Spiel Dich sicher! : Gamification: Awareness, you can touch and feel!
Spielen ist Lernen – buchstäblich von Kindesbeinen an. Dieses Prinzip lässt sich auch für die oft ungeliebte Security nutzen: Denkweisen und Elemente des Spielens in diesem spielfremden Kontext einzusetzen, hilft dabei, die „Mit-Spieler“ zu involvieren und nachhaltige Erfolge zu erzielen.
Von Dietmar Pokoyski, Köln
Es ist noch gar nicht so lange her, dass man in der Informationssicherheitsbranche von etlichen Entscheidern belächelt wurde, wenn spielerische Ansätze zur Mitarbeiter-Sensibilisierung zum Einsatz kommen sollten. Als beispielsweise known_sense 2004 mit dem „Virusquartett“ eines der vermutlich ersten AwarenessEdutainment-Tools publizierte, war dies zunächst einem feucht-fröhlichen Biertischgespräch nach einer Fachkonferenz mit netten Kollegen und einer Vielzahl schräger Ideen geschuldet. Dass ein Security-Event „Sexy Security“ heißen (s. a. S. 58) und einen Gamification-Schwerpunkt präsentieren könnte, erschien damals nahezu undenkbar.
Heute sind „Serious Games“ (siehe auch [1]) tatsächlich auch im Sicherheitsbereich weitgehend akzeptiert – man muss sich inzwischen selbst auf Managementebene nur noch selten für die „potenzielle Zeitverschwendung“ entschuldigen. Dies liegt sicher nicht nur daran, dass securityfremde Bereiche wie „Human Resources“ (HR) oder Kommunikation verschiedenste Spielprinzipien erfolgreich integriert haben. Darüber hinaus hat sich einerseits die Security-Personalstruktur deutlich verjüngt und andererseits ließen sich cyberkriminelle „Erfolgsstrategien“ wie CEO-Fraud oder Ransomware weder durch technische Tools noch den Einsatz rein kognitiver Trainingsmaßnahmen verhindern (vgl. S. 51).
Wie auch? Punktuelle Kontakte (z. B. Sensibilisierung über Lerntheorie, also Wissensvermittlung) oder eine ausschließliche Emotionalisierung durch Marketingmaßnahmen sind zwar nachweislich wirksam, aber nicht ausreichend, um tatsächlich nachhaltige Awareness zu erzeugen. Vielmehr braucht auch Security-Awareness die Faktoren Beziehung, Bindung, Diskurse, Entwicklung – sprich: Elemente der sogenannten systemischen Kommunikation, die zum Ziel hat, die Kommunikation mit sich selbst und anderen respektvoll und zielgerichtet zu verbessern. Sensibilisierungsmaßnahmen auf systemischer Basis setzen daher auf eine Wechselbeziehung, die sich permanent verändert, statt auf ein statisches und oberflächliches Ursachen-Wirkungs-Prinzip. Es geht dabei also um Auseinandersetzung, das Sprechen miteinander, die Bildung von Gemeinschaft, ein gemeinsames Werk und das Ausleben eigener Wirkungs-Macht mithilfe von „Verbündeten“.
Ohne diesen Königsweg der Sensibilisierung erscheinen sowohl der eigentliche Know-how-Transfer als auch Werbung „pro Security“ seltsam blass und unbelebt. Wie aber kann man klassische Aktivitäten von Lerntheorie und Marketing, die unzweifelhaft eine gute Basis bilden, „aufladen“, um Awareness besser und nachhaltig zu gestalten? Eine Möglichkeit dafür sind Spielprinzipien. Gartner und weitere „Innovation-Player“ predigen seit mehr als einem halben Jahrzehnt das Thema Gamification als wichtigsten Enabler von Veränderungsprozessen in Organisationen.
