Während ich durch die Sitzungen der RSA-Konferenz 2020 scrollte, fiel mir ein Vortrag mit dem Titel „Bekämpfung der cyberfähigen Kriminalität in großem Maßstab: Die moderne Strafverfolgungsbehörde“ ins Auge. Als absoluter Law & Order-Fan, der sich darüber hinaus für Cybersicherheit interessiert, dachte ich, dass sich diese Sitzung der realen Version einer schlechten Hacker-TV-Show ähnelte, die am Set der New Yorker Polizeibehörde (NYPD) gedreht wurde.
Der Sprecher, Nick Selby, hatte eine großartige Geschichte zu erzählen. Es ist kein Geheimnis, dass New York City ein großes (neunstelliges) Problem mit der Cyberkriminalität hat. Und es scheint, als sei bereits jeder, von Digital Natives bis hin zu Babyboomern, Cyberkriminellen zum Opfer gefallen – von Telefonbetrug über Ransomware bis hin zu einem ingerianischen Prinzen, der dringend Geld benötigt.
Meist rufen die Opfer in solchen Fällen das NYPD an. Und jedes Mal, wenn die zuständigen Beamten, cybertechnische Wörter wie Bitcoin hörten, war ihre erste Antwort so etwas wie „nicht mein Aufgabenbereich“. Denn in den Köpfen der Polizisten und Detektive waren es nämlich stets andere Behörden, die sich um Fälle aus dem Bereich Cyberkriminalität kümmern müssten. Sie rieten den Opfern deshalb, das FBI anzurufen, und das war’s.
Für eine Stadt in der Größenordnung New Yorks stellte das ein Problem dar. Nick Selby wusste das, ebenso wie seine Vorgesetzten des NYPD, die Selby damit beauftragten, die Unternehmenskultur ein wenig zu verändern und Beamte darin zu schulen, sich auch um Cybersicherheitsthemen zu kümmern.
Der ganze Vortrag hat mich fasziniert – denn es wurden all die tollen Dinge erwähnt, die das gesamte Team getan hat, um Cyberkriminalität zu stoppen und den Menschen zu helfen, ihr hart verdientes Geld zurückzubekommen. Da die Geschichte aber eigentlich nicht mir gehört, möchte ich diese auch nicht wiedererzählen. Dennoch empfehle ich Ihnen einen Blick auf den vollständigen Beitrag zu werfen:
Es gab jedoch auch einen Gedanken, der mich nach der Präsentation ins Grübeln brachte: Selby musste dabei helfen, diese Kultur zu ändern und Beamte darin schulen, sich um Cybersicherheit zu kümmern.
Jeder, der ein Sicherheitstraining selbst geleitet hat, hat wahrscheinlich knifflige Fragen oder Kommentare gestellt bekommen wie:
Ich arbeite in der Buchhaltung, warum sollte es mich interessieren?
Ich arbeite an der Rezeption. Warum sollte es mich interessieren?
Ich bin von der IT-Abteilung, komm schon Mann, ich hab‘ Ahnung von Sicherheit!
Und mein Lieblingszitat aus jedem Büro:
Ugh, Sicherheitstraining… SCHON WIEDER?
Jeder von uns hat schon mal die Erfahrung machen müssen, etwas zu machen, das wir für absolut unnötig für unsere Arbeit hielten. Das Problem ist jedoch, dass die Cybersicherheit alles umfasst. Ernsthaft. Hier einige Beispiele vom durchschnittlichen Arbeitsplatz:
- Die Buchhaltung verwaltet das Geld. Über wie viele Betrügereien haben wir schon geschrieben, bei denen Geld auf das falsche Konto überwiesen wurde?
- Die Rezeption ist das erste Gesicht, das man sieht. Gleichzeitig auch die die Person, die alle in das Gebäude lässt. Empfangsmitarbeiter verteilen in der Regel auch WLAN-Anmeldeinformationen für Gäste. Nun betrachten Sie die Rolle der Rezeption beim Schutz von Unternehmen vor Personen wie Gaunern, die bösartige Hardware mit Unternehmensnetzwerken verbinden?
- Die IT-Abteilung – Sie reparieren Computer und verwalten Geräte. Wer kann Ihnen einen USB-Stick geben, wenn Sie eine PowerPoint-Datei zwischen zwei Computern verschieben müssen? Ohne die IT-Abteilung könnten die Leute im Büro verwahrlosten Laufwerken suchen .
Verstehen Sie meinen Standpunkt? Alle Mitarbeiter sind technisch gesehen Angriffsvektoren, aber sie denken normalerweise nicht an solche, wie ich eben aufgezählt habe.
Was können wir von dem NYPD lernen?
Im Gegensatz zu Cybersecurity-Trainern von Unternehmen bildete die NYPD Polizisten aus, aber ihre Aufgaben und Herausforderungen waren sehr ähnlich, ebenso wie ihre Leitprinzipien:
Halten Sie es einfach! Der vielleicht größte Faktor für den Erfolg des NYPD-Teams war, dass das Training unkompliziert und auf den Punkt gebracht wurde. Ich glaube, jede Trainingseinheit hatte nicht mehr als 20 PowerPoint-Folien. Stellen Sie bei der Planung von Schulungsunterlagen für Ihre Mitarbeiter sicher, dass diese klare Ziele enthalten, um den Auszubildenden zu zeigen, warum sie sich darum kümmern sollten und wie sie erfolgreich sein können.
Stärken Sie Menschen! Ein weiterer cooler Ansatz, den Selby und sein Team verwendeten, war das Anbieten einer App, mit der Cops Cyberkriminalität codieren und entsprechende Ermittlungen ermöglichen können. Ich meine jetzt damit nicht, dass Sie eine App für Ihr Unternehmen erstellen müssen. Finden Sie stattdessen Möglichkeiten, um das theoretische Training in die Praxis umzusetzen. Wenn sie etwas Verdächtiges sehen, wie können sie es melden? Wenn sie eine Phishing-E-Mail erhalten, wie können sie diese für das gesamte Unternehmen blockieren oder wohin sollen sie sie senden?
Zeigen Sie Ergebnisse! Das NYPD misst alles, was es kann, und mit diesem Programm begann die Abteilung auch mit der Messung von „Cyber“, damit die Polizei erkennen konnte, dass ihre Arbeit tatsächlich dazu beitrug, dass mehr Verbrechen in ihren Bezirken untersucht wurden. Sie konnten auch sehen, wie groß das Problem war und wie ihre Rollen zur Bekämpfung der Internetkriminalität beitrugen. Ihre Mitarbeiter kämpfen möglicherweise nicht gegen Kriminelle, aber Sie können ihnen zeigen, wie ihr Bewusstsein wirklich hilft. Zum Beispiel könnten neun Ransomware-Angriffe, die vereitelt wurden, oder 200 Phishing-E-Mails, die im Jahr abgewendet wurden, gute Dinge sein, die in einem regelmäßigen Update geteilt werden sollten.
Ihr Training muss nicht hochtechnologisch oder teuer sein. Das Teilen Ihres internen Fachwissens kann zu wesentlichen Änderungen für Ihr Unternehmen führen.
Auch wenn die Erstellung eines Schulungsplans für Cybersicherheit in diesem Jahr für Ihr Unternehmen nicht in Frage kommt, sind Sie bei uns genau richtig. Kaspersky bietet eine kostenlose Kursreihe zur Sicherheitserziehung an, die Sie mit Ihren Mitarbeitern teilen können, um loszulegen.