Thought Leadership
Wer Cyberattacken auf Unternehmen abwehren will, braucht mehr als nur Schutztechnologien. Ein ganzheitliches Schutzkonzept bezieht auch Mitarbeitende ein.
Denn diese können mit dem richtigen Verhalten Angriffsversuche via Phishing oder Social Engineering unterbinden. Daher nutzen Unternehmen Security Awareness Trainings, um das Bewusstsein für Cyberrisiken in der Belegschaft zu verbessern. Damit Teilnehmende nachhaltig lernen, setzen moderne Schulungen Gamification und Storytelling ein.
Können Sie sich noch an ihre letzte Fortbildung erinnern? Wahrscheinlich geht es Ihnen wie vielen Menschen. Die Informationen aus diesen, zumeist in Präsenz abgehaltenen Formaten sind fast wie die Wintervorräte eines Eichhörnchens: Irgendwann mal gesammelt, aber einige sind nie wieder gänzlich auffindbar. Dieser Vergleich mag etwas komisch anmuten, aber: Gelerntes Wissen ist leider flüchtig. Sehr flüchtig. Ein Grund: Der „klassische“ Frontalunterricht bei Präsenzschulungen – viel zu theoretisch, ohne Interaktivität, Verbildlichungen und von greifbarem Praxisbezug brauchen wir erst gar nicht reden. Dies kann drastische Konsequenzen mit sich bringen, gerade wenn wir von Fortbildungen sprechen, welche für die sichere Ausführung einiger Berufe absolut notwendig ist. Aber nicht nur dort: Dies kann aber auch teils massive Konsequenzen mit sich bringen, wenn etwa wichtige Lektionen der IT-Sicherheit nicht nachhaltig bei Angestellten im Gedächtnis bleiben, haben nicht nur sie selbst, sondern auch deren Arbeitgeber ein Problem.
Denn technologische Schutzmaßnahmen schützen Unternehmen nicht vollumfänglich vor allen Arten von Cyberattacken. Paradoxerweise gibt es keinen ausreichenden technologischen Schutz vor Angriffen, welche das schwächste Glied der Verteidigungslinie anvisieren: Den Menschen bzw. die Anwender*innen Insbesondere mit Phishing-Mails oder Social Engineering umgehen Angreifer*innen Schutzmechanismen und zielen direkt auf die Anwender*innen. Phisher nutzen gezielt perfide psychologische Tricks und verleiten Menschen zu Handlungen, welche sie naturgemäß sonst nie gemacht hätten.
Dabei ist ein Punkt hervorzuheben: Es darf nicht geblamed werden! Denn das Opfer trifft keine Schuld! Sie sind diejenigen welche angegriffen werden und nicht diejenigen, welche Schaden verursachen wollen. Jeder Mensch ist fehlbar! Die Frage muss also lauten: „Was hat dazu geführt, dass die Mitarbeiter*innen überhaupt auf eine Phishing-Attacke reingefallen sind. Woran liegt es, dass sie teils so eklatante Wissenslücken aufweisen?“ Wie kann man also verhindern, dass so etwas (erneut) passiert? Der Psychologe James Reason hatte in diesem Zusammenhang festgehalten, dass (menschliche) Fehler wie diese unter anderem ihren Ursprung in einer mangelnden Qualifikation der Personen haben und der Fehler daher eher auf der organisationalen Ebene zu suchen ist. Will übersetzt heißen: Wie sollen sie es denn richtig machen, wenn sie es nicht besser wissen bzw. es ihnen niemand jemals erklärt hat? Hier sind nun Unternehmen gefragt, Mechanismen zu implementieren, die den “Human Error” gar nicht erst zulassen. Mit Security Awareness Trainings lässt sich die Aufmerksamkeit gegenüber digitalen Risiken verbessern. Auf diese Weise wappnen Unternehmen sich und ihre Mitarbeitenden gegen derartige Angriffsversuche. Das Ziel: Die Sicherheit des Unternehmens, aber auch die persönliche Sicherheit im digitalen Zeitalter.
