Cyberattacken gehören zum Unternehmensalltag. Um sich ganzheitlich zu schützen, braucht es heute mehr als Schutztechnologien. Aufmerksame Mitarbeitende können Angriffsversuche via Phishing oder Social Engineering frühzeitig abwehren. Mit Security Awareness Trainings lässt sich das Bewusstsein für Cyberrisiken in der Belegschaft verbessern. Moderne Schulungen setzen auf Gamification und Storytelling, damit die Teilnehmenden nachhaltig lernen.
Cyberkriminelle nutzen jede Lücke in der IT-Sicherheit aus, um in Netzwerke von Unternehmen einzudringen. Eines ihrer Ziele: Daten und Systeme mit Ransomware verschlüsseln und Lösegeld fordern. Kritische Sicherheitslücken auf Basis von fehlenden Updates werden bei diesen Angriffen ausgenutzt. Ebenfalls denkbar sind Phishing-Angriffe auf arglose und vor allem unwissende Angestellte. Insbesondere mit Phishing-Mails umgehen Cyberkriminelle verschiedene technische Schutzmechanismen, indem sie direkt auf Anwender*innen abzielen und nicht auf die technischen Systeme selbst. Die Erfolgschancen stark individualisierter Angriffe – etwa in Form von Spear-Phishing-, Whaling- und CEO-Fraud-Versuchen – sind deutlich höher als bei einem schlichten Massenangriff. Phisher nutzen gezielt perfide Tricks und verleiten Menschen zu Handlungen, die sie naturgemäß sonst nie gemacht hätten. Wie groß die Gefahr ist, zeigt eine Studie des kriminologischen Forschungsinstituts Niedersachsen: Mehr als 64 Prozent der Cyberangriffe auf größere Unternehmen beginnen mit einer Phishing-Attacke.
Trainings für Alle
Vor diesem Hintergrund setzen immer mehr Unternehmen Security Awareness Trainings ein, mit dem Ziel, die Aufmerksamkeit der Angestellten gegenüber digitalen Risiken zu verbessern. Im Fokus dieser Trainings: Die Erhöhung der Aufmerksamkeit der Mitarbeitenden gegenüber verschiedener Cyberrisiken und- gefahren soll natürlich dabei auch die (kritische) IT-Infrastruktur des jeweiligen Unternehmens schützen. Jede*r Mitarbeitende aus allen nur denkbaren Abteilungen eines Unternehmens ist ein potenzielles Opfer und muss daher die Tricks der Cyberkriminellen kennen, um sich effektiv schützen zu können. Entsprechend ist klar: Da diese Trainings jeden einzelnen im Unternehmen betreffen, müssen diese auch eine hohe Reichweite vorweisen können. Ein geeignetes Format sind daher Trainings im digitalen Format: Web-basierte Trainings (WBTs). Neben der Reichweite ist vor allem auch die Wiederverwertbarkeit ein großer Vorteil dieses Formates. Vor allem Awareness-Schulungen sind ein Marathon und kein Kurzstreckenlauf. Ein Rundbrief an alle Angestellten, der die wichtigsten Anzeichen einer Phishing-Mail aufzählt, verhindert keinen Phishing-Versuch. Ein immer und auf allen Endgeräten verfügbares digitales Training hingegen schon. Ein weiterer Pluspunkt von Awareness-Schulungen ist die Nachhaltigkeit. Denn: Wenn wichtige Lektionen in Bezug auf die IT-Sicherheit nicht nachhaltig beim Lerner haften bleiben, wird er dieses Wissen nicht anwenden können. Damit hat nicht nur er selbst, sondern auch sein Arbeitgeber ein großes Problem. Denn dann ist die Gefahr, dass Mitarbeitende etwa auf einen gefälschten Link klicken und Ransomware-Attacken Tür und Tor öffnen, weiterhin sehr hoch.
Motivieren, um zu lernen
Nachhaltigkeit ist also nicht nur ein Buzzword in politischen Agenden, sondern auch ein Qualitätsmerkmal für moderne E-Learnings bzw. Awareness-Trainings. Doch nun stellt sich die Frage: Wie wird Lernen eigentlich „nachhaltig“? Die Antwort lautet: Durch intrinsische Motivation, also durch Tätigkeitsanreize, welche durch Spaß, Emotionalität und das Vermitteln des direkten Praxisbezugs, auch über den Arbeitskontext hinaus, und durch eine Zielsetzung generiert wird. Um Lernende emotional gedanklich abzuholen, müssen Formate ansprechend und innovativ gestaltet sein. Moderne E-Learnings bzw. Awareness-Trainings setzen verstärkt auf gute Geschichten in einem spielerischen Setting (Game-based-Learning) mit dem Ziel, den Lerntransfer zu maximieren.
Detektiv spielen und lernen
Wie dies in der Praxis aussieht, zeigt folgendes Beispiel. Oft mangelt es Angestellten an der Motivation, Awareness-Schulungen zu absolvieren, weil ihnen die Einsicht fehlt, dass sie selbst einem Phishing-Versuch zum Opfer fallen können. Ein interaktives Spiel der
G DATA academy sorgt für den richtigen Lernanreiz. Die Mitarbeitenden schlüpfen in dem 15-minütigen Computerspiel in die Rolle eines Detektivs. Als Expert*in für Cybercrime lösen sie den Fall einer Ransomware-Attacke auf das fiktive Unternehmen “Maschinenbau Mayer”. Dabei erfahren sie, wie ein*e Angestellte*r einem Social-Engineering-Angriff zum Opfer gefallen und die Schadsoftware ins Netzwerk der Firma gelangt ist. Die Rahmenhandlung mit der Detektivgeschichte sorgt für Spannung und positive Emotionen. Gepaart mit einem klar vorgegebenen Ziel schafft ein Lernspiel, ein „Serious Game“, wie dieses, eine hohe intrinsische Motivation während des gesamten Trainings und dadurch eine Lerntransfermaximierung. Das hohe Level an Interaktion und Emotionen sorgt dafür, dass die Lernenden am Ball bleiben und die Inhalte verinnerlichen. Am Ende verstehen die Spieler*innen, wie einfach Menschen einem Phishing-Versuch oder einer Social-Engineering-Attacken auf den Leim gehen.
