Cybersicherheit: Gamification in Schulungen

Während Arbeitgeber oftmals für sich in Anspruch nehmen, wirksame Richtlinien aufgestellt zu haben, um Mitarbeitern beim Umgang mit Cyberbedrohungen zu unterstützen, sieht die Wirklichkeit anders aus. Einige Studien zeigen, dass bis zu zwei Drittel der Angriffe durch Fahrlässigkeit oder Fehlverhalten von Mitarbeitern verursacht werden. [...]

Laut einer aktuellen Untersuchung ist menschliches Versagen eine der drei Hauptursachen für Datenschutzverletzungen, nur noch übertroffen von böswilligen oder kriminellen Angriffen. Die überwiegende Mehrheit der Mitarbeiter will nicht wissentlich Schaden anrichten. Trotzdem passiert es – vielfach unbeabsichtigt: durch schlechte Passwortgewohnheiten, hemmungsloses Surfen im Internet oder durch Öffnen einer schädlichen E-Mail. Die Folge ist, dass Mitarbeiter (und damit auch das gesamte Unternehmen) leicht zu Opfern von Social Engineering- oder Phishing-Angriffen werden.

Während Arbeitgeber oftmals für sich in Anspruch nehmen, wirksame Richtlinien aufgestellt zu haben, um Mitarbeitern beim Umgang mit Cyberbedrohungen zu unterstützen, sieht die Wirklichkeit anders aus. Einige Studien zeigen, dass bis zu zwei Drittel der Angriffe durch Fahrlässigkeit oder Fehlverhalten von Mitarbeitern verursacht werden. Die Fälle von Cyberkriminalität steigen weiter an. Unternehmen und Regierungsbehörden suchen jetzt nach Wegen, um ihre Mitarbeiter für wirklich effektive Cybersicherheitschulungen zu begeistern – und qualifizierte Kandidaten für Cybersicherheit zu rekrutieren. Eine dieser Strategien ist Gamification.

Gamification in der Cybersicherheit?

Gamification verwendet Methoden und Denkweisen wie sie Spielen zugrunde liegen. Die Idee ist es, Benutzer zu Lösen von Problemen zu animieren und die Motivation durch Wettbewerb und potenzielle Belohnungsanreize zu steigern. Eine Reihe von Unternehmen setzt Gamification bereits beim Onboarding und zur Kundenbindung ein. Ganz offensichtlich hat Gamification auch seine Vorteile für unternehmensweite Cybersicherheitsschulungen.

Laut einer Studie von Pulse Learning schätzen sich 79 Prozent der Teilnehmer (sowohl Schulungsteilnehmer aus Unternehmen als auch Studenten) produktiver und motivierter ein, wenn die Lernumgebung eher einem Spiel gleicht. Laut dieser Studie steigert Gamification Motivation und Engagement, ebenso wie das Leistungsfeedback und die Produktivität.

Einsatzmöglichkeiten von Gamification für Cybersicherheitsschulungen

Price Waterhouse Cooper entwickelte sein „Game of Threats™“ vornehmlich damit Führungskräfte und Vorstände ihre Fähigkeiten im Bereich Cybersicherheit überprüfen und verbessern können. Im Kern ist „Game of Threats ist ein Spiel um kritische Entscheidungsprozesse, das adäquate Entscheidungen der Spieler belohnt und Teams sanktioniert, die schlechte Entscheidungen treffen. „Die Spieler gehen mit einem besseren Verständnis dafür nach Hause, welche Schritte sie unternehmen sollten um ihr Unternehmen besser zu schützen“, erklärt PwC. Das Spiel ist seit seiner Veröffentlichung ausgesprochen erfolgreich. Das Beratungshaus zieht nun die Entwicklung weiterer Spiele in Betracht, die speziell für die Bereiche Finanzkriminalität und Krisenmanagement konzipiert sein sollen.

Das Unternehmen Beaumont Health Systems führte schon 2014 das spielbasierte Lernen ein, weil es seine Mitarbeiter besser einbinden wollte. „Unsere bisherigen Sicherheitsschulungen folgten eher dem Muster „Tod durch PowerPoint“, so Scott Larsen, Manager Cybersecurity Operations and Architecture bei Beaumont Health Systems gegenüber Mobi Health News. „Solche Schulungen sind wenig interaktiv, sehr steril und schlicht uninteressant für die Endbenutzer.“ Mit einer Kombination aus Gamification, interaktiven Inhalten und traditionellem Unterricht ist es Beaumont gelungen seine Cybersicherheitsschulungen effektiver zu gestalten. So stellte das Unternehmen beispielsweise fest, dass die Mitarbeiter nun deutlich proaktiver an das Thema Cybersicherheit herangehen.

