Cybersicherheit: Gamification in Schulungen

Während Arbeitgeber oftmals für sich in Anspruch nehmen, wirksame Richtlinien aufgestellt zu haben, um Mitarbeitern beim Umgang mit Cyberbedrohungen zu unterstützen, sieht die Wirklichkeit anders aus. Einige Studien zeigen, dass bis zu zwei Drittel der Angriffe durch Fahrlässigkeit oder Fehlverhalten von Mitarbeitern verursacht werden. [...]

Unternehmen suchen nach Strategien um ihre Mitarbeiter für wirklich effektive Cybersicherheitschulungen zu begeistern und qualifizierte Kandidaten für Cybersicherheit zu rekrutieren. Eine dieser Strategien ist Gamification. (c) Fotolia
Unternehmen suchen nach Strategien um ihre Mitarbeiter für wirklich effektive Cybersicherheitschulungen zu begeistern und qualifizierte Kandidaten für Cybersicherheit zu rekrutieren. Eine dieser Strategien ist Gamification. (c) Fotolia

Laut einer aktuellen Untersuchung ist menschliches Versagen eine der drei Hauptursachen für Datenschutzverletzungen, nur noch übertroffen von böswilligen oder kriminellen Angriffen. Die überwiegende Mehrheit der Mitarbeiter will nicht wissentlich Schaden anrichten. Trotzdem passiert es – vielfach unbeabsichtigt: durch schlechte Passwortgewohnheiten, hemmungsloses Surfen im Internet oder durch Öffnen einer schädlichen E-Mail. Die Folge ist, dass Mitarbeiter (und damit auch das gesamte Unternehmen) leicht zu Opfern von Social Engineering- oder Phishing-Angriffen werden.

Während Arbeitgeber oftmals für sich in Anspruch nehmen, wirksame Richtlinien aufgestellt zu haben, um Mitarbeitern beim Umgang mit Cyberbedrohungen zu unterstützen, sieht die Wirklichkeit anders aus. Einige Studien zeigen, dass bis zu zwei Drittel der Angriffe durch Fahrlässigkeit oder Fehlverhalten von Mitarbeitern verursacht werden. Die Fälle von Cyberkriminalität steigen weiter an. Unternehmen und Regierungsbehörden suchen jetzt nach Wegen, um ihre Mitarbeiter für wirklich effektive Cybersicherheitschulungen zu begeistern – und qualifizierte Kandidaten für Cybersicherheit zu rekrutieren. Eine dieser Strategien ist Gamification.

Gamification in der Cybersicherheit?

Gamification verwendet Methoden und Denkweisen wie sie Spielen zugrunde liegen. Die Idee ist es, Benutzer zu Lösen von Problemen zu animieren und die Motivation durch Wettbewerb und potenzielle Belohnungsanreize zu steigern. Eine Reihe von Unternehmen setzt Gamification bereits beim Onboarding und zur Kundenbindung ein. Ganz offensichtlich hat Gamification auch seine Vorteile für unternehmensweite Cybersicherheitsschulungen.

Laut einer Studie von Pulse Learning schätzen sich 79 Prozent der Teilnehmer (sowohl Schulungsteilnehmer aus Unternehmen als auch Studenten) produktiver und motivierter ein, wenn die Lernumgebung eher einem Spiel gleicht. Laut dieser Studie steigert Gamification Motivation und Engagement, ebenso wie das Leistungsfeedback und die Produktivität.

Einsatzmöglichkeiten von Gamification für Cybersicherheitsschulungen

Price Waterhouse Cooper entwickelte sein „Game of Threats™“ vornehmlich damit Führungskräfte und Vorstände ihre Fähigkeiten im Bereich Cybersicherheit überprüfen und verbessern können. Im Kern ist „Game of Threats ist ein Spiel um kritische Entscheidungsprozesse, das adäquate Entscheidungen der Spieler belohnt und Teams sanktioniert, die schlechte Entscheidungen treffen. „Die Spieler gehen mit einem besseren Verständnis dafür nach Hause, welche Schritte sie unternehmen sollten um ihr Unternehmen besser zu schützen“, erklärt PwC. Das Spiel ist seit seiner Veröffentlichung ausgesprochen erfolgreich. Das Beratungshaus zieht nun die Entwicklung weiterer Spiele in Betracht, die speziell für die Bereiche Finanzkriminalität und Krisenmanagement konzipiert sein sollen.

Das Unternehmen Beaumont Health Systems führte schon 2014 das spielbasierte Lernen ein, weil es seine Mitarbeiter besser einbinden wollte. „Unsere bisherigen Sicherheitsschulungen folgten eher dem Muster „Tod durch PowerPoint“, so Scott Larsen, Manager Cybersecurity Operations and Architecture bei Beaumont Health Systems gegenüber Mobi Health News. „Solche Schulungen sind wenig interaktiv, sehr steril und schlicht uninteressant für die Endbenutzer.“ Mit einer Kombination aus Gamification, interaktiven Inhalten und traditionellem Unterricht ist es Beaumont gelungen seine Cybersicherheitsschulungen effektiver zu gestalten. So stellte das Unternehmen beispielsweise fest, dass die Mitarbeiter nun deutlich proaktiver an das Thema Cybersicherheit herangehen.

