mit Anti-Phishing-Gateways schlüpfen Phishing-Nachrichten durch, da Cyberkriminelle immer wieder neue Methoden entwickeln, um der Erkennung zu entgehen.
Phishing-Simulationsübungen, die auf die Art der Risiken zugeschnitten sind, mit denen das Finanzteam konfrontiert wird, sind ein unverzichtbares Mittel für eine wirksame Schulung des Sicherheitsbewusstseins. Einige fortschrittliche Phishing-Simulationsplattformen bieten eine Vielzahl von Phishing-Vorlagen, die Sie verwenden können, um Ihre Phishing-Schulungsübungen auf die Bedürfnisse Ihres Teams in der Finanzabteilung abzustimmen.
Rollenspielszenarien erstellen
Finanzteams sind dem Risiko von Business Email Compromise und anderen verwandten Arten von vielschichtigem Betrug ausgesetzt, die Social Engineering einsetzen. Um sicherzustellen, dass die Sicherheitsschulung effektiv ist, sollten Sie Szenarien erstellen, in denen typische Phasen eines Finanzbetrugs mit dem Finanzteam durchgespielt werden, damit sie die Tricks der Betrüger erkennen können. Rollenbasierte Szenarien sollten neben traditionellen Sicherheitsschulungen und simulierten Phishing-Übungen eingesetzt werden, um die komplexen Manipulationen zu verdeutlichen, die Betrüger anwenden.
Vergessen Sie nicht die Sicherheitshygiene
Die Finanzabteilung kümmert sich nicht nur um Geld, sondern verfügt auch über sensible finanzielle und persönliche Daten. DerVerizon 2022 Data Breach Investigations Report(DBIR) stellte fest, dass eine Vielzahl von menschlichen Fehlern zu Cyberangriffen und zur Preisgabe von Daten führte.
Dem Bericht zufolge sind 82 % der Datenschutzverletzungen auf menschliches Versagen zurückzuführen. Zu den Fehlern gehörte die falsche Zustellung von E-Mails, z. B. das Senden von Daten in einer E-Mail an die falsche Person. Bei der Schulung von Finanzteams über ihre Rolle im Bereich der Sicherheit sollten Sie daher auch an die Details denken, z. B. an die Überprüfung von E-Mail-Empfängerlisten vor dem Versand wichtiger Informationen.
Ausweitung des Sicherheitsbewusstseins auf Remote-Mitarbeiter im Finanzteam
Das britischeOffice for National Statistics(ONS) fand heraus, dass 38 % der Arbeitnehmer angaben, in den letzten sieben Tagen zu irgendeinem Zeitpunkt von zu Hause aus gearbeitet zu haben. Die Mitarbeiter der Finanzabteilungen werden wahrscheinlich von zuHause aus arbeiten wollen, da Studien zeigen, dass dieser Faktor für die Mitarbeiterbindung entscheidend ist. Mit dem Aufkommen der Vier-Tage-Woche werden Remote- und hybride Arbeitsformen wahrscheinlich auch weiterhin ein beliebter Bestandteil der Anwerbung von Talenten sein.
Wenn Sie eine Kampagne zur Sensibilisierung für Sicherheitsfragen für die Mitglieder des Finanzteams erstellen, sollten Sie sicherstellen, dass Sie die Mitarbeiter über die Sicherheitsrisiken der Fernarbeit schulen. Weben Sie Elemente wie die Rolle des Mitarbeiters bei der Einhaltung von Vorschriften und Fragen der Sicherheitshygiene wie die Verwendung sicherer Gateways und VPNs ein.
Durch die Anwendung dieser Best Practices für das Sicherheitsbewusstsein und die Konzentration auf die besonderen Herausforderungen der Arbeit in einem Finanzteam kann Ihr Unternehmen die Risiken heimtückischer und kostspieliger Verbrechen wie BEC-Betrug verringern.