Gamification wird aber auch eingesetzt, um geeignete Talente in einem äußerst wettbewerbsintensiven Markt zu rekrutieren. „Cyber Security Challenge“ veranstaltet jedes Jahr Wettbewerbe, um Kandidaten für den Bereich Cybersicherheit zu finden, zu testen und zu rekrutieren. „Herkömmliche Rekrutierungsmethoden aus anderen Branchen funktionieren in der Cybersicherheit einfach nicht “ erläutert Stephanie Daman, CEO von Cyber Security Challenge U.K. gegenüber Tech Crunch. „Es gibt jedoch ein auffälliges Muster, das Spieler und Personen mit signifikanten Skills für die Branche gemeinsam haben.“

Elemente einer erfolgreichen Gamification-Strategie

• Setzen Sie visuelle Hilfsmittel ein: Bilder und Videos helfen bei der schnellen Vermittlung der Inhalte und halten gleichzeitig die Mitarbeiter „bei der Stange“.
• Halten Sie Schulungen kurz und prägnant: Die effektivsten Schulungen sind kurz. Zehnminütige Sitzungen jeden zweiten Tag über 6 Wochen sind weitaus effektiver als eine einzige dreistündige Sitzung.
• Verbinden Sie Schulungen mit dem Spaß an der Sache: Spiele sollen Spaß machen. Leider wird das gerne vergessen, wenn man sich zu sehr auf die Entwicklung einer sorgfältig konzipierten Schulungsstrategie konzentriert.
• Schaffen Sie Anreize: Anreize und Belohnungen sind bei einem spielbasierten Ansatz mit die wichtigsten Elemente um die Nutzer zu motivieren.
• Verwenden Sie KI und maschinelles Lernen: Die Welt der Cybersicherheit entwickelt sich ständig weiter. Neuartige Hackerangriffe und ausgefeilte Ansätze bestimmen das Bild. Um mit Cyberkriminellen Schritt zu halten, unterstützen einige Unternehmen Cyberschulungen mit modernen Technologien wie KI und maschinelles Lernen.
• Wer ist mein Publikum? Um überhaupt ein Interesse zu wecken, ist es wichtig, ein Spiel zu entwerfen, das bei der Zielgruppe Anklang findet. Was mögen die Mitarbeiter, was motiviert sie und welche Geräte verwenden sie am häufigsten? Dieses Wissen bietet eine solide Grundlage, auf der Sie eine effektive Schulung aufbauen können.
• Schulungen, aber kontinuierlich: Schulungen sollten regelmäßig stattfinden und nicht auf eine einmalige Veranstaltung beschränkt sein. Wenn Sie den Fortschritt eines Mitarbeiters über ein Spiel nachvollziehen und ihn zu bestimmten Meilensteinen belohnen, trägt das mit dazu bei Mitarbeiter auch langfristig zu motivieren.

Gamification verändert die Art und Weise, wie Unternehmen über Cybersicherheitsschulungen nachdenken und sie umsetzen. Firmen (und Behörden) nutzen spielbasierte Ansätze nicht nur für interne Schulungen, sondern sogar als Anlass für „Bug-Bounty-Programme“. Diese Programme honorieren ethische Hacker und Security-Experten, wenn sie Schwachstellen im System finden und melden.

Die Bedeutung innovativer Lerntechniken für die Cybersicherheit ist nicht hoch genug zu bewerten. Es gilt Tausende offener Stellen im Bereich Cybersicherheit zu besetzen und Cyberkriminalität wirksam zu bekämpfen. Wer mehr wissen, sein Verständnis von Cybersicherheit und seine Skills verbessern will, für den eignen sich weiterführende theoretische Erörterungen. Der profundeste und effektivste Weg bleibt aber „Learning by doing“. Darum ist Gamification so effektiv.

*Michelle Moore ist akademische Direktorin und außerordentliche Professorin für das innovative Online-Programm „Master of Science in Cyber Security Operations and Leadership“ der Universität San Diego. Sie ist Wissenschaftlerin, Autorin und Analystin für Cyber-Sicherheitspolitik und verfügt über mehr als zwei Jahrzehnte Erfahrung als Expertin für Cybersicherheit im privaten und staatlichen Bereich.