Gamification wird aber auch eingesetzt, um geeignete Talente in einem äußerst wettbewerbsintensiven Markt zu rekrutieren. „Cyber Security Challenge“ veranstaltet jedes Jahr Wettbewerbe, um Kandidaten für den Bereich Cybersicherheit zu finden, zu testen und zu rekrutieren. „Herkömmliche Rekrutierungsmethoden aus anderen Branchen funktionieren in der Cybersicherheit einfach nicht “ erläutert Stephanie Daman, CEO von Cyber Security Challenge U.K. gegenüber Tech Crunch. „Es gibt jedoch ein auffälliges Muster, das Spieler und Personen mit signifikanten Skills für die Branche gemeinsam haben.“

Elemente einer erfolgreichen Gamification-Strategie

  • Setzen Sie visuelle Hilfsmittel ein: Bilder und Videos helfen bei der schnellen Vermittlung der Inhalte und halten gleichzeitig die Mitarbeiter „bei der Stange“.
  • Halten Sie Schulungen kurz und prägnant: Die effektivsten Schulungen sind kurz. Zehnminütige Sitzungen jeden zweiten Tag über 6 Wochen sind weitaus effektiver als eine einzige dreistündige Sitzung.
  • Verbinden Sie Schulungen mit dem Spaß an der Sache: Spiele sollen Spaß machen. Leider wird das gerne vergessen, wenn man sich zu sehr auf die Entwicklung einer sorgfältig konzipierten Schulungsstrategie konzentriert.
  • Schaffen Sie Anreize: Anreize und Belohnungen sind bei einem spielbasierten Ansatz mit die wichtigsten Elemente um die Nutzer zu motivieren.
  • Verwenden Sie KI und maschinelles Lernen: Die Welt der Cybersicherheit entwickelt sich ständig weiter. Neuartige Hackerangriffe und ausgefeilte Ansätze bestimmen das Bild. Um mit Cyberkriminellen Schritt zu halten, unterstützen einige Unternehmen Cyberschulungen mit modernen Technologien wie KI und maschinelles Lernen.
  • Wer ist mein Publikum? Um überhaupt ein Interesse zu wecken, ist es wichtig, ein Spiel zu entwerfen, das bei der Zielgruppe Anklang findet. Was mögen die Mitarbeiter, was motiviert sie und welche Geräte verwenden sie am häufigsten? Dieses Wissen bietet eine solide Grundlage, auf der Sie eine effektive Schulung aufbauen können.
  • Schulungen, aber kontinuierlich: Schulungen sollten regelmäßig stattfinden und nicht auf eine einmalige Veranstaltung beschränkt sein. Wenn Sie den Fortschritt eines Mitarbeiters über ein Spiel nachvollziehen und ihn zu bestimmten Meilensteinen belohnen, trägt das mit dazu bei Mitarbeiter auch langfristig zu motivieren.

Gamification verändert die Art und Weise, wie Unternehmen über Cybersicherheitsschulungen nachdenken und sie umsetzen. Firmen (und Behörden) nutzen spielbasierte Ansätze nicht nur für interne Schulungen, sondern sogar als Anlass für „Bug-Bounty-Programme“. Diese Programme honorieren ethische Hacker und Security-Experten, wenn sie Schwachstellen im System finden und melden.

Die Bedeutung innovativer Lerntechniken für die Cybersicherheit ist nicht hoch genug zu bewerten. Es gilt Tausende offener Stellen im Bereich Cybersicherheit zu besetzen und Cyberkriminalität wirksam zu bekämpfen. Wer mehr wissen, sein Verständnis von Cybersicherheit und seine Skills verbessern will, für den eignen sich weiterführende theoretische Erörterungen. Der profundeste und effektivste Weg bleibt aber „Learning by doing“. Darum ist Gamification so effektiv.

*Michelle Moore ist akademische Direktorin und außerordentliche Professorin für das innovative Online-Programm „Master of Science in Cyber Security Operations and Leadership“ der Universität San Diego. Sie ist Wissenschaftlerin, Autorin und Analystin für Cyber-Sicherheitspolitik und verfügt über mehr als zwei Jahrzehnte Erfahrung als Expertin für Cybersicherheit im privaten und staatlichen Bereich.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

1 Comment

  1. Ich finde es sehr wichtig meine Mitarbeiter im Bereich Digitalisierung und Sicherheit zu schulen. Schicke jedes Jahr mehrere Kollegen auf Kongresse von Akademie3 und die Weiterbildungen werden sehr gut aufgenommen. So haben die Mitarbeiter auch selbst herausgefunden was wichtig ist und worauf sie aufpassen müssen. Einige Kollegen sind auch schon auf mich zugekommen und haben mir einige Punkte aufgezeigt, wo es vielleicht noch Nachbesserungen braucht. Ist auch sehr gut wenn man da andere Blickwinkel bekommt, selbst ist man dann doch hin und wieder betriebsblind.

Leave a Reply

Your email address will not be published.


*