Eine Einführung für die Geschäftsleitung (Teil 1)
Cybersecurity ist der Schutz von Geräten, Diensten und Netzwerken – und der darin enthaltenen Informationen – vor Diebstahl oder Beschädigung durch elektronische Mittel.
Was muss ich über Cybersecurity wissen?
Es gibt drei gemeinsame Mythen über die Cybersecurity. Wenn Sie verstehen, warum sie falsch sind, können Sie einige wichtige Aspekte der Cybersecurity verstehen.
Mythos 1: Cyber ist kompliziert, das werde ich nicht verstehen
Realität: Sie müssen kein technischer Experte sein, um eine fundierte Entscheidung zur Cybersecurity zu treffen.
Wir alle treffen jeden Tag Sicherheitsentscheidungen (z.B. ob wir die Alarmanlage einschalten sollen), ohne unbedingt zu wissen, wie der Alarm funktioniert. Die Aufsichtsräte treffen regelmässig Finanz- oder Risikoentscheidungen, ohne die Details jedes Kontos oder jeder Rechnung kennen zu müssen. Die Geschäftsleitung sollte sich auf seine Cyber-Sicherheitsexperten verlassen, um Informationen zu erhalten, damit die Geschäftsleitung fundierte Entscheidungen über die Cybersecurity treffen kann.
Mythos 2: Cyber-Angriffe sind ausgeklügelt, ich kann nichts tun, um sie zu stoppen
Realität: Wenn Sie einen methodischen Ansatz für die Cybersecurity verfolgen und relativ kleine Änderungen vornehmen, kann das Risiko für Ihre Organisation erheblich reduziert werden.
Die überwiegende Mehrheit der Angriffe basiert immer noch auf bekannten Techniken (z.B. Phishing-E-Mails), gegen die man sich wehren kann. Einige Bedrohungen können sehr komplex sein und mit fortschrittlichen Methoden in bestens verteidigte Netzwerke eindringen. Normalerweise sehen wir dieses Mass an Einsatz und Fachwissen nur bei Angriffen von Nationalstaaten. Die meisten Organisationen werden wahrscheinlich kein Ziel für einen nachhaltigen Angriff dieser Art sein, und selbst diejenigen, die es sind, werden feststellen, dass selbst der raffinierteste Angreifer mit der einfachsten und billigsten Option beginnt, um ihre fortgeschrittenen Methoden nicht zu verraten.
Mythos 3: Cyberangriffe erfolgen gezielt, ich bin nicht gefährdet
Realität: Viele Cyber-Angriffe sind opportunistisch und jede Organisation könnte von diesen ungezielten Angriffen betroffen sein.
Die Mehrheit der Cyber-Angriffe erfolgt nicht gezielt und ist opportunistisch. Der Angreifer hofft, eine Schwäche (oder Schwachstelle) in einem System auszunutzen, egal wem dieses System gehört. Diese können ebenso schädlich sein wie gezielte Angriffe; die Auswirkungen von WannaCry auf globale Unternehmen sind ein gutes Beispiel dafür. Wenn Sie mit dem Internet verbunden sind, dann sind Sie diesem Risiko ausgesetzt. Dieser Trend zu ungezielten Angriffen wird sich wahrscheinlich nicht ändern, denn jede Organisation – auch Ihre – wird für einen Angreifer einen Wert haben, auch wenn es nur das Geld ist, das Sie bei einem Ransomware-Angriff bezahlen könnten.
Wie funktionieren Cyber-Angriffe?
Eine gute Möglichkeit, Ihr Verständnis von Cybersecurity zu verbessern, sind Beispiele, wie Cyberangriffe funktionieren und welche Massnahmen Organisationen ergreifen, um sie zu mindern. Die Überprüfung von Vorfällen, die in Ihrem Unternehmen aufgetreten sind, ist ein guter Ausgangspunkt.
Cyber-Angriffe haben im Allgemeinen 4 Stufen:
- Beobachtung – Untersuchung und Analyse der verfügbaren Informationen über das Ziel, um potenzielle Schwachstellen zu identifizieren.
- Lieferung – an den Punkt in einem System kommen, an dem sie einen ersten Einstieg in das System haben.
- Verletzung – Ausnutzung der Schwachstelle(n), um sich unbefugten Zugriff zu verschaffen.
- Beeinflussen – Ausführen von Aktivitäten innerhalb eines Systems, die das Ziel des Angreifers erreichen.
Abwehr von Cyberangriffen
Das Wichtigste, was man über Cyber-Sicherheitsverteidigung verstehen muss, ist, dass sie in Schichten gestaltet werden und verschiedene Massnahmen umfassen muss, von Technologielösungen über Benutzeraufklärung bis hin zu effektiven Richtlinien.
Als Geschäftsleitungsmitglied sind Sie ein Ziel
Führungskräfte oder Interessenvertreter in Unternehmen sind oft das Ziel von Cyber-Angriffen, da sie Zugang zu wertvollen Ressourcen (in der Regel Geld und Informationen) und Einfluss innerhalb der Organisation haben.
Angreifer können versuchen, Ihre IT-Konten direkt anzugreifen, oder sie können versuchen, Sie mit einer überzeugend aussehenden gefälschten E-Mail-Adresse zu verkörpern. Sobald sie die Fähigkeit haben, sich als Sie auszugeben, ist ein typischer nächster Schritt, Anfragen zu senden, um nicht regelkonforme Geldüberweisungen zu tätigen. Diese Angriffe sind billig und oft erfolgreich, da sie die Zurückhaltung der Mitarbeiter ausnutzen, um eine nicht standardisierte Anfrage von jemandem weiter oben in der Organisation zu hinterfragen.
Ein gutes Cyber-Sicherheitsbewusstsein in Ihrer gesamten Organisation, zweckmässige Sicherheitsrichtlinien und einfache Meldeprozesse tragen dazu bei, dieses Risiko zu minimieren. Es ist auch wichtig, dass die Geschäftsleitungsmitglieder die Sicherheitsrichtlinien ihrer Organisation verstehen und befolgen, damit die Mitarbeiter, wenn ein Nachahmer versucht, sie zu umgehen, erkennen können, dass etwas nicht stimmt.
Sie sollten auch überlegen, wie Informationen über Sie (die öffentlich zugänglich sind) einem Angreifer helfen können, der versucht, sich als Sie auszugeben.
https://www.ncsc.gov.uk/collection/board-toolkit; NCSC, bow; 23.04.2019
Crown Copyright, Open Government licence http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/