Eine "Human Firewall" bilden

Cyberkriminelle nutzen jede Lücke in der IT-Sicherheit, um Netzwerke von Unternehmen zu kompromittieren. Mit Phishing-Mails und vorgelagertem "Social Engineering" umgehen Cyberkriminelle technische Schutzmechanismen, indem sie die Anwender und Anwenderinnen direkt ins Visier nehmen.

IT-Sicherheit: Menschliches Verhalten als größte Schwachstelle

Die Erfolgschancen individualisierter Angriffe sind höher als bei einem Massenangriff. Die Erklärung dafür: Menschliches Verhalten lässt sich durch unterschiedliche externe Trigger steuern. Sie lösen verschiedene Reaktionen aus, die Menschen im Laufe der Zeit gelernt haben. Die Kriminellen setzen dabei beispielsweise auf Gier, Neugier, Angst, Druck, Pflichtbewusstsein oder Hilfsbereitschaft.

Das typischste Beispiel für ein Social Engineering, das auf Gier setzt, ist die E-Mail, die einen Geldgewinn oder eine Erbschaft in Millionenhöhe verspricht. Es wird Druck erzeugt, indem die Absender dazu auffordern, innerhalb eines knappen Zeitfensters einen Link anzuklicken, um die Zugangsdaten für den Online-Banking-Account zu bestätigen. Der Link führt dann zu einer gefälschten Seite.

Security-Awareness-Trainings für alle Mitarbeitenden

Wie groß das Problem ist, zeigt eine aktuelle Studie von Proofpoint: 33 Prozent der Befragten wissen überhaupt nicht, was "Phishing" eigentlich ist. Also stellt sich die Frage, wie sich Menschen schützen können, wenn sie nichts von der drohenden Gefahr wissen. Hier sind Unternehmen gefragt, vorab Mechanismen zu implementieren, die den "Human Error" gar nicht erst zulassen. So können Unternehmen sich und ihre Mitarbeitenden mit Security-Awareness-Trainings gegen diese Angriffsmethoden wappnen.

Da es sich um ein unternehmenskritisches Thema handelt, betreffen diese Trainings alle Mitarbeitenden im Unternehmen. Alle müssen erreicht werden. Ein Rundbrief an die Angestellten, in dem die wichtigsten Anzeichen einer Phishing-Mail aufgezählt sind, führt aber nicht zu einer bewussten Reaktion auf einen Social-Engineering-Versuch. Denn allein die Information löst keine Verhaltensänderung aus. Präsenztrainings wiederum stoßen je nach Zahl der Mitarbeitenden häufig an ihre Grenzen im organisatorischen Aufwand. Webbasierte Trainings (kurz WBT) schaffen eine höhere Reichweite und sind auch wirtschaftlich nachhaltiger aufgrund der Wiederverwertbarkeit des Formats sowie ihrer Zeit- und Ortsunabhängigkeit.

E-Learning im Wandel der Zeit

Doch allein ein digitales Format einzusetzen, kann den Wunsch der Personalverantwortlichen nach nachhaltigem Lernen im Sinne einer tiefgreifenden Verhaltensänderung nicht erfüllen. Dafür muss das WBT die intrinsische Motivation des Lernenden wecken. Das ist ein Lernzustand, der durch Anreize, Spaß, Emotionalität und das Vermitteln eines Sinns im Tun generiert wird. All das gewährleisten beispielsweise spielerische Ansätze wie Serious Games.

Allerdings unterliegen auch E-Learnings einem stetigen Wandel. So gehören Videos und Multiple-Choice-Tests zwar immer noch zum Standardrepertoire vieler E-Learnings, jedoch hat sich das Lernverhalten in Zeiten einer immer stärker vernetzten, digitalen Welt in den vergangenen Jahren sehr verändert. Vor allem jüngere Menschen gehen gänzlich anders mit digitalen Medien um, was in diesem Sinne auch die Art und Weise betrifft, wie sie Informationen am liebsten aufnehmen oder verarbeiten.

Game-based Learning und Gamification in Kombination

Moderne digitale Trainings setzen darum verstärkt auf Gamification. Aber was genau heißt das? Reicht es, wenn eine Trainingsreihe schön gestaltet ist? Oder sind solche Schulungen primär interaktiv? Für die Antwort auf diese Frage ist es notwendig, zwei Begriffe voneinander abzugrenzen: "Gamification" und "Game-based Learning".

Der zentrale Unterschied zwischen Gamification und Game-based Learning liegt in der sogenannten Experience. Während Gamebased Learning eine Lernerfahrung mit vielen verschiedenen spielerischen Bestandteilen beschreibt, zielt Gamification auf die generelle Nutzung spielerischer Elemente ab. Und obwohl beide Begriffe per Definitionem etwas anderes meinen, sind die Gemeinsamkeiten dennoch offensichtlich: Game-based Learning schafft ein spielerisches Umfeld zum Lernen, Gamification versorgt dieses mit den spielerischen Elementen. Soweit lassen sich die beiden Begriffe also voneinander getrennt definieren und zusammenfügen. Schlussendlich macht das eine nur in Kombination mit dem anderen Sinn.