Gamification
Da „Gamification“ mitunter im falschen Kontext gebraucht wird, lohnt sich der Blick auf eine weitgehend akzeptierte Definition: Demnach versteht man unter „Gamification“ die Anwendung spieltypischer Elemente – etwa Spieledesignprinzipien, -designdenken und -mechaniken – in einem spielfremden Kontext. Ursprünglich stammt die Grundidee aus dem Marketing, um Spiele als Kundenbindungsinstrument einzusetzen: Aus Kunden wurden dadurch Spieler, aus Sicht der Marke eben auch „Mit-Spieler“.
Die Idee, Spiele für Werbung oder zu Lernzwecken zu nutzen, ist beileibe nicht neu: Bereits im Begriff „Homo ludens“, der schon Ende der 1930er-Jahre bekannt wurde, steckt ein Erklärungsmodell, wonach der Mensch seine Fähigkeiten vor allem über das Spiel entwickelt. Er entdeckt im Spiel seine individuellen Eigenschaften und wird über die dabei gemachten Erfahrungen zu der in ihm angelegten Persönlichkeit.
Spielen wird dabei oft mit Handlungsfreiheit gleichgesetzt: Indem man einem Spieler über Regeln Fehler zugesteht, wird beinahe jedes Spiel auch zu einer Simulation von Wirklichkeit (bzw. Fehleranfälligkeit). Durch das Interesse von Menschen, sich an Spielen zu beteiligen und auf diese Weise Tätigkeiten zu verrichten, die in der Regel entweder als zu komplex oder langweilig betrachtet werden, lassen sich (unter anderem) sowohl Reifung – und in der Konsequenz Selbständigkeit / Entscheidungsfreiheit – als auch Bindung und Beziehung erzeugen.
Diese Möglichkeiten zur Modellierung von Wirklichkeit hat man bereits vor vielen Jahren auch in Organisationen erkannt und auf spielerische Prinzipien gesetzt, um Systeme, Prozesse oder Komplexität einzuführen, umzuwandeln oder zu betreiben – oder aber, um zur Wissens- und Erfahrungsvermittlung, Emotionalisierung, Interaktion und Motivation beizutragen und Problemlöser oder Involvierer einzusetzen. Unterm Strich dient Gamification als ein empathiebasierter, diskursiver Ansatz dazu, erwünschte Verhaltensweisen anzunehmen und eine Wertschöpfung für alle Beteiligten zu erreichen.
Mögliche Einsatzkanäle von Spielmechaniken hinsichtlich der Mitarbeiter-Sensibilisierung sind unter anderem:
- „analog“: Trainings, Workshops, Events, Marktplätze, Projektbegleitung et cetera
- digital: E-Learning, Anwendungen im Intranet oder mobil (z. B. unterwegs oder für Wartesituationen), soziale Netzwerke et cetera
- begleitend: sämtliche bekannte Marketing-Aktivitäten (Poster, Badges, Videos etc.)
Alltägliches Spiel(en)
Spiele sind ein Chamäleon: Spielprinzipien sind im Alltag häufig „unsichtbar“ dabei. Im Zusammenhang mit Akzeptanz und Nutzungsfrequenz dürfte (gerade auch für Skeptiker) besonders interessant sein, dass uns die Teilhabe an spielerischen Ansätzen offensichtlich nicht permanent bewusst ist – so sehr sind sie Teil unserer alltäglichen Routine. Anders gesagt, sind wir im Grunde ständig von spielerischen Ansätzen umgeben und nutzen diese auch innerhalb „ernster“ Tätigkeiten und Organisationen.
Die nachfolgende „Systematik“ kommt ohne Gewähr empirischer Exaktheit und mit teilweise nicht überschneidungsfreien Beispielen von Methoden, Kategorien oder Genres im interdisziplinären Mix daher und umfasst:
- E-Learning
- Ranglisten, sichtbarer Status
- Quests
- Edutainment
- Feedback
- Nudging
- Paradoxe Intervention
- Projektive Verfahren
- Rollenspiel
- Planspiel
- Community-Collaboration
- Lernstationen

Abbildung 1: Spielprinzipien in der Mitarbeiter-Awareness – digital oder analog? Alleine oder in der Gruppe?
