„Das kann auch mir passieren“
Die emotionale Wirkung, die der Wendepunkt für das Lernen sein kann
BonelliErede erzählt, wie die Cyber Guru-Programme die Mauer des Desinteresses durchbrochen und das gesamte Team zu einem ungeahnten Maß an digitalem Bewusstsein geführt haben.
Kennen Sie diese großen Anwaltskanzleien, die wir alle aus amerikanischen Filmen kennen, die sich mit großen Fällen befassen, in denen es um Unternehmen, Organisationen, Finanzinstitute geht? Diejenigen, in denen kompakte Teams von Fachleuten arbeiten, die all ihre Talente einbringen, um das Ziel zu erreichen?
Auch hier in Italien gibt es diese Realitäten, die eine treibende Kraft für das gesamte System des Landes darstellen. Aus ihnen allen ragt BonelliErede heraus, ein in Italien führendes Unternehmen für Rechts- und Steuerdienstleistungen, das in allen Bereichen des Wirtschaftsrechts und des Unternehmensstrafrechts tätig ist, wo es vor allem Unternehmen unterstützt.
Die Sektoren, in denen sie tätig ist, sind vielfältig: Energie, Bauwesen, Finanzen, Immobilien, Kunst, Sport, um nur einige zu nennen. Ein Team von ca. 800 Mitarbeitern, davon ca. 550 Anwälte, die immer bestrebt sind, die beste Lösung für ihre Kunden zu finden, sei es im Gesellschaftsrecht, Steuerrecht, Arbeitsrecht, in Wettbewerbsfragen, bei Unternehmenskrisen und Umschuldungen, bei internationalen Schiedsverfahren und vielem mehr.
Ein sehr dichtes Netzwerk von Beziehungen und Austausch, das größtenteils über das Internet stattfindet und die ganze Welt umspannt, denn BonelliErede hat Büros in Mailand, Rom, Genua, London, Brüssel, Dubai, Kairo und Addis Abeba.
Wir sprechen hier von einer wichtigen und gut strukturierten Organisation in Bezug auf die Cybersicherheit, die die Angriffsversuche, die im Laufe der Jahre aufgetreten sind, immer mit angemessenen Schutzsystemen eingedämmt hat. Aber selbst die besten Systeme haben eine Schwäche, und für BonelliErede bestand diese in der Schwierigkeit, dem großen Team von Fachleuten zu vermitteln, wie wichtig eine angemessene Schulung des Einzelnen in Fragen der Cybersicherheit ist.
Das Thema ist, wie Sie wissen, nicht gerade aufregend und es ist schwierig, Menschen mit einem vollen Terminkalender und großen Herausforderungen im Kopf davon zu überzeugen, einen Teil ihrer Zeit der Weiterbildung zu einem Thema zu widmen, das sie nicht direkt betrifft. Zumindest denken sie das.
Mauro Baldoni, IT-Direktor von BonelliErede, erzählt, wie diese Herausforderung gemeistert wurde.
„Die Gelegenheit bot sich mit dem 2017 begonnenen Weg, die ISO/IEC 27001-Zertifizierung zu erlangen, eine internationale Bescheinigung für das Informationssicherheitsmanagementsystem (ISMS). Diese wurde 2019 nach einem zweijährigen Zeitraum erlangt, der uns dazu zwang, alle organisatorischen, technologischen und prozessualen Maßnahmen zu überprüfen, denn die Zertifizierung erfordert nicht nur bestimmte aktive und passive Sicherheitssysteme, sondern auch die Entwicklung eines Bewusstseins.
In der Tat haben wir Insider schon immer gewusst, dass der Schwachpunkt der Sicherheit zwischen dem Computermonitor und der Stuhllehne liegt, und das ist der Faktor Mensch. Aber das Problem ist, wie man es denjenigen begreiflich machen kann, die sich im Leben mit anderen Dingen beschäftigen.
