Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Anzeige

SPIELEND SICHER : Mit Gamification zur Human Firewall : Wie der spielerische Ansatz die Security-Awareness fördert.

Gamification ist ein innovativer Ansatz, der spielerische Elemente in nicht spielerische Kontexte integriert, um das Nutzererlebnis und die Interaktion zu verbessern. Durch den Einsatz von Spielmechaniken wie Punkte, Ranglisten und Herausforderungen werden Motivation, Zusammenarbeit und Lernbereitschaft sowie Lernergebnisse gefördert.

Katrin SchummerAllgemein
Lesezeit 4 Min.
Das Wort Gamification erscheint auf einem Laptop

Von Katrin Schummer, Regional Director DACH, Hoxhunt

Wer lediglich auf Präsentationsfolien und andere klassische Schulungsverfahren setzt, die die Risiken durch Phishing beschreiben, wird die Erkennung und Abwehr von Angriffen nicht verbessern. Allein ein umfangreicheres Wissen über Phishing sorgt nicht dafür, dass die Beschäftigten im Ernstfall richtig reagieren. Aus dem Wissen um die Risiken muss ein Bewusstsein werden, damit die Gefahr sinkt, dass Mitarbeiterinnen und Mitarbeiter trotz vieler Vorträge über Phishing auf die Tricks der Cyberkriminellen hereinfallen. So wie die technische Sicherheit langfristig und nachhaltig gestärkt werden muss, ist das Ziel der Security-Awareness eine nachhaltige Veränderung des Bewusstseins für Cyber-Risiken. Aus dem Wissen über Phishing muss ein Können werden.

Innovative Lernmethoden sind die richtige Antwort auf „innovative“ und raffinierte Angriffsmethoden. Nicht nur die Angreifenden haben neue Wege, um die menschliche Psyche zu beeinflussen, auch die Abwehr muss neue Wege gehen und Trainingsmethoden für sich nutzen.

In vielen Bereichen hat sich heute die Erkenntnis durchgesetzt, dass Lernen spielerisch sein muss, um erfolgreich zu sein. So kann zum Beispiel die Motivation gesteigert werden, wenn das Lernen den Charakter eines Wettkampfes bekommt, in dem man sich beweisen kann und auch belohnt wird für gute Leistungen.
Gamification ist hier das Stichwort – und Security Awareness-Trainings profitieren sehr davon. Das gilt umso mehr, als solche Schulungen regelmäßig durchgeführt werden müssen und daher eine hohe Motivation und ein starker Antrieb erforderlich sind, damit die Beschäftigten „bei der Stange bleiben“.

Dr. Katherina Bernecker ist Verhaltenspsychologin und forscht an der Universität Zürich. Sie ist überzeugt, dass Gamification essenziell für IT-Trainings ist. „Ich war fasziniert von der Wirkung, die Spielelemente auf das Lernen oder die Leistung in kognitiven Aufgaben haben kann.“ Gamification lohnt sich bei Trainings, welche unter Umständen langwierig sind und bei denen andere Tätigkeits- und Zweckanreize fehlen. Security- oder Compliance-Trainings sind beispielsweise für Unternehmen von enorm hohem Wert, aber für den einzelnen Teilnehmer sind die Folgen doch relativ abstrakt und damit der Anreiz des aufmerksamen Lernens eher gering. Auch Trainings, bei denen freiwilliges Engagement wünschenswert wäre, könnten von Gamification profitieren, weil sie die Wahrscheinlichkeit erhöhen, dass sich die TeilnehmerInnen in höherem Maße freiwillig engagieren. Studien zeigen, dass Menschen freiwillig mehr lernen oder trainieren, wenn die Lernaufgaben gamifiziert sind.