Anwendung
Einige Kategorien, wie das E-Learning, sind selbsterklärend, denn in der letzten Dekade hat die Integration spielerischer Elemente in Web-based Trainings (WBTs) der gesamten E-Learning-Branche zu einem enormen Schub verholfen. Vor allem mit einem Leistungstest gekoppelte Anwendungen nutzen immer häufiger auch spielerische Elemente – von „zurückhaltend“, etwa in Form einfacher Abfragen mit Quizelementen oder Drag-and-Drop-Sortieraufgaben, bis hin zu „komplex“, oft nach dem Vorbild bestehender Computerspiele, zu denen die Grenzen bei aufwendigen E-Learning-Anwendungen fließend sind. Als ein konsequentes Beispiel beeindruckender, hermetischer Lernwelten können hier beispielhaft die Online-3D-Kurse von E-SEC aus Innsbruck gelten, in der Nutzer Avatare durch ihr virtuell nachgebildetes Unternehmen steuern – eine Art Second Life der Informationssicherheit (http://e-sec.com/de-de/products/ elearning).
Der Vorteil von WBTs besteht im geringen Streuverlust, zum Beispiel bei flächendeckender, verpflichtender Teilnahme aller Mitarbeiter und gleichzeitig bequemer Datenerhebung über den kognitiven Awareness-Stand der Belegschaft. Der Nachteil: Kognition, also das reine Wissen im Kontext Sicherheit, macht nur einen geringen Teil einer nachhaltig ausgelegten GesamtAwareness aus – darüber hinaus benötigt man auch emotionale und systemische Elemente.
Involvierend erzählte und gestaltete WBTs erfüllen mit Sicherheit auch die zuletzt genannten Anforderungen, sind aber auf einem Markt, in dem zunehmend lieblos kompilierte Discounter-Produkte feilgeboten werden, eher selten zu finden. Außerdem muss ein derartiges Produkt selbstverständlich vor seiner Einführung auch auf Passung zur eigenen Sicherheitskultur und gegebenenfalls zur Ansprache einer Gesamtkampagne überprüft werden: Ein simples Branding in Form einer Logo-Integration reicht nicht, um den Anwendern ein Wir-Gefühl zu suggerieren und sie hinsichtlich Kooperation und sicherem Verhalten zu motivieren.
Grundsätzlich gilt: WBTs müssen im Sinne widerspruchsfreier, integrierter Kommunikation in Bezug auf ihre Story (ggf. auch hinsichtlich genutzter Figuren) sowie bezüglich Form, Inhalt, Botschaft und Verfassung auf die weiteren Maßnahmen einer Kampagne eingehen und umgekehrt. Ein WBT allein – vielleicht noch mit Flyer, Poster und Quickguide flankiert – ist in der Regel nicht ausreichend, um zu involvieren und nachhaltig zu sensibilisieren.

Abbildung 2: Drei Layer der Awareness – Positionierungsmatrix für Spielprinzipien
Online-Games
Organisationen haben erkannt, dass das Zusammenwirken verschiedener Spielprinzipien auf digitalen Plattformen durchaus sinnvoll ist, da eine derartige integrierte Verdichtung die Gesamtkampagnenleistung unterstützt – etwa in Form unterschiedlicher, sich ergänzender Minigames inklusive Ranking und gegebenenfalls auch Incentivierung. Diese Form integrierter Gamification-Prinzipien, die je nach Intention als Browserspiele oder auch als App mobil genutzt werden können, könnte man als Quest bezeichnen (oder auf Deutsch als Aufgabe/Suche bzw. in einer psychologischen Verdichtung auch „Suchwanderung“).
