Suchen

Cybersecurity

Gamification in IT-Sicherheits-Schulungen: Bringt das was?

| Autor/ Redakteur: Michelle Moore / Jürgen Schreier

Studien zeigen, dass viele Cyberangriffe durch Fahrlässigkeit oder Fehlverhalten von Mitarbeitern zum "Erfolg" führen. Allerdings lässt sich das Thema Cybersecurity mit herkömmlichen Schulungen nur schwer vermitteln. Ein Alternative könnte Gamification - also spielbasiertes Lernen - sein. Der Artikel gibt Tipps für eine zielführende Gamification-Strategie.

Firma zum Thema

Der profundeste und effektivste Weg, die Skills zu verbessern, bleibt „Learning by doing“. Darum ist Gamification so effektiv.
Der profundeste und effektivste Weg, die Skills zu verbessern, bleibt „Learning by doing“. Darum ist Gamification so effektiv.
( Bild: gemeinfrei / Pixabay )

Laut einer aktuellen Untersuchung ist menschliches Versagen eine der drei Hauptursachen für Datenschutzverletzungen, nur noch übertroffen von böswilligen oder kriminellen Angriffen. Die überwiegende Mehrheit der Mitarbeiter will nicht wissentlich Schaden anrichten. Trotzdem passiert es – vielfach unbeabsichtigt: durch schlechte Passwortgewohnheiten, hemmungsloses Surfen im Internet oder durch Öffnen einer schädlichen E-Mail. Die Folge ist, dass Mitarbeiter (und damit auch das gesamte Unternehmen) leicht zu Opfern von Social Engineering- oder Phishing-Angriffen werden.

Während Arbeitgeber oftmals für sich in Anspruch nehmen, wirksame Richtlinien aufgestellt zu haben, um Mitarbeitern beim Umgang mit Cyberbedrohungen zu unterstützen, die Wirklichkeit sieht anders aus. Einige Studien zeigen, dass bis zu zwei Drittel der Angriffe durch Fahrlässigkeit oder Fehlverhalten von Mitarbeitern verursacht werden. Die Fälle von Cyberkriminalität steigen weiter an. Unternehmen und Regierungsbehörden suchen jetzt nach Wegen, um ihre Mitarbeiter für wirklich effektive Cybersicherheitschulungen zu begeistern - und qualifizierte Kandidaten für Cybersicherheit zu rekrutieren. Eine dieser Strategien ist Gamification.

„Game of Threats“ adressiert Führungskräfte

Gamification verwendet Methoden und Denkweisen wie sie Spielen zugrunde liegen. Die Idee ist es, Benutzer zu Lösen von Problemen zu animieren und die Motivation durch Wettbewerb und potenzielle Belohnungsanreize zu steigern. Eine Reihe von Unternehmen setzt Gamification bereits beim Onboarding und zur Kundenbindung ein. Ganz offensichtlich hat Gamification auch seine Vorteile für unternehmensweite Cybersicherheitsschulungen.

Nach einer Studie von Pulse Learning schätzen sich 79 Prozent der Teilnehmer (sowohl Schulungsteilnehmer aus Unternehmen als auch Studenten) produktiver und motivierter ein, wenn die Lernumgebung eher einem Spiel gleicht. Laut dieser Studie steigert Gamification Motivation und Engagement, ebenso wie das Leistungsfeedback und die Produktivität.

Price Waterhouse Cooper entwickelte sein „Game of Threats“ vornehmlich damit Führungskräfte und Vorstände ihre Fähigkeiten im Bereich Cybersicherheit überprüfen und verbessern können. Im Kern ist „Game of Threats ist ein Spiel um kritische Entscheidungsprozesse, das adäquate Entscheidungen der Spieler belohnt und Teams sanktioniert, die schlechte Entscheidungen treffen. „Die Spieler gehen mit einem besseren Verständnis dafür nach Hause, welche Schritte sie unternehmen sollten um ihr Unternehmen besser zu schützen“, erklärt PwC.

Das Spiel ist seit seiner Veröffentlichung ausgesprochen erfolgreich. Das Beratungshaus zieht nun die Entwicklung weiterer Spiele in Betracht, die speziell für die Bereiche Finanzkriminalität und Krisenmanagement konzipiert sein sollen.

Gamen statt steriler Wissensvermittlung

Das Unternehmen Beaumont Health Systems führte schon 2014 das spielbasierte Lernen ein, weil es seine Mitarbeiter besser einbinden wollte. „Unsere bisherigen Sicherheitsschulungen folgten eher dem Muster „Tod durch PowerPoint", so Scott Larsen, Manager Cybersecurity Operations and Architecture bei Beaumont Health Systems gegenüber Mobi Health News. „Solche Schulungen sind wenig interaktiv, sehr steril und schlicht uninteressant für die Endbenutzer.“

Mit einer Kombination aus Gamification, interaktiven Inhalten und traditionellem Unterricht ist es Beaumont gelungen seine Cybersicherheitsschulungen effektiver zu gestalten. So stellte das Unternehmen beispielsweise fest, dass die Mitarbeiter nun deutlich proaktiver an das Thema Cybersicherheit herangehen.