Dashboard

Hoxhunt beim Schweizer Flugzeughersteller Pilatus

Vor Hoxhunt verwaltete das Luftfahrtunternehmen ein manuelles Awareness- und Phishing-Simulationsprogramm, das jedoch zu ressourcenintensiv war. Zwar gab es einen Button, mit dem man Phishing- und Spam-E-Mails melden konnte, jedoch hat es lediglich per E-Mail den Service-Desk informiert. Pilatus wollte mehr Service. Ein IT-Berater hat das Security-Awareness-Training von Hoxhunt aufgrund der folgenden Eigenschaften empfohlen:

  • automatisierte Phishing-Simulationsplattform, die minimale Ressourcen von der IT-Abteilung erfordert
  • Button zum Melden von Bedrohungen sowie den Link zum SOC-Team
  • herausragendes Customer-Success-Modell
  • positive und spaßbringende Nutzererfahrung

„Seit der Einführung der Hoxhunt Lösung sind Angestellte, IT und Führungsebene gleichermaßen glücklich mit dem Security-Trainingsprogramm“, erläutert Pascal Odermatt, Projektmanager ICT & Services bei Pilatus. Die Leute sprechen über Phishing-Simulationen in den Fluren und schicken ihm E-Mails, in denen sie wissen wollen, wie sie mehr Sterne ergattern können, um sich ihren Weg nach oben auf den Hoxhunt Leaderboards zu ebnen. Meldungen von Bedrohungen sind durch die Decke geschossen, sehr zu Odermatts Freude. Hoxhunt hat geholfen, eine dynamische Security-Kultur für das Unternehmen zu schaffen. Die Mitarbeiter wollen wissen, wie gut sie mit ihrer Phishing-Performance im Vergleich zu ihren Kollegen abschneiden, und schützen so das Unternehmen.

Diese allgemeine Begeisterung spiegelt sich in den Performance-Metriken und in Odermatts Posteingang wider. „Normalerweise hört man hier in der IT-Abteilung von den Nutzern nichts, solange alles normal funktioniert. Man hört nur von ihnen, wenn etwas nicht funktioniert. Daher war es komisch, andere Leute über Hoxhunt reden zu hören, und dass sie gute Dinge über Hoxhunt gesagt haben. Sie sagten: ‚Oh, hast du die Phishing-E-Mail gesehen?‘ Ich höre, wie Menschen sich im Restaurant darüber unterhalten“, sagt Odermatt.

Das Pilatus-Team war von folgenden Aspekten des Hoxhunt-Trainings besonders angetan:

  • Design: Es macht Spaß und ist einfach, mit dem Programm zu interagieren.
  • Leaderboards: Odermatt und seine Kollegen schätzen den gesunden Wettbewerb um ihre Cybersicherheitsleistung. Sie sprechen oft darüber, wie sie mehr Sterne bekommen und ihre Shield-Rankings verbessern können.
  • Hoxhunt Reporting Button: Das ist wahrscheinlich das mit Abstand wichtigste Feature. Der Button zum Melden von Bedrohungen ist einfach zu finden und zu benutzen, und tatsächliche Bedrohungen werden vom SOC-Team in Echtzeit analysiert und bearbeitet.
  • Outlook: Die nahtlose Outlook-Integration.
  • Simulationen: Sie sind gut gemacht und werden immer schwieriger, wodurch sie interessanter werden.

Die Ergebnisse bei Pilatus sind beeindruckend

Pilatus rühmt sich mit den mitunter beeindruckendsten Performance-Metriken, die Hoxhunt in Sachen Nutzerteilnahme- und Fehlerrate je verzeichnen konnten. Ihr perfekter Resilienz-Score von 100 – eine Organisationskennzahl für die Risikolage, die die Teilnehmerrate durch die Fehlerrate teilt – ist einmalig. Ein Ergebnis von 12 wird als zufriedenstellend bewertet, 16 ist exzellent, 20 und mehr ist extrem selten. 100 ist absolut herausragend und eine Leistung, die es anzustreben gilt. Darüber hinaus ist die Fehlerquote von anfänglich 12 % auf 0,85 % gesunken – ein unglaublicher Fortschritt!

  • Resilienz-Score: 100
  • 92,5 % Onboarding-Rate für das ganze Unternehmen
  • 85 % Teilnehmerrate für das ganze Unternehmen
  • 0,85 % Fehlerrate
  • Wesentliche Stärkung der Security-Kultur

Fazit

Insgesamt ist Gamification ein effektives Werkzeug, um Ihre Mitarbeitenden zu motivieren und deren Interaktion mit Inhalten und Aufgaben zu verbessern. So stärken Sie Ihre Human Firewall, denn wenn Lernen Spaß macht, sind die Trainings keine lastige Verpflichtung mehr.

Weitere Hoxhunt Referenzkunden (kleine Auswahl): Kärcher, EON, Victorinox.