Ein herausragendes Beispiel ist etwa der Quest der Cyber-SecurityKampagne „Phantom Buster“ bei der Aduno Gruppe, die 2017 vom Schweizerischen Verband für interne und integrierte Kommunikation (SVIK) mit der Goldenen Feder in der Kategorie „Konzepte und Strategien“ ausgezeichnet wurde. Dabei kommuniziert das „Phantom“ als Teil einer Figurengruppe, zu der neben diesem Angreifer noch die Defense-Gruppe „Buster“ zählt, in der Rolle des Erzählers bestimmte Angriffspläne. Mitarbeiter verstehen damit Herleitung und Angriffspunkte und sollen gegenüber bevorstehenden Aktionen sensibilisiert werden und, wenn sie diese erkennen, auch eingreifen können. Die Zielgruppe soll so erfahren, wie Angreifer denken und agieren und damit auch die mit eigenen Handlungen verbundenen Risiken verstehen. Wie bei allen „schlauen“ Quests wurde auch hierbei die digitale Kommunikationsebene durch verschiedene – auch „analoge“ – Aktionen ergänzt, unter anderem durch lebensgroße Figurenaufsteller mit Flyer-Dispensern, Aufklebern, Live-Events, Videos, einer Spielbox oder die sogenannte Knowledge Base.
Der Vorteil einer Quest ist die Möglichkeit, permanente Events messbar (z. B. via Live-Ranking oder andere Evaluationen) zu kommunizieren und eben digitale wie analoge Maßnahmen über eine tragende Verfassung mit glaubwürdiger Story zu einer Gesamtkampagne zu verdichten. Quests stehen – nicht nur aus diesen Gründen – ganz oben in der Planung aktueller Awareness-Konzepte vieler Großkonzerne. Ein Nachteil besteht im relativ hohen Aufwand bei der Erstellung von Konzeption, Storyboard, Visualisierung, IT-Umsetzung, Implementierung und Betrieb/Management einer umfangreichen Quest. Hier können die Kosten bei einer professionellen Umsetzung schnell auf mittlere oder hohe sechsstellige Summen anwachsen. Im Grunde enthält jedoch jede gut durchdachte Quest inklusive begleitender Kommunikation bereits eine (fast) komplette Awareness-Kampagne.
Interessant zu beobachten ist auch, dass infolge der erhöhten Management und Wissen Spielerisches Lernen Aufmerksamkeit von Sicherheitsthemen in der Öffentlichkeit das Thema Security zunehmend eine stärkere Rolle im Gamification-Bereich von Retailprodukten und Kunstaktionen spielt. So hat etwa die Gamedesign-Studentin Leonie Wolf gemeinsam mit Kommilitonen im Fachgebiet Arts an der TH Köln im Rahmen eines Praxissemesters das Browsergame „Kyklos Code“ produziert, in dem man in der Ich-Perspektive durch einen von Malware befallenen Computer steuert (http://kyklos-code.ga). Das Spiel wurde 2017 mit dem Künstlerinnenpreis NRW ausgezeichnet und erhielt eine „Honorable Mention“ auf dem Independent Game Festival 2018.

Abbildung 3: Das Projekt secAware4job an der TH Wildau hält auf http://secaware4job.wildau.biz/#lernszenarien kostenlose Browsergames bereit – unter anderem ein „Jump & Run“ (Bild [M]) sowie einige Quizspiele
Talking Security
Trotz des Hypes um die Digitalisierung darf nicht vergessen werden, dass die Königsdisziplin nachhaltiger Awareness über systemische Komponenten erfolgt. Gesucht sind also Lösungen, die unter anderem Dialoge auf Basis diskursiver Prinzipien aufgreifen und fördern. Dies ist digital möglich – im direkten Vergleich jedoch gegenüber der „Face-to-face“-Kommunikation lediglich eingeschränkt. Daher kommt man in Kampagnen an „analogen“ Formaten nicht vorbei.
