Nicht zuletzt aufgrund der Tatsache, dass die Mitarbeitenden als initialer Angriffsvektor zunehmend in das Visier von Cyberkriminellen rücken, wird der Aufbau von Resilienz – der Fähigkeit, Angriffen vorzubeugen, beziehungsweise ihnen standzuhalten und sich von ihnen zu erholen – zu einem entscheidenden Teil der Sicherheitsstrategie von Unternehmen. [...]
John Blythe, Director of Workforce Psychology bei Immersive Labs, erläutert, warum gamifizierte Trainingsmethoden dafür aus psychologischer Sicht am besten geeignet sind.
Neun von zehn deutschen Unternehmen sind, einer Studie des Digitalverbands Bitkom zufolge, im vergangenen Jahr Opfer von Datendiebstahl, Spionage oder Sabotage geworden. Der Wirtschaft ist damit ein jährlicher Schaden von rund 203 Milliarden Euro entstanden.
Insbesondere Angriffe auf Passwörter, Phishing und die Infizierung mit Schadsoftware haben in den Unternehmen Schäden verursacht.
Der Faktor Mensch spielt dabei eine immer größere Rolle: Passwortmüdigkeit, ein unachtsamer Klick auf eine schädliche E-Mail oder das unbedachte Herunterladen externer Apps und Dateien führen dazu, dass Mitarbeitende und damit Unternehmen Opfer schwerwiegender Cyberangriffe werden.
Eine gute Sicherheitsstrategie setzt deshalb nicht mehr nur auf technische Vorkehrungen, sondern zielt auf die Aktivierung der Mitarbeitenden als erste Verteidigungslinie ab. Effektive Cybersicherheitstrainings, die begeistern, sind jedoch Mangelware.
Da traditionelle Trainingsmethoden mit der sich ständig verändernden Bedrohungslandschaft kaum Schritt halten können, sind neue Ansätze gefragt. Einer davon ist Gamifizierung.
Spieltypische Elemente in spielfremden Bereichen
Gamifizierung basiert auf Methoden und Denkweisen, die denen von klassischen Spielen zugrunde liegen. Der Einsatz spieltypischer Elemente – wie zum Beispiel Levelaufstieg und Ranglisten, aber auch Storytelling – in spielfremden Bereichen soll motivieren, sich gesteckten Zielen mit mehr Engagement zu widmen und auch die Nutzerbindung stärken.
Geht es um das Thema Cybersicherheit, mag es für die Mitarbeitenden bisweilen wenig animierend sein, trockene Präsentationen über sich ergehen zu lassen und lange Prozeduren zu durchlaufen, um komplexe technische Zusammenhänge zu erschließen.
Neugier wecken statt Zwänge erzeugen – das ist der Grundgedanke hinter gamifizierten Trainingsmethoden im Bereich der Cybersicherheit. Dabei greifen diese auch auf psychologische Mechanismen zurück: Cybersicherheitstrainings, die mit Belohnungen – einem Punktesystem oder unmittelbarem positivem Feedback – arbeiten, stimulieren beispielsweise das Belohnungssystem im Gehirn und motivieren die Mitarbeitenden so, gesteckte Ziele zu erreichen, beziehungsweise bestimmte Handlungen zu wiederholen, um Gefühle wie Zufriedenheit und Freude erneut herbeizuführen.
Mit Gamifizierung zu intrinsischer Motivation
Der Grund, warum traditionelle Cybersicherheitstrainings nicht die gewünschte Wirkung erzielen, ist, dass sie sich in den meisten Fällen auf die Sensibilisierung der Mitarbeitenden fokussieren, was jedoch nur selten zu einer tatsächlichen Verhaltensänderung führt, da die Motivationsbarrieren bleiben.
In puncto nachhaltiger Lernerfolg und Kompetenzaufbau allerdings ist Motivation ein wesentlicher Faktor, insbesondere die intrinsische Motivation. Denn hierbei werden Menschen durch Interesse und Freude angetrieben, sind ambitioniert und selbstbestimmt, und empfinden eine Befriedigung in der Tätigkeit, die sie an sich bereits als Belohnung betrachten.
