Sicherheitsbewusstsein

Die menschliche IT-Sicherheits-Firewall mit Gamification verbessern

Christian Laber, Head of eLearning Development, G DATA CyberDefenseBochum, August 2022 - (von Christian Laber, Head of eLearning Development bei G DATA CyberDefenseBei Fortbildungen setzen immer mehr Unternehmen auf eLearnings, um Mitarbeitenden neue Inhalte näherzubringen oder Themen zu vertiefen. Dabei steht zurzeit eine Frage im Vordergrund: Wie lernen Angestellte mit Freude und erinnern sich langfristig an das Gelernte? Die Lösung lautet: Gamification-Ansätze. Aber wie lässt sich spielen und lernen miteinander kombinieren?

Welche Erinnerungen haben Sie noch an ihre Schulzeit? An Freundschaften, die dort ihren Anfang genommen haben und Lehrer*innen mit Vorbildcharakter. Aber Themen wie "Episches Theater", "Spätantike" oder "Dielektrische Polarisation"? Viele meist mühsam erlernten Inhalte sind schnell wieder vergessen. Ein wesentlicher Grund dafür: Frontalunterricht.
Was in der Schulzeit undramatisch ist, weil die Themen häufig im weiteren Berufsleben eine untergeordnete Rolle spielen, hat im Berufsleben deutlich mehr Relevanz. Insbesondere dann, wenn es um Themen geht, die jeden Mitarbeitenden betreffen, beispielsweise rechtliche Vorgaben oder IT-Sicherheit.
Eine Studie des Deutschen Instituts für Wirtschaft kommt – wenig überraschend - zu dem Ergebnis, dass 80 Prozent aller Lehrveranstaltungen in Form von Seminaren und Trainings gemessen am nachhaltigen Lerntransfer scheitern. Obwohl die Veranstaltung von Teilnehmenden als "gut" bewertet wurde. Auf diesem Weg "vernichten" Firmen für Weiterbildungsveranstaltungen Kosten in Milliardenhöhe, weil Teilnehmerinnen und Teilnehmer nur wenig bis gar nichts dauerhaft gelernt haben.

Mitarbeitende: Die Human Firewall

Fachleute wissen, dass es kein hundertprozentiger technologischer Schutz vor Cyberangriffen existiert. So umgehen Phishing-Attacken Schutzmechanismen und nehmen Anwenderinnen und Anwender direkt ins Visier. Dass Phishing ein einfacher und beliebter Angriffsvektor für Cyberkriminelle ist, verunsichert auch viele Angestellten, wie eine Studie der Initiative Deutschland sicher im Netz e. V. belegt. Mehr als 56 Prozent der Befragten sind beim Öffnen einer eMail verunsichert. Gleichzeitig sprechen Cyberkriminelle ihre Opfer verstärkt direkt an. Denn die Erfolgschancen individualisierter Angriffe sind hier höher als bei einem Massenangriff.
Die Erklärung ist einfach: Menschliches Verhalten lässt sich auf unterschiedliche externe Trigger zurückführen. Diese lösen verschiedene Reaktionen aus, die Menschen im Laufe der Zeit gelernt haben. Die Kriminellen setzen dabei insbesondere auf Trigger wie beispielsweise Gier, Neugier, Angst, Druck, Pflichtbewusstsein, Hilfsbereitschaft und Gewohnheit. Oft werden diese auch miteinander kombiniert. Wir öffnen eine erhaltene eMail automatisch, um sie zu lesen. Dieses Verhalten nutzen Angreifer aus: Sie zielen direkt auf Gefühle. Sie sprechen zum Beispiel mit emotionalen Texten unsere Hilfsbereitschaft für Menschen in Not an, die dringend Unterstützung benötigen. Und so gering die Wahrscheinlichkeit auch ist, es könnte möglicherweise doch wahr sein. Weitere Auslöser sind Hilfsbereitschaft oder Gier. Wer hatte nicht schon eine eMail in seinem Postfach, die einen Geldgewinn oder eine Erbschaft in Millionenhöhe versprach?

Dabei ist ein Punkt von zentraler Bedeutung: Das Opfer trifft keine Schuld! Kriminelle verleiten es zu diesen Taten durch verschiedene psychologische Tricks. Die gute Nachricht: Unternehmen können sich und ihre Mitarbeitenden gegen diese fiesen Angriffsmethoden dank Security Awareness Trainings schützen. Keine technische Maßnahme, wie etwa eine Endpoint Security oder Firewall, kann vollumfänglich zum Beispiel Phishing-Angriffen abwehren. Es liegt an den Menschen und vor allem an ihrem Sicherheitsbewusstsein, solche Angriffsformen frühzeitig zu erkennen und zu verhindern.

Sicherheitsbewusstsein schulen – kurz und nachhaltig

Im Gegensatz zu Fortbildungen für einzelne Fachbereiche gilt für Security Awareness Trainings: Alle Mitarbeitenden sind ein potenzielles Opfer und müssen daher die Tricks der Angreifer kennen. Daher überrascht es nicht, wenn Personalverantwortliche auch aus wirtschaftlichen Gründen nachhaltiges Lernen für die gesamte Belegschaft einfordern. Aber wie lernen Menschen nachhaltig? Die Antwort lautet: durch intrinsische Motivation, also durch Anreize, durch Spaß, durch Emotionalität und durch das Vermitteln eines Sinns im Tun. All das gewährleisten beispielsweise spielerische Ansätze wie Serious Games.

