Spiel, Satz, Sieg! : Mit Gamification die „menschliche IT-Sicherheits-Firewall“ aufbauen und stärken
Bei Fortbildungen setzen immer mehr Unternehmen auf E-Learnings, um Angestellten neue Themen näherzubringen oder Inhalte zu vertiefen. Dabei rückt die Frage in den Mittelpunkt: Wie lernen Mitarbeiter:innen mit Freude und erinnern sich auch langfristig an das Gelernte? E-Learning-Fachleute setzen hierzu verstärkt auf Gamification-Ansätze, um Spielen und Lernen gewinnbringend zu kombinieren.
Von Christian Laber, Bochum
Wenn Sie an Ihre Schulzeit zurückdenken, woran denken Sie? Vermutlich an Freundschaften, die dort ihren Anfang genommen haben, und Lehrkräfte mit Vorbildcharakter – aber Themen wie Sprachtheorie, Hochimperialismus oder Proteinbiosynthese? Die meisten mühsam erlernten Inhalte sind schnell wieder vergessen. Ein wesentlicher Grund dafür: Frontalunterricht. Was für Schüler:innen undramatisch ist, weil der Schulstoff häufig im späteren Leben von untergeordneter Bedeutung ist, spielt im Beruf eine wichtigere Rolle –besonders dann, wenn es um Themen geht, die jede:n Mitarbeiter:in betreffen, etwa regulatorische Vorgaben oder der sichere Umgang mit digitalen Assets.
Doch auch hier kann kaum überraschen, wenn eine Studie des Deutschen Instituts für Wirtschaft (DIW)
zu dem Ergebnis kommt, dass 80 % aller Lehrveranstaltungen in Form von Seminaren und Trainings gemessen am nachhaltigen Lerntransfer scheitern – und das, obwohl die Veranstaltung von Teilnehmer:inne:n als „gut“ bewertet wurde. Gemessen an den Kosten für Weiterbildungsveranstaltungen „verbrennen“ Firmen auf diesem Weg Summen in Milliardenhöhe, weil Teilnehmer:innen nur wenig bis gar nichts dauerhaft gelernt haben.
Human Firewalls
Es ist ein offenes Geheimnis, dass es keinen ausreichenden technischen Schutz vor Cyberattacken gibt. Allem voran Phishing-Attacken umgehen etablierte Schutzmechanismen und zielen direkt auf die Anwender:innen. Dass Phishing ein einfacher und beliebter Angriffsvektor für Cyberkriminelle ist, führt auch bei vielen Angestellten zu Verunsicherung, wie auch eine Untersuchung der Initiative Deutschland sicher im Netz (DsiN) e.V. belegt: Mehr als 56 % der Befragten gaben an, dass sie beim Öffnen einer E-Mail verunsichert sind.
Hinzu kommt: Cyberkriminelle sprechen ihre Opfer direkt an. Die Erfolgschancen stark individualisierter Attacken sind dabei deutlich höher als bei einem Massenangriff. Denn menschliches Verhalten lässt sich auf verschiedene externe Trigger zurückführen, die verschiedene Denk- und Handlungsmuster auslösen, die wir Menschen im Laufe der Zeit gelernt haben. Die Betrüger setzen dabei unter anderem auf die Trigger Gier, Neugier, Angst, Druck, Pflichtbewusstsein, Hilfsbereitschaft und Gewohnheit – oft werden diese sogar miteinander kombiniert.
Erhaltene E-Mails öffnen wir quasi automatisch, um sie zu lesen – oft genug auch Nachrichten mit heiklem Inhalt. Wichtig dabei ist: Das Opfer ist nicht der Schuldige! Es wird zu diesen Taten durch verschiedene psychologische Tricks verleitet (vgl. [1]). Die gute Nachricht: Unternehmen können (und müssen) sich und ihre Mitarbeiter:innen gegen solche hinterhältigen Angriffe mit Security-Awareness-Trainings schützen. Keine technische Maßnahme oder Sicherheitslösung kann Nutzer:innen vollumfänglich vor zum Beispiel Phishing-Angriffen bewahren: Es liegt an den Menschen und vor allem an ihrem Sicherheitsbewusstsein, solche Angriffsformen frühzeitig zu erkennen und abzuwehren!
Kurz und nachhaltig
Anders als bei fachlichen Fortbildungen für einzelne Abteilungen gilt für Security-Awareness-Trainings: Jede:r Mitarbeiter:in ist ein potenzielles Opfer und muss daher die Tricks der Cyberkriminellen kennen. Vor diesem Hintergrund sollten Personal- oder andere Fachabteilungen nicht nur aus wirtschaftlichen Gründen ein nachhaltiges Lernen für die gesamte Belegschaft einfordern. Nachhaltigkeit lässt sich dabei durch sogenannte intrinsische Motivation erreichen: durch Tätigkeitsanreize, Spaß, Emotionalität und das Vermitteln eines Sinns im Tun. All das gewährleisten beispielsweise spielerische Ansätze wie „Serious Games“ (vgl. etwa [2]).
Gleichzeitig wird auch der Ruf nach kurzen Lerneinheiten lauter – denn Lernzeit ist schließlich Arbeitszeit. Die Lösung liefern E-Learnings, die Teilnehmer:innen zeit- und ortsabhängig absolvieren. Allerdings unterliegen auch E-Learnings einem Wandel: Videos und Multiple-Choice-Tests gehören immer noch zum Standard. Das Lernverhalten hat sich jedoch massiv gewandelt, weil jüngere Generationen ganz anders mit digitalen Medien umgehen.
