Bei der IT-Sicherheit geht es nicht allein um Technik und Softwarelösungen, auch der Risikofaktor Mensch gehört ins Kalkül. Vor allem die Management-Ebene ist ein lukratives Ziel für Cyberangreifer. NTT Security (Germany), das „Security Center of Excellence“ der NTT, empfiehlt sechs einfache Maßnahmen zur Gefahrenabwehr.

Besonders im Fokus von Cyberangriffen steht die Management-Ebene, also der gesamte C-Level eines Unternehmens. Dafür gibt es mehrere Gründe: Diese Personen verfügen aufgrund von Funktion und Verantwortungsbereich über mehr sensible Informationen als der gewöhnliche Mitarbeiter. Unter Sicherheitsaspekten problematisch ist zudem, dass für die Management-Ebene oft „Sonderregeln“ mit Privilegien gelten. Beispielsweise werden von der IT Sicherheitsrichtlinien und -standards gelockert, um zum Beispiel das Login zu vereinfachen. Nicht zuletzt kommt erschwerend hinzu, dass Manager oft technisch weniger versiert sind und unter Zeitdruck eine Vielzahl von Informationen bearbeiten müssen – also auch nicht jede erhaltene E-Mail kritisch in Augenschein nehmen können.

NTT Security nennt sechs einfache Maßnahmen, mit denen sich Manager besser vor Cyber-Angriffen und vor allem vor Social-Engineering-Attacken schützen können:

  1. Sorgfältiges Management der Social-Media-Accounts:
    Es ist heute unumgänglich, in sozialen Kanälen sichtbar zu sein, jedoch erfordert es ein sorgfältiges Management der Accounts und eine Social-Media-Strategie. Die auf sozialen Plattformen verfügbaren Daten werden nämlich häufig von Cyberkriminellen für sogenannte Phishing-Angriffe verwendet, um Zugang zu persönlichen oder Firmendaten zu bekommen. Generell gilt deshalb, möglichst wenige persönliche Informationen zu teilen, ein sogenanntes „Tagging“ auf Bildern zu unterbinden und keine privaten Bilder zu posten.
  2. Vermeidung von öffentlichen und freien Netzen:
    Angreifer verwenden oftmals Netze in Bahnhöfen, Flughäfen, Hotels oder Cafés, um über sogenannte „Fake Access Points“ Zugriff auf die mobilen Geräte ahnungsloser Anwender zu erhalten. Die Nutzung öffentlicher Netze sollte somit unterbleiben. Darüber hinaus ist es ratsam, in öffentlichen Bereichen keine Telefonate mit sensiblen Informationen zu führen.
  3. Sicherung des Heimnetzes:
    Schlecht gesicherte Heimnetze sind ein klassisches Einfallstor für gezielte Angriffe. In ihnen sollten deshalb die gleichen Sicherheitsmaßnahmen greifen, die auch im Firmennetz Standard sind.
  4. Sensibilisierung des Sekretariats:
    Fingierte Anrufe etwa als vermeintlicher Helpdesk-Mitarbeiter, um Informationen zu bekommen beziehungsweise Passwörter zu erschleichen, sind noch immer üblich. Folglich muss auch das Sekretariat eines Managers ausdrücklich im Hinblick auf Social-Engineering-Gefahren geschult werden.
  5. Restriktives Öffnen von E-Mails:
    Bei gezielten Angriffen werden täuschend echt gestaltete Mails von „Freunden“, dem Verein oder Mitarbeitern erstellt, die den Manager dazu verleiten sollen, eine Datei zu öffnen oder auf einen Link zu klicken. Eine Führungskraft sollte deshalb niemals eine E-Mail öffnen, die sie nicht erwartet. Außerdem sollte man keinesfalls eine Datei öffnen oder einen Link nutzen, ohne dass die Quelle validiert ist.
  6. Sicherung der Passwörter:
    Von entscheidender Bedeutung sind nicht zuletzt Passwortschutz und -sicherheit. Für die Verwaltung von Passwörtern ist auf jeden Fall die Nutzung eines Passwort-Managers zu empfehlen. Damit können für jeden Login eigene und komplexe Passwörter erstellt werden. Sollte das Passwort für eine Web-Seite ermittelt werden, so ist nur dieser eine Login betroffen und ein Angreifer kann sich mit diesem Passwort nicht auf weiteren Web-Seiten oder auf Systemen anmelden. Generell darf bei jeder Passwortnutzung auch nicht vergessen werden, dass das sogenannte „Shoulder Surfing“ noch immer eine beliebte Methode ist. Es gilt also, darauf zu achten, dass beim Eingeben eines Passworts niemand hinter oder neben einem steht.

„Für die Ermittlung von möglichen Sicherheitsrisiken auf Führungsebene bietet NTT Security seit rund einem Jahr den Service ‚Management Hack’ an. Und die Ergebnisse der bisher durchgeführten Projekte zeigen, dass Manager die Gefahren der Internet- oder Social-Media-Nutzung vielfach unterschätzen. Die ‚Erfolgsquote’ unserer Management-Hacks lag im Durchschnitt bei fast 70 Prozent“, erklärt Kai Grunwitz, Senior Vice President EMEA bei NTT Security. „Unsere sechs einfachen Sicherheitsmaßnahmen sind erste Schritte für die Gefahrenabwehr, und zwar Schritte, die weitgehend in der Hand der Manager selbst liegen.“

Weitere Informationen stehen unter www.nttsecurity.com zur Verfügung.

Dr. Jörg Schröper ist Chefredakteur der LANline.