Spielend sicher:
Gamification als Schlüssel zur nachhaltigen Cybersicherheit
Robert Lohmann, imc AG
(Titelbild: © AdobeStock | imc AG)
Kurz und Bündig
Cyberkriminalität bedroht Unternehmen weltweit. 90 Prozent der befragten Manager:innen betrachten Cybersicherheit als Top-Priorität. Prävention ist entscheidend, da Cyberangriffe enorme Kosten verursachen. Mitarbeitende spielen eine zentrale Rolle in der erfolgreichen Abwehr von Angriffen. Die häufigsten Angriffe sind Passwortdiebstahl, Phishing und Malware. Security Awareness-Trainings sind entscheidend, um das Bewusstsein zu schärfen. Eine Learning-Journey wie „Cyber Crime Time“ sensibilisiert und fördert das Verständnis für IT-Sicherheit. Regelmäßiges Training und Interaktion sind wichtig, um das Wissen zu festigen und das Verhalten zu ändern.
Die Anzahl der Cyberangriffe auf Unternehmen steigt stetig, wodurch der finanzielle Schaden dieser Angriffe ebenfalls konstant wächst. Es liegt im eigenen Interesse von Unternehmen sich dem Thema Cybersecurity zu widmen und eine Sensibilisierung ihrer Mitarbeitenden für dieses Thema zu schaffen. Mithilfe von Gamification werden Inhalte über Cybersicherheit nachhaltig vermittelt.
Cyberkriminalität ist eine der größten Bedrohungen für Unternehmen weltweit. Daher wird die Prävention in vielen Vorstandsetagen gerade zum Topthema. Dies belegt auch die aktuelle „CxO Priorities Studie“ der Horváth Unternehmensberatung: Von den 430 im Frühjahr 2023 befragten Manager-:innen aus 19 Ländern und mit einer Mehrheit aus Unternehmen mit mehr als einer Milliarde Umsatz gaben 59 Prozent an, das Thema sei äußerst wichtig, 31 Prozent stuften es als wichtig ein. Damit steht bei 90 Prozent der Befragten Cybersicherheit ganz oben auf der Prioritätenliste. Nur Personalthemen liegen in manchen Branchen knapp davor [1].
Die durch einen Cyberangriff und den damit einhergehenden Reputationsverlust entstehenden Kosten sind mitunter enorm. Schätzungen gehen weltweit von bis zu 10,5 Milliarden US Dollar bis 2025 aus [2]. Präventionsmaßnahmen sind somit unerlässlich.
Mitarbeitende sind der Schlüssel zur erfolgreichen Cyberabwehr
Eine sichere IT-Infrastruktur ist unverzichtbar für Organisationen jeglicher Art. Um eine ausreichende Basis zu schaffen, muss man bei allen Mitarbeitenden Aufmerksamkeit schaffen und das Bewusstsein für Cyberattacken schärfen, denn 95 Prozent der erfolgreichen Angriffe erfolgen über Mitarbeitende, also über den Menschen, nicht über Maschinen [3].
Mitarbeitende brauchen genügend Raum, um informiert zu bleiben und – viel wichtiger – sensibilisiert zu werden. Informationen können überall generiert werden, gerade in Zeiten des vermehrten Einsatzes Künstlicher Intelligenz. Die Herausforderung liegt in der Adaption der Informationen in den Alltag.
Wenn Gewohnheiten erst vorhanden sind, ist es schwierig, diese anzupassen. Der schnelle Klick auf einen Link in einer Nachricht, um zu schauen, was sich dahinter verbirgt, ohne darüber nachzudenken, birgt Gefahren. Das gilt es zu verhindern.
Nur wenn eine ausreichende Basis geschaffen ist, kann in einem Unternehmen eine erfolgreiche Cyberabwehr vollzogen werden. Nur wenn Maßnahmen vorgelebt und unterstützt werden, kann eine gemeinschaftliche Abwehr erfolgen.
Passwortdiebstahl, Phishing & Malware – die häufigsten Angriffe im letzten Jahr
Ein Viertel der in der aktuellen Bitkom Studie „Wirtschaftsschutz 2022“[4] befragten Unternehmen gab an, im Jahr 2022 Angriffe auf Passwörter erlebt zu haben, weitere 25 Prozent waren Opfer von Phishingattacken und nochmal 25% wurden mit Schadsoftware infiziert. Diese drei Methoden sind somit die Spitzenreiter der Angriffe auf Unternehmen. Distributed Denial of Service (DDoS) Attacken und Spoofing folgen in der Rangliste.
Übergreifend stellt die repräsentative Studie, bei der über 1000 deutsche Unternehmen befragt wurden, fest, dass sich Angriffe gegen Unternehmen in den digitalen Raum verlagern. Die Zahl der analogen Attacken wie Diebstahl von physischen Dokumenten, Mustern und dergleichen sank im Vergleich zum Vorjahr ebenso wie das Abhören von Telefonaten. Die Zahl der digitalen Angriffe beispielsweise auf IT- oder Telekommunikationsgeräte oder der Diebstahl von digitalen Daten hingegen stieg.
Egal, ob analog oder digital, der Trend, dass vermehrt die Daten Dritter im Visier der Kriminellen stehen, festigt sich. 2022 wurden bei 45 Prozent der betroffenen Unternehmen Kundendaten gestohlen. Eine besonders perfide Taktik, da so der Schaden eines Angriffs deutlich ausgeweitet wird. Entsprechend stieg die Sorge, dass Cyberattacken die geschäftliche Existenz bedrohen, massiv von 9 Prozent im Jahr 2021 auf 45 Prozent 2022 an.