Aktuell fällt bei der Frage um die Modernität digitaler Trainings ein Begriff fast schon inflationär: Gamification. Aber was genau bedeutet das beim E-Learning? Reicht es schon, wenn eine Trainingsreihe einfach nur schön gestaltet ist? Müssen solche Schulungen besonders interaktiv sein? Oder verbirgt sich dahinter einfach nur der Gedanke, dass ein E-Learning als Spiel aufgebaut ist? Um diese Fragen zu beantworten, gilt es, nebem dem Begriff der Gamification selbst auch das sogenannte „Game-based Learning“ zu betrachten.
Game-based Learning
Wenn die meisten Menschen von „Gamification“ sprechen, dann meinen sie eigentlich „Game-based Learning“. Darunter verstehen Fachleute den grundsätzlichen Ansatz, den Lernenden (teils komplexe) Sachverhalte mittels hochinteraktiver Formate, wie Serious Games, nahezubringen. Game-based Learning überträgt also teils trockenes und umfassendes Lernmaterial in ein spielerisches Format, das zudem hoch interaktiv ist. Ein Serious Game soll es ermöglichen, spielerisch und mit Interaktionen verschiedenster Art komplexe Sachverhalte zu verstehen und nachhaltig zu lernen.
Demgegenüber beschreibt die eigentliche „Gamification“ die Integration spielerischer Elemente in ein bereits bestehendes Lernformat, wie ein klassisches E-Learning. Ein typisches Beispiel dafür ist etwa ein Belohnungssystem mit Punkten, die Teilnehmer:innen erzielen können und so einen Platz in einer firmeninternen Rangliste belegen – bis hin zum Highscore, der als Anreiz für nachfolgende „Spieler“ dient. Auch viele Kundenbindungsprogramme (etwa mit Flugmeilen) nutzen das Gamification-Prinzip.
Der zentrale Unterschied zwischen Gamification und Game-based Learning liegt in der „Experience“: Während Game-based Learning eine Lernerfahrung mit vielen verschiedenen, spielerischen Elementen beschreibt, zielt Gamification auf die spielerischen Elemente per se. Und obwohl beide Begriffe etwas anderes meinen, liegen die Gemeinsamkeiten dennoch auf der Hand: Game-based Learning schafft ein spielerisches Umfeld zum Lernen – Gamification versorgt ein solches Umfeld mit spielerischen Elementen. Soweit lassen sich die beiden Begriffe also voneinander getrennt definieren und wieder zusammenfügen – denn das eine macht nur in Kombination mit dem anderen Sinn.
Spiele und lerne
Game-based Learning zielt darauf ab, den Lerntransfer zu maximieren – also die Anwendbarkeit des Gelernten auf die Praxis. Dies wird in einer eigenen Lernwelt um Gamification-Elemente verstärkt (z. B. Schieberegler, Punktestand, Click-and-Reveal oder zeitgesteuerte Herausforderungen). Ein Rahmen mit Storytelling Elementen, also einer Geschichte, sorgt für positive Emotionen und Motivation. Ein klar vorgegebenes Ziel sorgt für eine hohe intrinsische Motivation während des gesamten Trainings. Die Lernenden halten den Fokus auf das zu lernende Thema und sind über die Dauer des Trainings hoch motiviert.
Dieser Zustand der anhaltenden Fokussierung wird „Flow“ genannt – ein Zustand, in dem die Zeit zu verfliegen scheint. Um diesen Flow zu erreichen, muss ein Ziel existieren, das die Lernenden aus der eigenen, intrinsischen Motivation heraus erreichen wollen. Innerhalb eines Serious Games ist das leicht zu erreichen, da ein Spiel immer eine Geschichte und eben ein zu erreichendes Ziel vorgibt: Menschen wollen ein (gutes) Spiel bis zum Ende durchspielen – zumindest die allermeisten. Im Zustand des Flows werden die Lernenden weder über- noch unterfordert; der Lerntransfer aus dieser intrinsischen Motivation heraus ist dann wiederum maximal.
Bei komplexeren Themen oder umfangreicheren Inhalten sind spielerische Ansätze besonders hilfreich – etwa bei der IT-Sicherheit, wo es viele wichtige Aspekte gibt, die jeder Anwender kennen sollte. Der Lernerfolg lässt sich etwa in Sachen Phishing oder Social-Engineering dadurch verbessern, dass Lernende einen Perspektivwechsel vornehmen müssen: In der Rolle des Spear-Phishers gilt es, eine möglichst perfekte Phishing-Mail zu schreiben, um vom Empfänger nicht sofort entlarvt zu werden. Mit diesem Wissen ausgestattet gehen Angestellte künftig sorgsamer mit E-Mails um, die sie nicht sofort einordnen können.
Fazit
Spielerische Lernformate im Game-based Learning schaffen ein emotional aufgeladenes Ziel für Lernende, das diese erreichen wollen – seien es der Fortschritt in einer Story, Spielpunkte oder einfach die Neugier auf das nächste Level. Spieler:innen verbinden Inhalte mit Bildern und geraten dabei optimalerweise in den „Flow“ – im Endeffekt wird der Lerntransfer maximiert.
Gerade Games schaffen es zudem, der Maxime „Lernzeit ist Arbeitszeit“ folgend die aufgewendete Zeit so effizient wie nur möglich auszunutzen. Auf diesem Weg gelingt es im Unternehmen, neben technischen Schutzmaßnahmen auch eine „Human Firewall“ als zusätzliche Schutzsphäre zu etablieren.
Christian Laber ist Head of E-Learning-Development bei G DATA Cyber-Defense.
Literatur
[1] David Kelm, Tricks für Klicks, Wie Cyber-Kriminelle Menschen beim Spear-Phishing zu riskanten Aktionen verleiten und was man dagegen tun kann, 2022# 2, S. 12
[2] Dietmar Pokoyski, Spiel Dich sicher!, Gamification: Awareness, you can touch and feel, 2018# 2, S. 63