Das bereits erwähnte „Virusquartett Computerluder“ (Abb. 4) fällt in diese Kategorie. Wie einige andere securityaffine Kartenspiele handelt es sich hierbei eher um ein Werbemittel mit zusätzlicher Edutainment-Funktion als um ein typisches, auch didaktisch wirksames Sensibilisierungsinstrument. Zwar kann man über das Spiel einiges Wichtige über Malware erfahren (vgl. das Flash-Spiel auf http://known-sense.de/quartett/quartett.html) – ob sich dies aber konkret auf Awareness im Sinne erwünschten Abwehrverhaltens auswirkt, bleibt zweifelhaft. Unbestritten dürfte jedoch die kommunikative Leistung sein, grundsätzlich positiv für Sicherheit zu werben und im Falle einer Weitergabe an die Zielgruppe (z.B. im Rahmen eines Trainings-Events) ein hoffentlich positives und nachhaltig wirkendes Grundgefühl aus der Live-Veranstaltung in den Arbeitsalltag zu überführen und gegebenenfalls auch zu verstärken – das Spiel fungiert dann als PR-Booster.
Ein begehbares Edutainment-Game „Quer durch die Sicherheit“, bei dem die Mitspieler selbst Spielfiguren darstellen und im Rahmen einer moderierten Zug-um-Zug- beziehungsweise Quiz-Strategie wichtige Aspekte von IT-Security „abarbeiten“, hatten bereits 2008 die EnBW Energie Baden-Württemberg AG und einige Jahre später auch die Bundesakademie für öffentliche Verwaltung (BAköV) eingeführt. Dieses Spiel ist auch als sogenanntes „Tischspiel“, eine Art Brettspiel-Variante, erhältlich. Weitere Beispiele für Security-Brettspiele sind sehr häufig im Hochschulumfeld zu verorten. So hat etwa die Österreicherin Andrea Mayrhofer in ihrem Master-Abschluss „Sichere Informationssysteme“ an der FH Hagenberg das beim iX-Awareness-Wettbewerb 2017 ausgezeichnete „Master of Hack“ entwickelt, mit dessen Hilfe vor allem Jugendliche in Bezug auf private Security-Themen wie Online-Shopping, Surfverhalten, Social Media oder Instant Messaging sensibilisiert werden sollen. Das beim Deutschen IT-Sicherheitspreis 2016 mit dem 3. Platz ausgezeichnete Social-Engineering-Spiel HATCH („Hack And Trick Capricious Humans“, [2]) soll dazu beitragen, Trickbetrüger zu entlarven und Social-Engineering- (SE)-Angriffe abzuwehren.
Durch die Verdichtung von emotionaler Story, potenziell hohem Involvement in Risiken sowie Angriffs- und Defense-Szenarien und einer idealerweise attraktiven Visualisierung sind Brettspiele gute Simulationen der Wirklichkeit, die bei guter Moderation und entsprechenden Zeitressourcen ein vertiefendes Verständnis der thematisierten Risiken vermitteln. Ein unüberwindbarer Nachteil besteht in der beschränkten quantitativen Skalierbarkeit: Denn es können jeweils nur wenige Mitspieler teilhaben, sodass die Anzahl der Kontakte relativ beschränkt bleibt.

Abbildung 4: „Computerluder – das Virusquartett“ kann als Werbemittel mit Edutainment-Funktion Erinnerungen aus einer Veranstaltung in den Arbeitsalltag transportieren
Plan- und Rollenspiele
Ebenfalls mit didaktischem Anspruch, aber aufgeladen mit nachvollziehbaren Geschichten deutlich erlebnisorientierter, setzen Plan- und Rollenspiele auf regelbasierte Konflikte sowie spielerisches Veränderungsmanagement. Sie sollen die Wirklichkeit so simulieren, dass unter Anleitung eines Trainers das Einüben sicherheitsrelevanten Verhaltens in produktiver Kooperation mit Kollegen als Mitspieler erfolgt.
