In meinem letzten Blogeintrag habe ich dargelegt, warum genau das, was die Vorstandsebene so besonders macht – ihre Übersichtlichkeit und Zugänglichkeit – sie auch zu einem Hauptziel für Angriffe machen kann. Die nächste Frage ist also, wie können Sie die Leute auf der Vorstandsebene auf diese Attacke vorbereiten und gleichzeitig die Ziele Ihres Unternehmens schützen und aufrechterhalten? Hier sind ein paar grundlegende Best Practices, die wir alle anwenden sollten.
- Gefährdung annehmen. Der beste Ausgangspunkt für diese Diskussion ist die Annahme, dass die Vorstandsebene angegriffen wird und kompromittiert ist. Gehen Sie davon aus, dass Ihre Führungskräfte (und auch alle Mitarbeiter) Fehler machen werden, und diese Fehler zu Sicherheitslücken führen werden. Mit dem rasanten Tempo der Wirtschaft und den vielen Anforderungen, die in der heutigen digitalen Welt an Führungskräfte gestellt werden, ist es ein Leichtes, versehentlich einen bösartigen E-Mail-Anhang zu öffnen oder Ihr Smartphone in einer Flughafen-Lounge abzulegen und so Ihr Unternehmen für Cyberangriffe zu öffnen. Wir sind alle Menschen, und Menschen machen Fehler.
- Wenn Sie einem Netzwerk nicht vertrauen können, stellen Sie keine Verbindung her. Alle Personen, die stark exponiert sind, insbesondere Führungskräfte mit Zugriff zu sensiblen Geschäftsdaten, sollten stets eine vertrauenswürdige Netzwerkverbindung nutzen. Wenn Sie eine Verbindung zu einem nicht vertrauenswürdigen Netzwerk herstellen müssen, z. B. dem kostenlosen Flughafen-WLAN oder dem lokalen Starbucks-Netzwerk, verwenden Sie immer ein VPN, um Ihren Datenverkehr zu einem vertrauenswürdigen Netzwerk zu tunneln.
- Managen Sie Ihr Heimnetzwerk. Unsichere Netzwerke zu Hause sind nicht nur ein privates Problem, sondern auch ein Unternehmensproblem. Wenn Ihre Führungskräfte schwache, unkontrollierte Heimnetzwerke haben, dann fangen sie wieder bei Null an. Heimnetzwerke mit unsicheren IoT-Geräten oder ein Router mit veralteter Firmware und Standardkennwörtern sind ebenso gefährlich wie das unsicherste öffentliche WLAN. Auch hier gilt: annehmen, dass eine Gefährdung besteht, mit einem Angriff rechnen und Vorsichtsmaßnahmen treffen.
- Intelligente Multifaktor-Authentifizierung verwenden. Da Sie bei Ihren Führungskräften von Gefährdungen ausgehen, ist es unerlässlich, dass diese eine intelligente Multifaktor-Authentifizierung für wichtige Anwendungen und Services vorfinden. Wissensbasierte Authentifizierung („Bitte bestätigen Sie den Mädchennamen Ihrer Mutter…“) ist keine praktikable Lösung. Eine rasche Internetsuche kann das High-School-Maskottchen, den Mädchennamen der Mutter oder den Namen des Lieblingshaustiers einer bekannten Führungskraft ermitteln. Es gibt viele Möglichkeiten der Multifaktor-Authentifizierung, die über personenbezogenes Basiswissen hinausgehen. Nutzen Sie sie.
- Zugriffsrechte einschränken. Häufig sind Unternehmen der Meinung, dass ihren Führungskräften der Zugriff zu allen Informationen, die sie je benötigen könnten, gewährt werden sollte. Ich habe Zugriffskontrollpläne gesehen, die Führungskräften den Zugriff auf alle wichtigen Systeme ermöglichen – nur für den Fall, man weiß ja nie. Wenn wir jedoch von einer Gefährdung ausgehen, dann müssen wir auch eine Einschränkung der Zugriffsrechte in Betracht ziehen. Geben Sie niemandem Zugriff, wenn er ihn nicht aktiv nutzt. Bei Schlüsselsystemen empfiehlt sich ein fein abgestufter Zugriff mit Selfservice-Berechtigungsanforderungen sowie automatisierter Bereitstellung und Entziehung von Zugriffsrechten. Geben Sie den richtigen Leuten den richtigen Zugriff zur richtigen Zeit und entziehen Sie ihn dann, wenn er nicht mehr benötigt wird. Das sollte die Richtlinie sein, und zwar im Top-Down-Ansatz.
- Physische Sicherheit ist mehr als ein Namensschild. Beim Begriff „physische Sicherheit“ denken die meisten Menschen an verschlossene Türen, Namensschilder und zu dichtes Auffahren. Aber physische Sicherheit reicht weit darüber hinaus. Sie umfasst den Raum um Sie herum und die Personen, die die Monitore Ihrer Führungskräfte sehen können. Wir sind alle schon einmal geflogen und haben über eine Schulter oder auf den Sitz nebenan geschaut und etwas auf dem Laptop gesehen. Die Bereitstellung von Sichtschutzfolien für Ihre Führungskräfte ist kostengünstig und einfach. Sie helfen, alle daran zu erinnern, dass Datenlecks sowohl über die Sichtlinie als auch über fehlerhaften Code erfolgen können.
- Aufklärung und Sensibilisierung. Führungskräfte sind von so vielen Geschäftsregeln ausgenommen, aber Sicherheitsaufklärung und -sensibilisierung sollten nicht dazu gehören. Sie sind viel beschäftigte Leute und verpassen deshalb oft ein Sicherheitstraining. Die IT neigt dazu, den Führungskräften der obersten Führungsebene viel Freiraum zu gewähren. Während sie den Netzwerkzugang eines Mitarbeiters einfach abschalten, wenn er seine Sicherheitsschulung noch nicht abgeschlossen hat, wird dies beim CEO eher nicht der Fall sein. Es ist jedoch unerlässlich, dass Ihre Führungskräfte die Risiken und Schadensbegrenzungen begreifen, die wir alle im Auge haben müssen.
Letztendlich ist Sicherheit wie jede andere Unternehmensinitiative. Damit sie erfolgreich ist, muss sie von oben nach unten erfolgen. Die Führungskräfte Ihrem Unternehmen sollten die wichtigsten Sicherheitsbeauftragten im Unternehmen sein und Ihren Mitarbeitern zeigen, dass auch sie bereit sind, zum Wohle des Unternehmens und seiner Informationssicherheit den angemessenen Kompromiss zwischen Komfort und Kontrolle anzustreben.