Also haben wir mit verschiedenen Ansätzen experimentiert: Online-Unterricht, PowerPoint, verschiedene Arten von Dokumenten, sogar intern produzierte Kurzvideos. Alles schlug jedoch fehl; wir konnten die Aufmerksamkeit unserer Anwälte in keiner Weise gewinnen.“
TV-Serien zur aktiven Beteiligung
„Der Schlüssel war, als wir feststellten, dass wir eine Episode der bekannten Serie Black Mirror von Netflix zeigten, in der ein typischer Angriff auf den CEO durch das Grooming seines jugendlichen Sohnes stattfand, und alle das Video verfolgten. Die Episode sprach den Teil des Gehirns an, der am engsten mit Instinkten und Emotionen verbunden ist. Es gab keine Begriffe, die man sich merken musste, oder Theorien, die man intellektuell verstehen musste, aber es gab eine gut erzählte Geschichte, die es den Zuschauern ermöglichte, sich mit dem Erzählten zu identifizieren.
Kurz gesagt, sie erkannten, dass jeder von ihnen Opfer dieser Geschichte hätte sein können. Dies wurde auch durch die von der Pandemie auferlegten Arbeitsmethoden verstärkt, die viele Berufstätige dazu zwangen, ihre Geräte mit ihren Kindern, vielleicht Teenagern, zu teilen, die von zu Hause aus Schulklassen besuchten.“
Das Treffen mit Cyber Guru
„Wir haben endlich verstanden, wie wir das Interesse unserer Zielgruppe wecken können, und gleichzeitig haben wir Cyber Guru, zusammen mit unserem Partner Tourmaline, und seine verschiedenen Schulungsprogramme abgefangen.
Insbesondere seine Videos, die auf der Fernsehserie Model basieren und in denen professionelle Schauspieler reale, alltägliche Risikosituationen simulieren und den richtigen Weg aufzeigen, um nicht in die Falle zu tappen, waren sicherlich etwas für uns.
Und so begannen wir dieses neue Bildungsabenteuer.
Der neue Ansatz, gerade weil er auf einem besonders fesselnden Storytelling basiert, das sich auf die Aufdeckung realer Fälle von Cyberangriffen konzentriert, wurde intern sehr geschätzt und bezog die verschiedenen Berufs- und Altersgruppen in die Arbeit mit ein.
Was uns am meisten beeindruckte, war, dass es Vorfälle von Phishing-Versuchen gab, die selbst von älteren Mitgliedern sofort abgefangen wurden. Sogar von Achtzigjährigen. Ein Ergebnis, das wir nicht erwartet hatten.“
Gamification zum Motivieren und Belohnen
„Eine weitere Trainingsmethode, die vor allem bei der jüngeren Generation sehr erfolgreich ist, ist das Mannschaftsspiel.
Die Schaffung eines Wettbewerbs zwischen den verschiedenen Sektoren und Abteilungen und die Verleihung eines Preises an denjenigen, der als erster eine Lösung für ein Sicherheitsproblem findet oder einen bestimmten Lehrgang als erster abschließt, ist eine Quelle großen Engagements.
Der Preis kann ein Geschenkgutschein sein oder der Name des Gewinners wird intern an alle kommuniziert, die so einen kleinen Moment des Ruhms und des Erfolgs genießen. Das ist erfreulich und daher sehr motivierend.“
Security Awareness auch für Partner und Berater
„Wir als Firma fühlen uns nicht verletzlich, wir sind strukturiert und selbst auf der Ebene des Bewusstseins können wir behaupten, in den letzten 3-4 Jahren einen großen Sprung nach vorne gemacht zu haben.
Das Problem ist, dass wir uns nicht nur mit uns selbst beschäftigen können. Wenn wir Fälle verfolgen, sind immer viele andere Personen beteiligt, und nicht alle sind technisch ausreichend abgeschirmt oder vorbereitet. Es kann daher vorkommen, dass jemand, der nicht zur Kanzlei gehört, ‚gehackt‘ wird und dem diensthabenden Piraten die Tür öffnet, der in das E-Mail-Geschäft einsteigen kann, indem er sich z.B. als einer unserer Anwälte ausgibt und so unserem Image Schaden zufügt.
Bislang wurden alle Angriffsversuche entdeckt und gestoppt, aber das Problem kann nicht ignoriert werden.
Deshalb haben wir eine Kampagne für Partner, Berater und Konkurrenten gestartet, um alle, die mit uns zusammenarbeiten, aufzufordern, angemessene Sicherheitsmaßnahmen zu ergreifen.“