Ein Beispiel hierfür ist das begehbare Social-Engineering-Spiel „Bluff & Hack“ (Abb. 5) der Deutschen Telekom aus der SE-Kampagne „Moment mal“ (s. a. [3]): Das Spielfeld besteht aus 49 je 70 x 70 cm großen, mit „Social-Gateways-Icons“ bedruckten Teppichfliesen. Beim Spielen schlüpfen die Spieler in die Rolle eines Social-Engineers beziehungsweise Hackers, der gemeinsam mit den Teammitgliedern versucht, verschiedene Informationen aus „Räumen“ zu stehlen und diese zu einem Gesamtbild zusammenzufügen. Hierbei ist Kommunikations- und Kooperationsfähigkeit gefragt, denn in jedem Team spielt auch (zunächst unerkannt) ein sogenannter „Bluffer“ – alle „Bluffer“ bilden ein verstecktes Team, das wiederum unerkannt in Konkurrenz zu den anderen Teams miteinander kooperiert.
Lernstationsformate nach Art eines Circle-Trainings wie der „Security Parcours“ [4] verdichten kurze Edutainment-, Rollen- und Planspiel-Teaser im Mix zu einer Roadshow „out of the box“, denn sämtliche benötigten Materialien passen in einen herkömmlichen Koffer. Je nach Einsatzszenario können Trainer die darin enthaltenen Minigames skalierbar innerhalb klassischer Umgebungen einsetzen oder – ausgedehnt etwa im Rahmen eines Security-Tages mit bis zu 500 Teilnehmern – zu lebhaften Team-Events ausbauen.
Im Gegensatz zur Online-Sensibilisierung mithilfe eines WBT, das bei aller Selbstbestimmtheit relativ „einsam“ stattfindet, heben Lernstationsformate die Awareness von der kognitiven Ebene der Informationsvermittlung auf die für das Lernen so wichtige Beziehungsebene: Der Einzelne profitiert dabei von der emotionalen Aufladung innerhalb der Gruppe. Soziale Teilhabe führt zu einem höheren Involvement, mehr Lebendigkeit und zu einer ganzheitlichen Awareness, bei der einzelne Lernschritte vor allem über die Interaktion mit Erlebnissen belegt werden und man auf diesem Weg (sog. diskursives Lernen) eine bessere Resilienz und Memorierbarkeit erzielt. Lernstationsformate liefern Gesprächsthemen und bringen Sicherheit nach dem Prinzip „Talking Security“ in einen permanenten kommunikativen Umsatz.

Abbildung 5: Begehbares Social-Engineering-Riesenspiel „Bluff & Hack“ in einer Telekom-Kampagne
Weitere Formate und Mischformen
Sonderformen bei Spielprinzipien stellen unter anderem psychologische Methoden, Community-Collaboration, Feedback oder Ranglisten dar, die oftmals Bestandteil bereits besprochener Kategorien sind. Einen Mix zwischen Community-Collaboration und projektiven Verfahren stellt etwa die „mySecurity & Privacy Box“ der Deutschen Telekom dar, ein digitales Set mit 70 Gesprächskarten für Führungskräfte in sechs Kapiteln, das in Meetings eingesetzt werden soll, um Teams in Sicherheits-Talks zu verwickeln. Auf den Kartenvorderseiten befinden sich Regeln, Tipps und Tricks – auf den Rückseiten sowohl typische Wissensabfragen zur Kontrolle, aber auch projektive Fragen wie „Welche Farbe hat Sicherheit?“ oder „Welches Tier wäre der CISO?“, die das Prinzip der „Talking Security“ unterstützen.