Gleichzeitig fordern Personaler kurze Lerneinheiten: Denn Lernzeit ist schließlich Arbeitszeit. Die Lösung bieten eLearnings, die Teilnehmende zeit- und ortsabhängig absolvieren. Allerdings erfahren auch eLearnings einen Wandel. So gehören Videos, Multiple-Choice-Tests immer noch zum Standard, aber das Lernverhalten hat sich stark verändert, weil jüngere Menschen ganz anders mit digitalen Medien umgehen.

Bei der Frage um die Modernität digitaler Trainings fällt immer wieder der Begriff Gamification. Aber was genau heißt das? Reicht es, wenn eine Trainingsreihe schön gestaltet ist? Oder sind solche Schulungen äußerst interaktiv? Oder verbirgt sich dahinter der Gedanke, dass ein eLearning als "Game" aufgebaut ist? Für die Antwort auf diese Frage ist es notwendig, zwei Begriffe voneinander abzugrenzen: "Gamification" und "Game-based Learning".

Spielerische Lernansätze

Häufig meinen Menschen eigentlich "Game-based Learning", wenn sie von "Gamification" sprechen. Fachleute verstehen darunter den grundsätzlichen Ansatz, komplexe Sachverhalte mittels hochinteraktiver Formate wie beispielsweise Serious Games, Lernenden zu vermitteln. Anders gesagt: Game-based Learning überträgt teils trockenes und umfassendes Lernmaterial in ein spielerisches Format, welches zudem hoch interaktiv ist. Ein Serious Game befähigt lernende Menschen, durch Interaktionen verschiedenster Art komplexe Sachverhalte zu verstehen und nachhaltig zu lernen.

Demgegenüber beschreibt "Gamification" die Integration von spielerischen Elementen in ein bereits bestehendes Lernformat wie ein klassisches eLearning. Ein typisches Beispiel dafür ist etwa ein Belohnungssystem mit Punkten, die Teilnehmende sammeln können und so einen Platz in einer firmeninternen Rangliste belegen – bis hin zum Highscore. Auch Kundenbindungsprogramme wie Bonus-Programme mit zusätzlichen Rabatten nutzen das Gamification-Prinzip.

Der zentrale Unterschied zwischen Gamification und Game-based Learning liegt in der "Experience". Während Game-based Learning eine Lernerfahrung mit vielen verschiedenen spielerischen Bestandteilen beschreibt, zielt Gamification auf die spielerischen Elemente per se. Und obwohl beide Begriffe etwas anderes meinen, sind die Gemeinsamkeiten dennoch offensichtlich: Game-based Learning schafft ein spielerisches Umfeld zum Lernen, Gamification versorgt dieses mit den spielerischen Elementen. So weit lassen sich die beiden Begriffe also voneinander getrennt definieren und zusammenfügen. Schlussendlich macht das eine nur in Kombination mit dem anderen Sinn.

Motiviert lernen

Im Anschluss an diese grundsätzliche Begriffsklärung stellt sich nun folgende Frage: Welchen Zweck hat das? Game-based Learning zielt darauf ab, den Lerntransfer zu maximieren - also die Anwendbarkeit des Gelernten auf die Praxis. Die Trainingsinhalte werden in einer eigenen Lernwelt wie etwa einem Serious Game um Gamification-Elemente (Schieberegler, Punktestand, Click-and-Reveal oder zeitgesteuerte Herausforderungen) verstärkt.
Ein Rahmen mit Storytelling-Elementen schafft positive Emotionen und motiviert die Lernerinnen und Lerner. Ein klar vorgegebenes Ziel sorgt für eine hohe intrinsische Motivation während des gesamten Trainings. Die Lernenden fokussieren die Inhalte und sind über die Dauer des Trainings hoch motiviert. Dieser Zustand der anhaltenden Fokussierung heißt "Flow" - ein Zustand, in dem die Zeit zu verfliegen scheint. Um diesen Flow zu erreichen, muss ein Ziel vorhanden sein, welches die Lernenden aus der eigenen intrinsischen Motivation heraus erreichen wollen. Innerhalb eines Serious Games ist das leicht zu erreichen, da ein Spiel immer eine Geschichte und ein zu erreichendes Ziel hat. Menschen wollen ein Spiel bis zum Ende durchspielen, – zumindest die allermeisten. Im Zustand des Flows werden die Lernenden weder über- noch unterfordert. Der Lerntransfer aus dieser intrinsischen Motivation heraus ist dann wiederum maximal.

Gerade bei komplexeren Themen oder umfangreicheren Inhalten wie etwa IT-Sicherheit sind spielerische Ansätze hilfreich. Denn hier gibt viele wichtige Aspekte, die alle Anwenderinnen und Anwender kennen sollten, wie etwa Phishing Mails und Social Engineering. So lässt sich der Lernerfolg etwa dadurch verbessern, dass Lernende einen Perspektivwechsel vornehmen müssen. In der Rolle eines Spear-Phishers gilt es, eine möglichst perfekte Phishing-Mail zu schreiben, um vom Empfangenden nicht sofort enttarnt zu werden. Mit diesem Wissen gehen Angestellte künftig sorgsamer mit Mails um, die sie nicht sofort einordnen können.

Spielend lernen

Spielerische Lernformate im Game-based Learning schaffen ein emotional aufgeladenes Ziel für Lernende, welches sie erreichen wollen. Sei es der Fortschritt in einer Story, Spiel-Punkte oder Neugier auf den nächsten Level. Der Spielende verbindet Inhalt mit Bildern und gerät dabei optimalerweise in den Flow. Im Endergebnis wird der Lerntransfer maximiert. Gerade Games schaffen es, dass der Maxime "Lernzeit ist Arbeitszeit" folgend die "Arbeitszeit" so effizient wie nur möglich genutzt wird. Auf diesem Weg gelingt es auch die Human Firewall im Unternehmen zu stärken und Cyberattacken zu unterbinden.