Von ersten Grundlagen bis zum Expert:innenwissen
Mit interaktiven Storytelling-Trainings sicher gegen Phishing-Attacken

Innerhalb der Trainingsreihe durchlaufen die Lernenden eine Geschichte, die in mehrere Kapitel unterteilt ist. Interaktive Aufgaben und Elemente sorgen darüber hinaus für einen abwechslungsreichen Lernprozess.

„Herzlichen Glückwunsch! Sie haben 2.000 Euro gewonnen. Klicken Sie auf den untenstehenden Link, um sich Ihren Gewinn zu sichern.“ Wer solche eine Mail in seinem Postfach findet, bekommt zunächst einmal große Augen. Doch Vorsicht: In den meisten Fällen sind hier professionelle Cyberkriminelle am Werk, die mit Phishing-Angriffen über einzelne Mitarbeitende in die Unternehmensnetzwerke eindringen wollen. Oftmals sind es natürliche Reaktionen wie Neugier, Hilfsbereitschaft, Angst oder auch einfach pure Gewohnheit, die uns solche Mails öffnen lassen – was jedoch schnell gefährlich werden kann. Doch wie können Unternehmen sich und ihre Mitarbeitenden vor solchen Phishing-Attacken schützen?

Auch im Zusammenhang mit der zunehmenden Digitalisierung in Unternehmen wird die Gefahr vor Cyber-Angriffen immer größer. Dabei sind es vor allem die Phishing-Angriffe auf individuelle Mitarbeitende, die die größte Gefahr darstellen. So sind es laut einer Studie des kriminologischen Forschungsinstituts Niedersachsens mehr als 64 Prozent solcher individualisierten Angriffe, mit denen Cyberangriffe auf größere Unternehmen gelingen. Umso wichtiger ist es somit für Unternehmen, die Mitarbeitenden auf diese Gefahr aufmerksam zu machen – doch diese Maßnahme reicht vielerorts einfach nicht mehr aus, findet auch die G DATA academy. Der E-Learning Anbieter sieht vielmehr den Bedarf nach einem gezielten Training für Mitarbeitende, indem sie lernen, potenziell gefährliche Nachrichten frühzeitig zu identifizieren, um Phishing-Mails keine Angriffsfläche zu bieten.

Lernbedarfe

Vor diesem Hintergrund galt es, speziell zum Thema „Phishing“ eine Trainingsreihe zu entwickeln, die Mitarbeitende innerhalb von sieben Episoden alle Gefahren und Indikatoren von Phishing-Mails lehrt. Nach der erfolgreichen Absolvierung sollen die Lernenden in der Lage sein, gefälschte Nachrichten zu identifizieren. Die G DATA academy hat sich bewusst gegen eine Zuspitzung auf eine spezifische Zielgruppe entschieden: Da vor Phishing-Angriffen niemand in keinem Unternehmen sicher ist – von einfachen Angestellten bis zur Geschäftsführung – soll sich die Trainingsreihe vielmehr an Kund:innen aus sämtlichen Branchen richten. Ebenfalls spielen die Position im Unternehmen sowie das individuelle Vorwissen keine Rolle.

Die Idee bestand darin, den Content innerhalb der Trainingseinheiten spielerisch und interaktiv zu gestalten, um das Wissen auch nachhaltig in den Köpfen der Lernenden zu verankern. In diesem Zusammenhang sollte der Fokus in der Trainingsreihe auf dem Storytelling-Konzept liegen: Die zu vermittelnden Inhalte sollten dementsprechend in eine Geschichte eingebettet werden. Insofern ergab es Sinn, die Trainingsreihe, bestehend aus sieben einzelnen Episoden, in chronologischer Abfolge absolvieren zu lassen, um das Wissen Episode für Episode immer weiter zu vertiefen.

Weiter verfolgte die G DATA academy das Ziel, den Lernprozess unmittelbar mit dem Arbeitsalltag zu verflechten, um den Kund:innen „Workplace Learning“ bzw. „Continous Learning“ zu ermöglichen und allmählich in der Lernkultur zu etablieren.

Projektverlauf

Die initiale Idee zu der Trainingsreihe sowie die gestalterische Konzeption erfolgte durch die G DATA academy. Für die technische Realisierung wurde zusätzlich eine E-Learning-Agentur beauftragt, wobei diese bei allen Schritten in enger Abstimmung mit den Projektverantwortlichen von G DATA zusammenarbeiteten.

Die sieben Trainingseinheiten wurden nacheinander alle nach dem gleichen Ablauf produziert, der im Folgenden exemplarisch beschrieben wird. Eine genaue Deadline, zu der die gesamte Trainingsreihe fertiggestellt bzw. ausgerollt werden sollte, gab es nicht. Vielmehr werden für die Produktion der einzelnen Trainingseinheiten lediglich ein ungefährer Zeitrahmen von 1,5 Monaten eingeplant.

Nachdem G DATA die Idee des Projektes konzipiert, erste Design-Ideen sowie die Lernziele festgelegt hatte, wurden diese in einem ersten Kick-off-Meeting mit dem Projektpartner diskutiert und final in einem Grobkonzept definiert. Aufgrund der zielgruppenunabhängigen Nutzung sollte die Lernumgebung eher neutral und somit für alle Lernenden gleichermaßen ansprechend gestaltet sein. Inspiriert durch die Ableitung der Bezeichnung „Phishing“ vom englischen Wort „Fishing“, entwickelte das Projektteam die Idee, die gesamte Lernumgebung in einem Tiefsee/Unterwasser-Design darzustellen. Auch die Interaktionen innerhalb der Episoden sollten dementsprechend in Anlehnung an das Tiefsee-Motiv gestaltet werden.