Einen Mix zwischen Community-Collaboration und Planspiel stellt beispielsweise der unter anderem bei T-Systems, Bosch, BAköV oder der BMW Group genutzte „Security Spot“ dar [5]: Dabei handelt es sich um ein Instrument für einen Risk-Assessment-Workshop für die Zielgruppe „Management“ auf Basis von Moderationskarten und einem Spielfeld, bei dem die Teilnehmer die Wirkung von Risiken konkreten Geschäftsanforderungen zuordnen und so ein Mapping von Informationssicherheit und Business visualisieren. Implizit geht es hierbei aber eben auch um eine Mediation zwischen oft „rivalisierenden“ Gruppen wie beispielsweise Security-Management und Management-Board. Die Genregrenzen zwischen klassischem Workshop und Spielverfassungen sind hierbei ebenfalls mehr oder weniger fließend.
Paradoxe Intervention, projektive Verfahren oder das sogenannte Nudging („Anstupsen“) sind Spielprinzipien aus dem Umfeld der Psychologie. Für alle, die Gamification-Prinzipien fördern, ist in diesem Kontext sicherlich der Nobelpreis für Wirtschaftswissenschaften 2017 an Richard Thaler erwähnenswert, der das Prinzip Nudging geprägt und darüber auch ein Fachbuch geschrieben hat, das allen Awareness-Verantwortlichen ans Herz gelegt werden kann [6].
Fazit
Der Mensch braucht das Spiel als elementare Form der Sinnfindung. Wir lernen bei der Arbeit und auch für die Arbeit und sensibilisieren uns selbstverständlich dabei – oft auch spielerisch-experimentell. Der Hauptverdienst von Gamification als Awareness-Faktor besteht darin, dass die oft voneinander getrennten Verfassungen „Arbeit“ und „Lernen“ durch das Spielen einander nähergebracht werden.
Spiele – gerade Plan- oder Rollenspiele – führen zu einer neuen Form der Lernergonomie und -ökonomie und weisen einen hohen Arbeitsbezug auf, sodass Awareness hier nicht zu einem Selbstzweck degradiert ist. Spiele sind wesentlich erfolgreicher darin als reine Lehrbücher oder Regelwerke, Modelle unserer Wirklichkeit zu erschaffen, die wir ja letztlich besser verstehen wollen. Über das Spielen erarbeiten wir uns Wirklichkeit – „begreifen“ sie eben auch haptisch und verstehen die Welt und ihre Einzelteile besser.
Es gibt kein Spielen ohne Lernen. Und so, wie man nicht spielen kann, wenn man dazu gezwungen wird, kann man auch nicht unter Zwang lernen. Lernen wird ebenso wie Spielen nicht nur Regeln auf freiwilliger Basis voraussetzen, die explizit oder unausgesprochen getroffen werden müssen, sondern es erfordert unterm Strich auch Zeitkontingente, die Mitarbeitern durch ihre Führungskräfte zur Verfügung gestellt werden. Das Management darf sich also in seiner Ansprache nicht nur darauf beschränken, wie wichtig Awareness ist, sondern muss erkennen, dass Awareness ein Prozess ist, der nicht ausschließlich nebenher ablaufen kann. Man benötigt explizit die Erlaubnis, während der Arbeitszeit aktiv an Maßnahmen teilzunehmen.