Security Awareness: Zusammenspiel von Können, Wissen und Wollen
Anders als bei Trainings, die das Erlangen von Wissen oder den gezielten Aufbau von Kompetenzen zum Ziel haben, sollen Awarenesstrainings ein Bewusstsein schaffen, was langfristig zur Änderung des Verhaltens führt. Diese Themen müssen kontinuierlich geschult werden.
Training ist damit nicht mit einer Schulung gleichzusetzen. In der Fachliteratur wird daher bewusst zwischen dem Wissen und dem Wollen unterschieden. Die organisatorischen Rahmenbedingungen und das Können müssen in jedem Unternehmen individuell betrachtet und umgesetzt werden, da sie teils sehr spezifisch ausfallen können.
Die Vermittlung von Wissen über Cybersicherheit und die Förderung der Handlungsabsicht, dem Wollen, ähnelt sich hingegen oftmals und kann somit allgemeingültig angegangen werden [5]. An dieser Stelle können vorproduzierte Inhalte Unternehmen helfen, die Mitarbeitenden zu sensibilisieren und die Wissenslücken zum Thema IT-Sicherheit zu schließen.
Eine Learning-Journey als umfassende Awareness-Kampagne
Eine Awareness-Kampagne ist eine komplexe Lernreise, welche zum Ziel hat, die Lernenden für das Thema Cybersicherheit zu sensibilisieren. Aber nicht durch ein einzelnes Training, sondern durch eine komplette Kampagne, die dem Grundsatz folgt, die Kurve des Vergessens zu durchbrechen. Dies ist besonders wichtig, da Gelerntes am Anfang schnell wieder vergessen wird. Es sei denn, vier simple Grundsätze werden eingehalten:
1. Trainings müssen regelmäßig und in einem zeitlichen Abstand zueinander durchgeführt werden.
2. Die Inhalte müssen auf das Wesentliche reduziert sein, um den Fokus zu schärfen (und die Transaktionskosten = Zeit) gering zu halten.
3. Die Diversität wie auch der Grad an Interaktion innerhalb der einzelnen Module müssen so hoch wie möglich sein.
4. Die Alltagsnähe in der Themensetzung sollte bei den Lernenden angesiedelt sein.
Ein Beispiel für eine solche Lernreise ist Cyber Crime Time – The Learning Journey. Modular aufgebaut wird diese Lernreise vom Anbieter imc stetig erweitert und aktuell gehalten.
Lernende starten mit „Cyber Crime Time – The Game“ in die Lernreise, einem Modul, welches sich durch ein hohes Maß an Gamifizierung auszeichnet. Die User übernehmen die Rolle eines Hackers und greifen das fiktive Unternehmen Slurp, einen Hersteller von Energy-Drinks, an. In einer Reihe aufeinander aufbauender Attacken muss das geheime Slurp-Rezept beschafft und Geld erpresst werden. Durch Ausprobieren verschiedener Angriffsmethoden wird so IT-Sicherheit aus einer neuen Perspektive erlebt: Was setze ich als Angreifer wofür ein? Welche Dinge erleichtern mir das Vorgehen (zum Beispiel wenig komplexe Passwörter), und was macht mir das Leben als Angreifer schwerer (zum Beispiel sichere Passwörter und Zwei-Faktor-Authentifizierung)?
Diese Awarness Kampagne bildet spielerisch komplexe Sachverhalte aus der IT Security ab: Wie bauen verschiedene Angriffe aufeinander auf und werden beispielsweise die Daten, die mittels Phishings gewonnen wurden, für eine nächste Attacke verwendet? All dies findet in einer immersiven 3D-Welt statt. Spannendes Storytelling und ein durchgängig hochwertiges Design schaffen eine Lernwelt, die nicht nach Lernen aussieht und sich auch nicht so anfühlt.
In weiteren Modulen wie „Cyber Crime Time@Home“ wechseln die Lernenden die Perspektive und verteidigen ihren Heimarbeitsplatz gegen Angreifer. Durch das regelmäßige Wechseln der Sichtweisen und Rollen blickt man aus unterschiedlichen Perspektiven immer wieder neu auf das Thema IT-Sicherheit und die damit verbundenen Risiken. Neben dem Perspektivwechsel ändern sich auch Navigation und Darstellung der Inhalte. Die Lernenden navigieren durch ihre fiktive Wohnung zu Hause und sichern schrittweise mögliche Schwachstellen.
Im Cyber Crime Time Readiness Check werden das Wissen und die alltäglichen Verhaltensweisen der Lernenden erfasst, und ein individuelles Feedback zum Wissensstand wird ausgegeben. Der Phishing Detection Booster motiviert durch eine an Quizshows angelehnte Gestaltung und Spielprinzipien. In einem Seasonal Special, wie der „Cyber Crime Time – X-Mas Edition“, bringt nicht nur der Weihnachtsmann Geschenke zu Weihnachten, sondern auch Cyberkriminelle. Die Aufgabe der Lernenden ist es, diese unerwünschten Geschenke zu entschärfen und Weihnachten cybersicher zu machen.
Alle Bausteine der Cyber Cime Time Learning Journey sind zeit- und ortsunabhängig spielbar, da sie browserbasiert abrufbar sind.