Aus psychologischer Sicht ist für die Erzeugung von intrinsischer Motivation die Befriedigung dreier Bedürfnisse von zentraler Bedeutung:
- Kompetenz
- Hier geht es um den Glauben daran, bestimmte Aufgaben bewältigen zu können. Etwa mittels Herausforderungen unterschiedlicher Schwierigkeitsgrade rund um die neuesten Bedrohungen, die Lernende motivieren, in simulierten Szenarien kreative Problemlösungen zu finden. Diese Szenarien können das gesamte Spektrum der Cybersicherheit in Unternehmen abdecken – vom allgemeinen Sicherheitsbewusstsein bis hin zu komplexen offensiven und defensiven Fähigkeiten. Das Setzen einzelner Meilensteine und anspruchsvoller Ziele spielt dabei eine tragende Rolle, denn es trägt dazu bei, das Selbstvertrauen zu stärken und die Zufriedenheit zu erhöhen. Die Visualisierung des Fortschritts und ein Entwicklungsprozess, der durch regelmäßiges Feedback begleitet wird, motivieren dazu, dranzubleiben und sich kontinuierlich zu steigern.
- Gemeinschaftsgefühl
- Zusammenarbeit und Wettbewerb schaffen Verbundenheit und fördern die Motivation, Aufgaben oder Krisensimulationen im Team zu bewältigen. Gleichzeitig entsteht durch Wettbewerb ein sozialer Druck, der das Engagement steigert, sich weiter Wissen anzueignen. Der Vergleich mit anderen kann auch die gegenseitige Unterstützung und Zusammenarbeit fördern und damit die soziale Bindung innerhalb der Teams weiter stärken.
- Autonomie
- Unabhängig davon, ob sich Mitarbeitende dafür entscheiden, einen bestimmten Karriereweg einzuschlagen, sich einer technischen Herausforderung zu stellen oder sich in bestimmten Sicherheitsbereichen weiterzubilden, ist Autonomie der Schlüssel zu positiven Lernergebnissen. Den Menschen die Kontrolle über ihre eigenen Erfahrungen zu geben, ist eine entscheidende Komponente des selbstgesteuerten Lernens. Durch die Wahlmöglichkeit sind sie in der Lage, Prioritäten zu setzen und auszuwählen, welche Lernbereiche für sie am wichtigsten sind. Dies hilft dabei, ihre Stärken und Schwächen im Bereich Cybersicherheit zu erkennen – ein wichtiger Schritt beim reflektierten Lernen sowie beim Kompetenzaufbau.
Indem sie diese drei Bedürfnisse abdecken, erzeugen gamifizierte Cybersicherheitstrainings bei den Mitarbeitenden eine positive Lernerfahrung, die Lust macht auf mehr, und die intrinsische Motivation, ihre Fähigkeiten kontinuierlich zu verbessern, um neue Herausforderungen zu bewältigen – die Grundlagen für nachhaltigen Lernerfolg und den Aufbau von Resilienz gegenüber aktuellen und neu aufkommenden Cyberbedrohungen aufseiten von Mitarbeitern und Teams, und letztendlich des gesamten Unternehmens.
Fazit
Das Angebot an Cybersicherheitstrainings ist reichhaltig. Jedoch resultieren traditionelle Ansätze zumeist in einer spröden Lernerfahrung, die in Vergessenheit gerät, sobald sie abgeschlossen wurde, und sind darüber hinaus zu unflexibel, um mit der sich ständig verändernden Bedrohungslandschaft Schritt zu halten.
Nachhaltige Trainings- und Weiterbildungsansätze hingegen setzen auf gamifizierte Inhalte, die die Mitarbeitenden intrinsisch motivieren und ihnen die Möglichkeit geben, ihre Fähigkeiten in dynamischen, praxisbezogenen Szenarien selbstbestimmt auszuloten und ihre Kompetenzen durch kontinuierliches Training und Feedback zu verbessern.
Be the first to comment