Lerntransfer maximieren

Game-based Learning zielt in seiner Grundausgestaltung darauf ab, den Lerntransfer eines Trainings zu maximieren, indem es den Lernenden durch einen hohen Interaktivitätsgrad aus seiner gelernten passiven Konsumhaltung herausholt. Ebenfalls wird durch die stark bildliche Darstellungsform und einer stringenten Erzählweise, Theorie beziehungsweise Inhalt an Bilder geknüpft. Schon Jerome Bruner hielt dabei fest, dass sich Bilder bis zu 20-mal stärker im Gedächtnis des Menschen verankern. Diesem Gedanken folgend, werden die Trainingsinhalte optimalerweise in einer eigenen Lernwelt, etwa in Form eines "Serious Games" angereichert mit einer Vielzahl von Gamification-Elementen (Schieberegler, Punktestand, Click-and-Reveal oder zeitgesteuerte Herausforderungen) dargestellt. Ein erzählerischer Rahmen in Form von "Storytelling" schafft eine dramaturgische Richtung und gleichsam positive Emotionen und motiviert die Lernenden.

Ein klar vorgegebenes Ziel sorgt für eine hohe intrinsische Motivation während des gesamten Trainings. Die Lernenden fokussieren die Inhalte und sind über die Dauer des Trainings hoch motiviert. Diese anhaltende Fokussierung heißt "Flow" – ein Zustand, in dem die Zeit zu verfliegen scheint. Um diesen Flow zu erreichen, muss ein Ziel vorhanden sein, welches die Lernenden aus der eigenen intrinsischen Motivation heraus erreichen wollen. Innerhalb eines Serious Games ist das leicht zu erreichen, da ein Spiel immer eine Geschichte und ein zu erreichendes Ziel hat. Menschen wollen ein Spiel bis zum Ende durchspielen – zumindest die allermeisten. Im Zustand des Flows werden die Lernenden weder übernoch unterfordert. Der Lerntransfer aus dieser intrinsischen Motivation heraus ist somit wiederum maximal.

Awareness-Trainings: spielerischer Ansatz sorgt für Perspektivwechsel

Gerade bei komplexeren Themen oder umfangreicheren Inhalten wie etwa IT-Sicherheit sind spielerische Ansätze hilfreich. So lässt sich der Lernerfolg etwa dadurch verbessern, dass Lernende einen Perspektivwechsel vornehmen müssen.

Wie dies in der Praxis aussehen kann, zeigt folgendes Beispiel eines interaktiven Spiels der G Data Academy: Oft mangelt es Angestellten an der Motivation, Awareness-Schulungen zu absolvieren, weil ihnen die Einsicht fehlt, dass sie selbst einem Phishing-Versuch zum Opfer fallen können. In unserem Computerspiel schlüpfen die Mitarbeitenden in die Rolle eines Detektivs. Als Experte oder Expertin für Cybercrime lösen sie den Fall einer Ransomware-Attacke auf ein fiktives Unternehmen. Dabei erleben sie, wie ein Angestellter einem Social-Engineering-Angriff zum Opfer gefallen und die Schadsoftware ins Netzwerk der Firma gelangt ist.

Die Rahmenhandlung ist also spannend angelegt und soll positive Emotionen erzeugen. Ein klar vorgegebenes Ziel erhöht die intrinsische Motivation während des gesamten Trainings und schafft eine Lerntransfermaximierung. Die Lernenden bleiben am Ball und verinnerlichen die Inhalte. Am Ende verstehen die Spieler und Spielerinnen, wie einfach Menschen einem Phishing-Versuch oder einer Social-Engineering-Attacke auf den Leim gehen.

Vorsorge treffen mit Security-Awareness-Trainings

Bleibt zum Schluss eigentlich nur noch die Frage: Lohnen sich Security-Awareness-Trainings, die mit großem Schulungsaufwand einhergehen? Die Antwort lässt sich aus einer Studie von Osterman Research ablesen: Die Marktforscher haben die Schadensummen von Cyberattacken mit Kosten für Awareness-Schulungen verglichen und den Return on Invest (ROI) berechnet. So erzielen Unternehmen mit bis zu 999 Angestellten einen ROI von 69 Prozent, während der ROI bei größeren Organisationen durchschnittlich 562 Prozent beträgt. Zudem gehen die Schadensummen von Cyberattacken – Lösegeldzahlung, Produktivitätsverlust und Wiederherstellungskosten – schnell in die Millionenhöhe. Wenn diese durch gut geschulte Mitarbeitende gar nicht erst verursacht werden, amortisieren sich die Kosten für Security-Awareness-Trainings schnell.

Dieser Artikel ist zuvor in der Zeitschrift wirtschaft + weiterbildung Ausgabe 11+12/2022 erschienen.

Das könnte Sie auch interessieren:

Was HR zur IT-Sicherheit beitragen kann

Sicherheit und Nachhaltigkeit stehen im Fokus der digitalen Transformation

Gamification in der Qualifizierung und darüber hinaus: Alles nur ein Spiel?