Im Umgang mit Informationstechnik kann eine ganze Reihe von Gefahren auf uns lauern. In diesem Zusammenhang wird der „Faktor Mensch“ häufig als besonders große und wichtige Herausforderung dargestellt. Unwissenheit, Naivität und mangelnde Vorsicht sind die häufigsten Ursachen für so genannte Insider-Bedrohungen. In einem Punkt sind sich die Expert*innen einig: Die IT-Sicherheit kann nur so gut sein wie die Menschen, die die Systeme bedienen.
Damit ein Sicherheitskonzept erfolgreich umgesetzt werden kann, muss dieses Konzept zunächst von den Nutzenden verstanden werden. Dazu werden gerne IT-Security-Awareness-Trainings eingesetzt. Diese sollen dazu dienen, das allgemeine Verständnis für Sicherheit zu stärken und konkrete Risiken zu veranschaulichen. Eine der wichtigsten Strategien dabei nennt sich Gamification.
Was ist Gamification?
Gamification ist die Übertragung von spielerischen Elementen und Mechanismen in einen nicht spielerischen Kontext. Diese Elemente sollen zum einen die Motivation fördern, zum anderen aber auch Nutzende dazu anregen, das eigene Verhalten in bestimmten Situationen zu ändern. Der Gamification-Ansatz basiert auf der Annahme, dass die Anwender*innen bestimmte Aufgaben erledigen und bestimmte Ziele erreichen müssen. Für diese Aufgaben gibt es anschließend Belohnungen, zum Beispiel in Form von Abzeichen oder Punkten. Diese sind dann erforderlich, um beispielsweise neue Aufgaben freizuschalten. Nutzende können dabei auch Tipps und Tricks erhalten, müssen Hinweise finden, Quizfragen beantworten oder Rätsel lösen, um ihr Ziel zu erreichen.
Dabei sollte es aber nicht nur darum gehen, monotone Lerninhalte zu verschleiern und die Leistungen der Nutzenden auf stumpfe Weise mit Punkten zu belohnen. Zahlreiche Videospiele schaffen es, den Spieler*innen hochkomplexe Inhalte und Zusammenhänge zu vermitteln. Damit die Spieler*innen ihr Ziel erreichen können, müssen diese Inhalte und Zusammenhänge bekannt sein und verstanden werden. Gamification zielt folglich darauf ab, herauszufinden, auf welche Weise Spiele komplexe Inhalte vermitteln. Auf der Grundlage dieser Erkenntnisse können Lerninhalte dann adäquater und sinnvoller vermittelt werden.
Einsatzmöglichkeiten von Gamification
Der Ansatz, Lernen mit spielerischen Elementen zu verbinden, wird immer beliebter und findet in immer mehr Bereichen Anwendung. Mittlerweile begegnen wir Gamification-Strategien täglich, sowohl in der Lehre als auch in der Arbeitswelt und in der Freizeit.
In vielen Bereichen sind Unternehmen darauf angewiesen, dass die Kenntnisse ihrer Mitarbeiter*innen immer auf dem neuesten Stand sind. E-Learning wird in diesem Zusammenhang immer beliebter und birgt enormes Potenzial. Auch Gamification gewinnt in diesem Zusammenhang zunehmend an Bedeutung. Verpflichtende Schulungen, wie zum Beispiel Compliance-Schulungen, können mit Hilfe von Gamification aufgelockert und interessanter gestaltet werden. Durch interaktive Angebote sollen Richtlinien und technische Inhalte besser vermittelt und verinnerlicht werden.
Wie kann Gamification Cyberrisiken minimieren?
Eine der unterschätzten Bestandteile der IT-Sicherheit ist immer noch das Sicherheitsbewusstsein der Anwender*innen. Zahlreiche erfolgreiche Cyberangriffe haben ihren Ausgangspunkt nach wie vor beim Faktor Mensch. Hinsichtlich der Förderung des IT-Sicherheitsbewusstseins sind also regelmäßige Schulungen und Trainings unerlässlich. Hier weisen besonders immersive E-Learnings und Simulationen hohe Erfolgsquoten auf.
Die Vorteile von spielbasierten Trainingsangeboten sind zahlreich. Die Lernerfahrung kann zum Beispiel durch Storytelling individuell auf die Nutzenden zugeschnitten werden. Die Anwender*innen können in ganz konkreten Arbeitssituationen mit typischen Vorgehensmustern von IT-Angriffen konfrontiert werden. Auf diese Weise lernen sie spielerisch, wie Cyberkriminelle genau vorgehen und warum. Den Beschäftigten kann wirkungsvoll vermittelt werden, wie sie Angriffe erkennen können und wie sie sich verhalten sollen. Innerbetriebliche Richtlinien können dadurch ebenfalls verdeutlicht werden.
Treffen die Lernenden die richtige Entscheidung, werden sie belohnt und können mit dem Training fortfahren. Treffen sie hingegen die falsche Entscheidung, können auch die Folgen eines Angriffs realitätsnah nachgestellt werden. Die potenziellen Risiken werden so für jeden einzelnen Mitarbeitenden deutlich nachvollziehbarer.
Lerninhalte zu Compliance-, Datenschutz und IT-Sicherheitsrichtlinien werden oft als zu trocken, uninteressant oder sogar zu komplex empfunden. Interaktive Lernplattformen sind darauf ausgelegt, diese Probleme zu lösen. Komplexe Inhalte können verständlicher dargestellt werden. Der Spielcharakter und der damit verbundene Unterhaltungsfaktor stellen zudem eine willkommene Abwechslung im oftmals hektischen Arbeitsalltag dar.
Die Anwender*innen werden außerdem ermutigt, mit dem Material zu interagieren, anstatt sie nur passiv zu konsumieren. Bei diesen Interaktionen können sie gelernte Inhalte anwenden und müssen gegebenenfalls eigene Schlussfolgerungen ziehen. Durch die Wiederholung von Ereignissen und die zunehmende Komplexität der Aufgaben, kann das neu erworbene Wissen zusätzlich gefestigt werden. Spielerische Elemente, wie das Sammeln von Abzeichen, fördern zudem die intrinsische Motivation und sollen so die Lernenden langfristig zum Lernen animieren. Es ermöglicht den Nutzenden außerdem, ihren eigenen Wissensstand besser einzuschätzen und Wissenslücken selbst zu identifizieren. Ein Beispiel für ein spielbasiertes IT-Security-Training findet ihr auf der Website der Fraunhofer Academy. Dort könnt ihr euer Wissen über IT-Sicherheit am Arbeitsplatz auf spielerische Art und Weise in einem Escape Room auf die Probe stellen.
Gamification ist also viel mehr als nur eine nette Spielerei. Mit fundierten Methoden aus der Lernpsychologie kann die Motivation und Lernbereitschaft der Nutzenden auch bei vermeintlich uninteressanten und komplexen Themen deutlich gesteigert werden. Auf diese Weise kann eine nachhaltige Wissensvermittlung stattfinden und das kollektive Sicherheitsbewusstsein gestärkt werden. Die Nutzenden lernen, sich im Umgang mit der Informationstechnologie sicher zu verhalten und Angriffsversuche frühzeitig zu erkennen. So lassen sich auf spielerische Art und Weise die Zahl der erfolgreichen Cyberangriffe effektiv reduzieren.
Ihr wollt mehr über IT-Sicherheitsmaßnahmen und Risiken erfahren? Unter dem Tag IT-Sicherheit findet ihr all unsere Beiträge zu diesem Thema.
Verantwortlich für die Inhalte dieses Beitrags ist Stéphanie Bauens.