Mitarbeiter, die Desinformationen vertrauen, sind anfälliger für Social-Engineering- und Phishing-Kampagnen, und Angreifer wissen das. [...]
Zu Beginn des vierten Quartals 2021 ist der Gedanke, dass Desinformation eine Cyber-Bedrohung darstellt, wahrscheinlich noch nicht in das Bewusstsein vieler CISOs vorgedrungen. Tatsächlich würde ein Venn-Diagramm zeigen, dass es keine Überschneidungen zwischen „Desinformation“ und den Wörtern „CISO“ oder „Cyber-Bedrohung“ gibt, besonders nicht hier. Dennoch gibt es erhebliche Überschneidungen, und CISOs sind gut beraten, wenn sie der Entwicklung voraus sind.
Einige Unternehmen haben Desinformation als Bedrohung erkannt. Gavin Reid, CSO von Recorded Future, stellt fest, dass einige aktivistische CEOs Maßnahmen ergreifen, um die Politisierung von Desinformationen zu bekämpfen, während Unternehmen sich an Dritte wenden, um besser zu verstehen, wie sie dem Aufkommen von Desinformationen entgegenwirken können, die gegen ihr Unternehmen gerichtet sind oder das Handeln ihrer Mitarbeiter beeinflussen.
Die Herausforderung für CISOs in Bezug auf Desinformation
Diese Sichtweise wird von Armaan Mahbod, Director, Counter Insider Threat, Security and Business Intelligence bei DTEX Systems, geteilt. „Der Austausch von Desinformationen/Fehlinformationen geschieht ständig, unabhängig davon, ob dahinter positive oder negative Absichten und Ergebnisse stehen“, sagt er. „Für Führungskräfte und Unternehmen ist es schwierig, diese Informationen zu widerlegen, da sie oft nicht wissen, was überhaupt geteilt wird, so dass sie sich nicht bewusst sind, dass eine Reaktion erforderlich ist.
„Zusätzlich zur mangelnden Transparenz haben viele Unternehmensleiter Schwierigkeiten, grundlegende Fragen über ihr Unternehmen und ihr Team zu beantworten, wie z. B.: Wer sind meine Mitarbeiter und wo sind sie? Wie funktioniert mein Unternehmen tatsächlich? Wie aktiv ist das Unternehmen (d. h. regional, abteilungsbezogen usw.)? Zusätzlich zu den tausend anderen, differenzierteren und detaillierteren Fragen, die Unternehmen umgeben und die in die allgemeine Cybersicherheitslage einer Organisation einfließen“, fährt Mahbod fort.
Adam Flatley, Director of Threat Intelligence bei Redacted, sieht die Herausforderung für den CISO darin, wie Desinformationskampagnen außerhalb des Unternehmens ihre Opfer dazu bringen, bestimmte falsche Narrative zu glauben, Keile zwischen sie und diejenigen zu treiben, die gegenteilige Fakten liefern, und sie süchtig nach Informationen zu machen, die ihre Vorurteile bestätigen“.
Flatley fährt fort, dass „die nächste Gefahr für einen CISO darin besteht, dass sich diese Sucht nach Informationen, die ihre Voreingenommenheit bestätigen, wirklich in den Opfern (Mitarbeitern) festsetzt. Dadurch wird es wahrscheinlicher, dass sie auf Phishing-E-Mails, SMS-Links und andere Arten von Verlockungen klicken, die auf das Thema zugeschnitten sind, nach dem sie hungern, was zu gestohlenen Anmeldedaten oder direktem Missbrauch führen kann.