Nachhaltig fortbilden
Im Gegensatz zu gezielten, fachlichen Fortbildungen für einzelne Abteilungen gilt für Security Awareness Trainings: Jeder Lerner ist ein potenzielles Opfer für Cyberkriminelle. Daher müssen auch alle die Tricks der Angreifer*innen kennen, um damit richtig umgehen zu können. Es reicht nicht, die Belegschaft mit einem Rundbrief über die aktuellsten Angriffsversuche von Cyberkriminellen zu informieren. Der Lernerfolg ist hier vergleichbar mit dem vorhin schon kurz angesprochenen Frontalunterricht und geht praktisch gegen null. Diesem Gedanken folgend, bleibt/ist die Gefahr hoch, dass Mitarbeitende auf einen gefälschten Link klicken, da eben keine der wichtigen Informationen nachhaltig hängen bleibt. Daher fordern insbesondere Personalentwickler*innen nachhaltige Schulungen bzw. Trainingsformate.
Aber wie wird Lernen eigentlich nachhaltig? Die Antwort: Durch intrinsische Motivation, also durch Tätigkeitsanreize, durch Emotionalität, durch Spaß und einem direkten Praxisbezug auch über den Arbeitskontext hinaus. Hinzu kommt der Wunsch der Arbeitgebenden nach kurzen Lerneinheiten, denn Lernzeit ist schließlich Arbeitszeit. Auch diesem Wunsch kann nachgekommen werden, durch pointierte, responsive Microlearnings (also Kleinstlerneinheiten), welche die Lerner zeit- und ortsunabhängig absolvieren können. Kurzweilige Formate wie diese bringen die Kernaussagen der „klassischen“ großen E-Learnings als Quintessenz auf den Punkt und vertiefen die wichtigen Informationen nachhaltig durch etwa einen hohen Interaktionsgrad im Microlearning selbst. Das Trainingsportfolio dieses fiktiven Arbeitgebers besteht aber leider immer noch zu großen Teilen aus Videos und Multiple-Choice-Tests. Die Anforderungen der lernenden Personen und deren Lernverhalten hat sich aber im Lauf der letzten Jahre stark verändert. Um die Lerner als State-of-the-art-Arbeitgeber emotional abzuholen und um sie so intrinsisch zu motivieren, um dadurch den Lerntransfer zu maximieren, müssen ihnen ansprechend und innovativ gestaltete Formate angeboten werden. Das führt uns zu der Frage, was „moderne E-Learnings“ eigentlich sind bzw. was diese auszeichnet. Das ist zugegeben so gut wie unmöglich, denn: Die Geschmäcker, bzw. die Art und Weise wie die Menschen am liebsten lernen, unterscheiden sich und darüber soll man ja bekanntlich nicht streiten. Dennoch gibt es ein paar Aspekte, welche in der Diskussion rund um „moderne Formate“ nicht fehlen dürfen. Zwei zentrale Aspekte wollen wir im Folgenden näher betrachten: Storytelling und Gamification.
Gamification und Storytelling
Viele E-Learnings folgen dem sogenannten Storytelling-Ansatz. Dabei wird das Thema der Lerneinheit mit einer passenden Geschichte verknüpft. Im Zuge des Storytellings kommen speziell dafür geschaffene Charaktere zum Einsatz, sodass die Lernenden nicht nur durch eine erzählte Geschichte lernen, sondern das Gelernte auch an bereits vertraute Personen knüpfen können. Entscheidend ist: Unser Gehirn unterscheidet nicht, ob wir etwas selbst erleben oder ein fiktiver Charakter. Deshalb speichern wir die Information gut auf unserer Festplatte, dem Gehirn, ab. Bei allen Vorteilen von Storytelling gilt insbesondere die Regel: „In der Kürze liegt die Würze.“ Lerneinheiten, die länger als zehn Minuten sind, lassen die Aufmerksamkeit und den Spannungsbogen der Geschichte sinken – und damit auch den Lerneffekt. Daher ist es hilfreich, umfangreiche Themen in mehrere Episoden aufzuteilen.