Im nächsten Schritt folgte die weitere Ausarbeitung der Ideen, bis ein Feinkonzept stand, das sowohl das finale Design als auch die spezifischen Inhalte beinhaltete, und mit dem die G DATA academy zufrieden war. Auf Grundlage dieses Plans wurden anschließend die einzelnen Trainings in einer vorläufigen Beta-Version produziert. Diese war bereits mit dem fertigen Design sowie einer ersten Vertonung ausgestattet und konnte somit als vollwertige Trainingsfassung ausgiebig in der Anwendung getestet werden. Nachdem das entsprechende Feedback, der Tester:innen, eingearbeitet wurde, wurde die finale Version der jeweiligen Trainingseinheit nochmals auf ihre Lauffähigkeit getestet, bevor die Trainings final ausgerollt wurden.

Parallel zum Rollout wurde die neue Trainingsreihe durch die Marketingabteilung von G DATA academy bereits bei Kunden, darunter Bestandkunden als auch potenzielle Neukunden, beworben. Das Feedback von Lernenden wird auch nach dem aktuellen Rollout weiterhin entsprechend in dem Programm integriert, sodass diese ständig verbessert und auf dem aktuellen Stand gehalten wird.

Projektergebnis

Der Erfolg eines Projektes zeichnet sich vor allem durch eine hohe Akzeptanz von Seiten der Lernenden sowie der Projektverantwortlichen aus. In dieser Hinsicht war die Konzipierung und Implementierung der neuen Trainingsreihe zum Themengebiet „Phishing“ ein voller Erfolg: So fiel das bisherige Feedback der Lernenden, die sich aus bestehen sowie aus neuen Kund:innen der G DATA academy zusammensetzen, zu großen Teilen positiv aus. Besonders überzeugen die Trainingseinheiten dabei mit der gelungenen Kombination aus Storytelling und interaktiven Elementen, die die Lernenden aktiv zum Mitdenken anregen und so das Wissen spielend leicht vermitteln. Während der einzelnen Episoden begleiten die Lernenden vier virtuelle Charaktere und erlernen mit ihnen gemeinsam die Gefahren von Phishing-Attacken, wobei mit jedem Charakter ein anderer Schwerpunkt als potenzieller Angriffsvektor thematisiert wird.

Ebenfalls überzeugt das Training mit seiner angenehmen, benutzer:innenfreundlichen Länge: So handelt es sich bei den jeweiligen Episoden vielmehr um Learning-Nuggets, also kurz Einheiten mit einer Dauer von maximal 15 Minuten, die das zu vermittelnde Wissen interaktiv an die Lernenden weitergibt. Über eine Übersicht können die Lernenden darüber hinaus jederzeit ihren aktuellen Lernfortschritt einsehen.

Der nachhaltige Lernerfolg wird sichergestellt, indem die Nutzenden nach Absolvierung der Trainings im Arbeitsalltag immer wieder schnell auf die wesentlichen Inhalte der Schulung zurückgreifen können, um im Falle einer potenziellen Phishing-Nachricht die Merkmale abgleichen und entsprechend reagieren zu können. Auf diese Weise löst die G DATA Academy zudem das zuvor definierte Ziel ein, Workplace- und Continous-Learning zu ermöglichen.

Kund:innen können auf die Trainingseinheiten, die als vertiefende Qualifizierungsmaßnahmen betrachtet werden, über das LMS der G DATA academy zugreifen – es handelt sich hierbei um ein Add-on-Produkt, das neben der deutschen Sprache zusätzlich in vier weiteren europäischen Sprachen zur Verfügung steht.

Fazit

Mit dem Projekt hat die G DATA Academy erstmals einen Storytelling-Ansatz in ihren Lerneinheiten etabliert. Dieses erwies sich insofern als erfolgreich, als dass die Lernenden das Lernerlebnis aufgrund der hohen Interaktivität in der fiktiven Lernwelt viel intensiver wahrnahmen und somit das Wissen spielend leicht aufnahmen. Das neue Training trägt dabei zu den Unternehmenszielen von G DATA bei, indem sie durch den erfolgreichen Abverkauf des Programms die finanziellen Ziele erreichen. Darüber gelingt es dem Unternehmen auf diese Weise, sich auch zukünftig als innovativer Trainingsanbieter im Bereich der betrieblichen Bildung auf dem Markt zu platzieren. Für diese beeindruckende Leistung verleiht die Jury des eLearning Awards den Preis in der Kategorie „Workplace Learning“ Herzlichen Glückwunsch!


Vorgaben & Besonderheiten

Vorgaben:
Die Entwicklung einer zielgruppenunabhängigen Reihe von interaktiven Trainings, die die Lernenden aufbauend von den Grundlagen bis zum spezialisierten Expert:innenwissen im Bereich Cyber-Phishing qualifiziert.

Besonderheiten:
Der erstmalige Einsatz von Storytelling. Während der einzelnen Episoden der Trainingsreihe durchlaufen die Lernenden eine Geschichte, die die Inhalte spielend leicht und darüber hinaus mit interaktiven Elementen vermittelt. Es wird eine fiktive Lernwelt erschaffen, in die die Lernenden eintauchen können.


Projektverantwortliche

Streamline AG
Sandra Käppeli
Area Manager ICT

Streamline AGKönizstrasse 60
CH-3008 Bern

s.kaeppeli@streamlineag.ch
www.streamlineag.ch

 

G DATA CyberDefense AG
Christian Laber
Head of E-Learning Development

G DATA CyberDefense AG
Königsallee 178
D-44799 Bochum

christian.laber@gdata.de
www.gdata.de