Auf Lernreise zum Phishing-Profi werden
Neben spielerischen Elementen setzen viele moderne E-Learnings parallel auf den sogenannten Storytelling-Ansatz. Ein teilweise sehr komplexes, übergeordnetes Thema wird dabei mit einer passenden Geschichte verknüpft und in kurzweiligen einzelnen Lerneinheiten vermittelt. Im Zuge des Storytellings kommen speziell dafür geschaffene Charaktere mit entsprechender Backgroundstory zum Einsatz, sodass die Lernenden nicht nur durch eine erzählte Geschichte lernen, sondern das Gelernte auch an bereits vertraute Personen und Gesichter knüpfen können. Bei allen Vorteilen von Storytelling gilt vor allem die Regel: Lerneinheiten, die länger als zehn Minuten sind, sorgen dafür, dass die Aufmerksamkeit ebenso wie der Spannungsbogen der Geschichte sinken. Und damit auch der Lerneffekt. Daher sollten umfangreiche Themengebiete in mehrere Episoden aufgeteilt werden, die auch aufeinander aufbauen dürfen.
Wie dies in der Praxis gelingt, lässt sich am Thema Phishing erläutern. Hier bietet die G DATA academy eine siebenteilige Trainingsreihe an, um Mitarbeitende besser auf gefährliche Phishing-Mails vorzubereiten. Die Online-Trainings sind als Lernreise konzipiert, kurzweilig und hoch interaktiv, um den Lerntransfer des Lerners zu maximieren. Die Kurse starten mit den Phishing-Grundlagen und bauen über sieben Episoden sukzessive Wissen bis hin zum Expertenwissen auf. Auf der Lernreise folgen die Mitarbeitenden vier Hauptcharakteren, die jeweils für einen bestimmten Nutzertypen in Kombination mit einem unterschiedlichen Angriffsweg für die Phishing-Attacken stehen. Sie dienen den Lernenden als Identifikationsfiguren während der gesamten Reihe.
„Phishing“ leitet sich vom Wort „Fishing“ ab. Um dieser Analogie treu zu bleiben, finden die Trainings größtenteils in einer Unterwasserwelt statt. Die Lernreihe bietet einen sehr hohen Interaktionsgrad. Klassische Formate wie Drag & Drop-Aufgaben oder Multiple-Choice-Fragen werden durch das Game-based-Setting in Kombination mit der Story neu interpretiert, indem Lernende beispielsweise Falschaussagen in Fischernetze ziehen, U-Boote mit Luftblasen füllen oder den Scheinwerfer des U-Bootes auf die richtige Antwortmöglichkeit richten müssen. Höhepunkt und Abschluss der Reihe ist ein digitaler Escape-Room. Dieser ist in der „Höhle“ eines der Antagonisten, der „Spear-Phisherin“, lokalisiert. Aus dieser Höhle heraus plant sie ihre Angriffe. Dort sind Hinweise versteckt, mit denen die Lernenden eine geplante Attacke der Spear-Phisherin mit ihrem gesammelten Wissen aus der Trainingsreihe vereiteln müssen, um dann im Anschluss zurück an die Oberfläche zu gelangen. Über diesen Weg setzen sich die Lernenden intensiv mit Phishing-Angriffen aus dem realen Leben auseinander und lernen insbesondere die Schutzmechanismen besser kennen.
Motiviert und nachhaltig lernen
Untersuchungen der Direktion für Bildung und Kultur im Schweizer Kanton Zug geben Game-based Learning und Storytelling recht. „Normale“ E-Learnings auf freiwilliger Basis haben eine ungefähre Abschlussquote von 25 Prozent. Serious Games von bis zu 90 Prozent. Es bleibt umgangssprachlich formuliert „mehr hängen“. Mit Blick auf die IT-Sicherheit heißt das: Technologische Schutzmaßnahmen sind unzureichend. Wenn Mitarbeitende verstehen, wie Cyberkriminelle agieren, bilden sie eine Human Firewall im Unternehmen und verhindern mit ihrem Verhalten, dass Angreifer ins Netzwerk gelangen.
Bei diesem Artikel handelt es sich um einen bezahlten beitrag der G DATA CyberDefense AG communication & learning.
Der Autor:
Christian Laber
ist Head of E-Learning Development bei G DATA CyberDefense. Er verantwortet die Inhalte der hauseigenen Security Awareness Trainings und damit auch die Weiterentwicklung der bestehenden Kurse auf der unternehmenseigenen E-Learning-Plattform. Zudem ist er mit der inhaltlichen und technischen Konzeption neuer innovativer Trainingsformen sowie Kurse betraut, von der Projektleitung über Entwicklung und das QM bis hin zur Implementierung.
Kontakt:
G DATA CyberDefense AG
Königsallee 178
D-44799 Bochum
info@gdata.de
www.gdata.de/awareness