Gamification wird aber auch eingesetzt, um geeignete Talente in einem äußerst wettbewerbsintensiven Markt zu rekrutieren. „Cyber Security Challenge“ veranstaltet jedes Jahr Wettbewerbe, um Kandidaten für den Bereich Cybersicherheit zu finden, zu testen und zu rekrutieren. „Herkömmliche Rekrutierungsmethoden aus anderen Branchen funktionieren in der Cybersicherheit einfach nicht “ erläutert Stephanie Daman, CEO von Cyber Security Challenge U.K. gegenüber Tech Crunch. "Es gibt jedoch ein auffälliges Muster, das Spieler und Personen mit signifikanten Skills für die Branche gemeinsam haben."

Elemente einer erfolgreichen Gamification-Strategie

Unternehmen, die Gamification in ihre Schulungen einbinden wollen, sollten wissen, was eine erfolgreiche spielbasierte Schulung ausmacht:

  • Setzen Sie visuelle Hilfsmittel ein: Bilder und Videos helfen bei der schnellen Vermittlung der Inhalte und halten gleichzeitig die Mitarbeiter „bei der Stange“.
  • Halten Sie Schulungen kurz und prägnant: Die effektivsten Schulungen sind kurz. Zehnminütige Sitzungen jeden zweiten Tag über 6 Wochen sind weitaus effektiver als eine einzige dreistündige Sitzung.
  • Verbinden Sie Schulungen mit dem Spaß an der Sache: Spiele sollen Spaß machen. Leider wird das gerne vergessen, wenn man sich zu sehr auf die Entwicklung einer sorgfältig konzipierten Schulungsstrategie konzentriert.
  • Schaffen Sie Anreize: Anreize und Belohnungen sind bei einem spielbasierten Ansatz mit die wichtigsten Elemente um die Nutzer zu motivieren.
  • Verwenden Sie KI und maschinelles Lernen: Die Welt der Cybersicherheit entwickelt sich ständig weiter. Neuartige Hackerangriffe und ausgefeilte Ansätze bestimmen das
  • Wer ist mein Publikum? Um überhaupt ein Interesse zu wecken, ist es wichtig, ein Spiel zu entwerfen, das bei der Zielgruppe Anklang findet. Was mögen die Mitarbeiter, was motiviert sie und welche Geräte verwenden sie am häufigsten? Dieses Wissen bietet eine solide Grundlage, auf der Sie eine effektive Schulung aufbauen können.
  • Schulungen, aber kontinuierlich: Schulungen sollten regelmäßig stattfinden und nicht auf eine einmalige Veranstaltung beschränkt sein. Wenn Sie den Fortschritt eines Mitarbeiters über ein Spiel nachvollziehen und ihn zu bestimmten Meilensteinen belohnen, trägt das mit dazu bei Mitarbeiter auch langfristig zu motivieren.

Gamification verändert die Art und Weise, wie Unternehmen über Cybersicherheitsschulungen nachdenken und sie umsetzen. Firmen (und Behörden) nutzen spielbasierte Ansätze nicht nur für interne Schulungen, sondern sogar als Anlass für "Bug-Bounty-Programme". Diese Programme honorieren ethische Hacker und Security-Experten, wenn sie Schwachstellen im System finden und melden.

Am besten funktioniert "Learning by doing"

TNW berichtete vor längerem über “eines der interessantesten Bug-Bounty-Programme bei Uber. Wettbewerbe und Gaming Touches dienten dazu, die besten Experten bei der Stange zu halten. Teilnehmer konnten bis zu 10.000 USD mit der Entdeckung kritischer Bugs verdienen."

Die Bedeutung innovativer Lerntechniken für die Cybersicherheit ist nicht hoch genug zu bewerten. Es gilt Tausende offener Stellen im Bereich Cybersicherheit zu besetzen und Cyberkriminalität wirksam zu bekämpfen. Wer mehr wissen, sein Verständnis von Cybersicherheit und seine Skills verbessern will, für den eignen sich weiterführende theoretische Erörterungen. Der profundeste und effektivste Weg bleibt aber „Learning by doing“. Darum ist Gamification so effektiv.

Über die Autorin

Michelle Moore, Ph.D., ist akademische Direktorin und außerordentliche Professorin für das Online-Programm "Master of Science in Cyber Security Operations and Leadership" der Universität San Diego. Sie ist Wissenschaftlerin, Autorin und Analystin für Cyber-Sicherheitspolitik und verfügt über mehr als zwei Jahrzehnte Erfahrung als Expertin für Cybersicherheit im privaten und staatlichen Bereich..

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45908277)