CISO: Tun Sie, was ich sage – aber nicht, was ich tue

Verantwortliche für die Cybersicherheit in Unternehmen praktizieren nicht immer das, was sie ihren Mitarbeitern vorschreiben. Diese Erkenntnis wurde durch eine Umfrage gewonnen, die darauf abzielte, Verhaltensweisen derjenigen zu identifizieren, die für die Bewachung der Grenzen von Unternehmen verantwortlich sind, die möglicherweise von Angriffen bedroht sind, insbesondere wenn es um soziale Medien als Angriffsvektor geht.

Die Ergebnisse zeigten, dass 57 % in ihrem persönlichen Umfeld Angriffe vom Typ ATO (Account-Übernahme) erlebt haben, bei denen in der Regel eine Identität gestohlen wird, um einen unbefugten Zugang zu Konten zu erhalten – am häufigsten über E-Mail (52 %), aber auch über LinkedIn (31 %) und Facebook (26 %). Etwa ein Viertel (24 %) der Befragten verwendet zudem das gleiche Passwort für berufliche und private Zwecke. Und fast die Hälfte (45 %) der Cybersecurity-Verantwortlichen macht sich angreifbar, indem sie sich mit öffentlichen Wi-Fi-Netzwerken verbindet, ohne dabei ein VPN zu verwenden.

Zu den weiteren Kernaussagen der Studie zählen die folgenden Punkte:

• Chief Information Security Officer sind häufig Ziele von Phishing-Angriffen, wobei sich die Täter oftmals als CEO ausgeben. Die Anzahl solcher Angriffe stieg während der Covid-19-Pandemie um 667 % und basierte auf einer Reihe von Taktiken. Fast drei Viertel der befragten Führungskräfte gaben an, Ziel von Phishing- oder Vishing-Angriffen (bei denen Sprachanrufe zum Einsatz kommen) gewesen zu sein. Ein Drittel (34 %) gab an, dass sich jemand während des Angriffs als CEO ausgegeben habe. Zudem gaben 28 % an, keine besonderen Sicherheitsmaßnahmen zu haben, um ihre Führungskräfte vor Cyberangriffen zu schützen.

• Cybersecurity-Verantwortliche nutzen häufig ihre geschäftlichen Geräte, um sich mit persönlichen sozialen Netzwerken zu verbinden. Fast die Hälfte (48 %) der Befragten gaben an, ihren Computer am Arbeitsplatz zu nutzen, um auf soziale Netzwerke zuzugreifen. Darüber hinaus nehmen 77 % der Cybersecurity-Führungskräfte häufig Einladungen von unbekannten Personen an, insbesondere auf LinkedIn (63 %).

• Fahrlässigkeit im Umgang mit Passwörtern unter Cybersecurity-Verantwortlichen.Fast einer von vier Führungskräften im Bereich Cybersicherheit verwendet das gleiche Passwort im beruflichen und privaten Bereich. Darüber hinaus gaben 39 % der Befragten an, dass sie ihre beruflichen E-Mail-Passwörter in den letzten 30 Tagen nicht geändert haben.

• Die meisten Unternehmen führen keine Überwachung potenzieller Bedrohungen ihrer Marke in sozialen Medien durch. Mehr als 50 % der Befragten verfügen über keine formellen Richtlinien oder Prozesse zur Überwachung der digitalen Öffentlichkeit, einschließlich sozialer Medien, Blogs und Foren, um sich vor Schäden hinsichtlich der Marke oder des Rufes des Unternehmens zu schützen.

Für die Studie wurden weltweit mehr als 100 Verantwortliche für Cybersicherheit befragt, von der Führungsebene bis zum Vorstand, in Branchen wie Finanzdienstleistungen, Technologie, Gesundheitswesen, Einzelhandel und Telekommunikation.