Beim Thema Gamification ist es notwendig, zwei Begriffe voneinander abzugrenzen: „Gamification“ und „Game-based Learning“. Der zentrale Unterschied zwischen Gamification und Game-based Learning liegt in der „Experience“. Während Game-based Learning eher ein Lernparadigma darstellt, will heißen, eine Lernerfahrung mit vielen verschiedenen spielerischen Bestandteilen beschreibt, zielt Gamification auf die generelle Nutzung verschiedenster spielerischer Elemente ab. Und obwohl beide Begriffe per definitionem etwas anderes meinen, sind die Gemeinsamkeiten dennoch offensichtlich: Game-based Learning schafft ein spielerisches Umfeld zum Lernen, Gamification füllt dieses Umfeld mit den passenden spielerischen Elementen. Schlussendlich macht das eine nur in Kombination mit dem anderen Sinn.
Motiviert zum Lernziel
Game-based Learning zielt darauf ab, den Lerntransfer einer Schulung zu maximieren, indem es den Lerner durch einen hohen Interaktivitätsgrad aus seiner gelernten passiven Konsumhaltung herausholt. Ebenfalls wird durch die stark bildliche Darstellungsform und einer stringenten Erzählweise, Theorie oder Inhalt an Bilder geknüpft. Diesem Gedanken folgend, werden die Trainingsinhalte optimalerweise in einer eigenen Lernwelt, etwa in Form eines interaktiven Spiels angereichert mit einer Vielzahl von Gamification-Elementen (Schieberegler, Punktestand, Click-and-Reveal oder zeitgesteuerte Herausforderungen etc.) dargestellt. Ein erzählerischer Rahmen in Form von „Storytelling“ schafft eine dramaturgische Richtung und gleichsam positive Emotionen und motiviert die Lernenden. Ein klar vorgegebenes Ziel sorgt für eine hohe intrinsische Motivation während des gesamten Trainings. Die Lernenden fokussieren die Inhalte und sind über die Dauer des Trainings hoch motiviert. Diese anhaltende Fokussierung heißt „Flow“ – ein Zustand, in dem die Zeit zu verfliegen scheint. Um diesen Flow zu erreichen, muss ein Ziel vorhanden sein, welches die Lernenden aus der eigenen intrinsischen Motivation heraus erreichen wollen. Innerhalb eines Serious Games ist das leicht zu erreichen, da ein Spiel immer eine Geschichte und ein zu erreichendes Ziel hat. Menschen wollen ein Spiel bis zum Ende durchspielen – zumindest die allermeisten. Im Zustand des Flows werden die Lernenden weder über- noch unterfordert. Der Lerntransfer aus dieser intrinsischen Motivation heraus ist somit wiederum maximal.
Motiviert und nachhaltig lernen
Moderne E-Learning setzen verstärkt auf gute Geschichten und spielerische Elemente mit dem Ziel, den Lerntransfer zu maximieren. So kommen beispielsweise in einer eigenen Lernwelt wie etwa einem interaktiven Spiel Gamification-Elemente (Schieberegler, Punktestand, Click-and-Reveal oder zeitgesteuerte Herausforderungen) zum Einsatz. Ein Rahmen mit einer Geschichte sorgt für positive Emotionen und Motivation. Ein klar vorgegebenes Ziel schafft eine hohe intrinsische Motivation während des gesamten Trainings. Die Lernenden halten den Fokus auf das zu lernende Thema und sind über die Dauer der Lerneinheit hoch motiviert. Bleibt zum Schluss die Frage, die insbesondere Finanzverantwortliche stellen: Lohnen sich Security Awareness Trainings? Die eindeutige Antwort: Ja. Das belegt auch eine Studie von Osterman Research. Die Marktforscher haben die Schadensummen von Cyberattacken mit Kosten für Awareness-Schulungen verglichen und den Return on Invest (ROI) berechnet. So erzielen kleinere und mittelständische Unternehmen (bis 999 Angestellte) einen ROI von 69 Prozent, während der ROI bei größeren Organisationen (mehr 1.000 Mitarbeitende) durchschnittlich 562 Prozent beträgt. Zudem gehen die Schadensummen von Cyberattacken – Lösegeldzahlung, Produktivitätsverlust und Wiederherstellungskosten – schnell in die Millionenhöhe. Wenn diese durch gut geschulte Mitarbeiter gar nicht erst verursacht werden, haben sich die initialen Kosten für Security Awareness Trainings schnell amortisiert.