Desinformation bietet Möglichkeiten für Social Engineering
Dann gibt es noch den Bereich des Social Engineering, auf den der einzelne Mitarbeiter vorbereitet sein muss, um sich zu wehren, und auf den der CISO vorbereitet sein muss. Böswillige Akteure beobachten die Brandherde für Desinformationen, sei es zu globalen Themen oder zu Themen, die nur für ein bestimmtes Unternehmen gelten, und diese Bösewichte „bauen Personas auf, um Online-Beziehungen zu ihren Opfern aufzubauen. Sie füttern sie mit Informationen, die sie nicht nur manipulieren, sondern auch Vertrauen aufbauen, was sie dazu bringt, Webseiten zu besuchen, die ihnen von ihrem „treuen Freund“ geschickt werden. Auf diese Weise entsteht eine Kameradschaft, die die Opfer eher dazu bringt, die ihnen zugesandten Dateien zu öffnen, die Malware enthalten könnten“, warnt Flatley. „Noch bevor die Opfer den Schritt zu einer bewussten Insider-Bedrohung wagen, können sie dazu benutzt werden, das Netzwerk unwissentlich zu kompromittieren, was für einen Bedrohungsakteur viel einfacher ist als einen böswilligen Insider zu rekrutieren.“
Diese Beobachtung wird auch von Elsine Van Os, Gründerin und CEO von Signpost Six, geteilt, die anmerkt, dass die Affinität zu einem bestätigenden Narrativ Mitarbeiter anfällig dafür macht, „auf E-Mails zu klicken, die sie interessieren, und damit unbeabsichtigt die Tür für Malware in ihre Organisation zu öffnen.“
Veränderung als Portal für lokalisierte Desinformation
Veränderungen sind ein weiterer Bereich, in dem die interne Nachrichtenübermittlung oft aus dem Ruder laufen kann und Gerüchte wie ein Blitz durch die Organisation fliegen. Van Os merkte an, dass „bei Veränderungen (und manche Organisationen sind ständig im Wandel) oft eine unzureichende Kommunikation, unvollständige, ungenaue oder unzeitgemäße Informationen und dann Missverständnisse auftreten.“
Van Os fuhr fort, dass die CISOs herausgefordert sind, das Insider-Risiko zu managen, wenn das Management, aus welchen Gründen auch immer, eine Belegschaft hat, die sich mit „unerfüllten Erwartungen konfrontiert sieht, die ein wichtiger Stress-/Risikofaktor auf dem kritischen Weg zum Insider-Risiko sind, und dies ist besonders bei Umstrukturierungen der Fall. Es ist sehr schwierig für ein Unternehmen, mit diesem Problem umzugehen, da es manchmal einfach keine zufriedenstellenden Ergebnisse für die Mitarbeiter gibt, so dass Sie das Risiko auf der Rückseite verwalten müssen“.
Forrester prognostiziert für das Jahr 2021 eine Zunahme der Herausforderungen im Bereich des Insider-Risikomanagements. Van Os ist der Meinung, dass CISOs „mit der Personalabteilung zusammenarbeiten müssen, vor allem, da wir eine große Zahl von Austritten erleben. So viele Menschen verlassen das Unternehmen, und die große Mehrheit nimmt sensible Daten mit.“
Wenn Desinformation gefunden wird
Angesichts des Dilemmas, dass falsche Informationen in das eigene Unternehmen eindringen, „ist es von entscheidender Bedeutung, dass Führungskräfte und Unternehmen ein klares Verständnis davon haben, wie sie arbeiten, damit sie nicht nur das Verhalten ihres eigenen Unternehmens nachvollziehen können, sondern auch ihren Mitarbeitern und ihren Investoren/Vorständen vertrauensvoll mitteilen können, dass sie über Daten verfügen, die ihre Aussagen stützen“, sagt Mahbod. „Dies setzt voraus, dass aussagekräftige Daten zur Verfügung stehen, um Kommentare mit empirischen Informationen zu untermauern, die die gestellten oder vermuteten Fragen beantworten.“
*Christopher Burgess ist ein Verfechter wirksamer Sicherheitsstrategien, sei es im Büro oder zu Hause für Sie und Ihre Familie. Christopher Burgess war über 30 Jahre bei der Central Intelligence Agency tätig. Er ist Mitverfasser des Buches Secrets Stolen, Fortunes Lost, Preventing Intellectual Property Theft and Economic Espionage in the 21st Century.
Be the first to comment