Durch die Akzeptanz der Führung kann dann auch ein spielerisches Vorgehen als produktive Arbeitszeit wahrgenommen werden. Denn Spiele sind Tools zum positiven Veränderungsmanagement und erzeugen
- höhere Visibilty: Imagesteigerung von Sicherheit durch die Kreation lebendiger, nachhaltiger Bilder (z. B. Erkennen von Sicherheit als Wert)
- Steigerung von Motivation und Engagement für die Teilnahme an und Anwendung von Sicherheitsmaßnahmen: infolge eines vereinfachten, inhaltlich aufgeladenen Zugangs (z. B. Bereitschaft zu mehr Verantwortung)
- Impact & Involvement: mehr Aufmerksamkeit und (soziale) Einbeziehung als bei klassischen Lern-Tools (besonders von Führungskräften als Sicherheitsvorbild)
- Komplexitätsverringerung und Steigerung der Alltagstauglichkeit von Sicherheitsregeln und -prozessen: infolge der spielerischen, insgesamt „leichteren“ Settings und eines höheren Visualisierungsgrads (hohe Praxisnähe führt u. a. zur Zustimmung zu sicherheitskonformem Verhalten)
- Perspektivwechsel: Detaillierung und Durchdringung von Risiken und Angriffsvektoren durch Rollentausch (z. B. Betroffenheit erzeugen, schnelleres Erkennen von Bedrohungssituationen, zielgerichtetes Anwenden von Defense-Maßnahmen)
- Verankerung von Sicherheit in Alltag und Arbeitsplatz als Lernfeld: Zusammenführung der miteinander verknüpften, oft jedoch getrennten Dimensionen „Leben – Arbeiten – Spielen“ sowie größere Akzeptanz durch Anbindung an konkreteren (auch persönlichen) Nutzen von Sicherheitsmaßnahmen
- Enabling: Bildung von Anwendungsräumen, in denen erworbenes Wissen experimentell und mit der Erlaubnis, Fehler begehen zu dürfen, ausprobiert werden kann
- Empowerment: Simulationen realer Szenarien verstärken die Bindung zur Sicherheit und damit die Bereitschaft für sicheres Denken und Handeln
- Prinzip „Talking Security“: mehr Kontakt, Beziehung, Bindung und damit intensive Auseinandersetzung (Diskurse) und ein größerer sozialer Nutzen durch teambasierte Settings und das gemeinsame Wirken am Sicherheitsthema
- Multiplikatoren-Gewinnung: Akquise von „Botschaftern für die Sicherheit“ infolge intensiverer Beziehung zwischen Security und Mitarbeitern (Peer-Groups)
Über das Spielen erreichen wir letztendlich eine systemische Erweiterung und Qualifizierung aller Awareness-Maßnahmen, die zu Diskursen und einer Verbesserung von Wirkung und Nachhaltigkeit führt. Die Entwicklung der nächsten Jahre wird zeigen, dass aktivierende Instrumente wie Spiele, die zu einer wirklichen Beteiligung führen, allen überlegen sind, die ausschließlich passiv rezipiert werden. Dies gilt vor allem in Abgrenzung zu Instrumenten, die ausschließlich einem überholten Verständnis von Awareness im Sinne von Propaganda beziehungsweise „Schulfernsehen“ dienen, etwa Erklärfilme und andere eher passive Ansätze des klassischen Marketings.
Dietmar Pokoyski ist Gründer und Geschäftsführer von known_sense, einer Kommunikations- und Beratungsagentur mit Fokus auf interne Kommunikation und Awareness – besonders für Sicherheits- und Datenschutzthemen (www.known-sense.de).
Literatur
[1] Michael Helisch, Dietmar Pokoyski (Hrsg.), Security Awareness: Neue Wege zur erfolgreichen Mitarbeiter-Sensibilisierung, Vieweg+Teubner (Edition <kes>), 2009, ISBN 978-3-8348-0668-0
[2] Kristian Beckers, Sebastian Pape, A Serious Game for Eliciting Social Engineering, in: Proceedings of the 24th IEEE International Conference on Requirements Engineering, 2016, ISBN 978-1-5090-4122-0, online auf www.smjp.org/files/publications/BP16re.pdf
[3] Dietmar Pokoyski, Corporate Audiobooks, Hörspiele, Features & Co. in der Unternehmenskommunikation, SpringerVieweg, 2014, ISBN 978-3-658-00150-6
[4] Dietmar Pokoyski, Was zum Anfassen, Awareness-Circle-Training „Security Parcours“, <kes> 2013#3, S. 31
[5] Christoph Schog, Dietmar Pokoyski, Security Spot, Awareness- und Risk-Management-Assessment für Manager, <kes> 2017#5, S. 23
[6] Richard H. Thaler, Cass R. Sunstein, Nudge: Wie man kluge Entscheidungen anstößt, Econ, 2009, ISBN 978-3-430-20081-3