Wie gamifizierte Trainingsmethoden die Resilienz gegenüber Cyberangriffen erhöhen

Resilienz, Gamifizierung, Gamification
LinkedInXingPocketWhatsAppFlipboard

Nicht zuletzt aufgrund der Tatsache, dass die Mitarbeitenden als initialer Angriffsvektor zunehmend in das Visier von Cyberkriminellen rücken, wird der Aufbau von Resilienz – der Fähigkeit, Angriffen vorzubeugen, beziehungsweise ihnen standzuhalten und sich von ihnen zu erholen – zu einem entscheidenden Teil der Sicherheitsstrategie von Unternehmen.

John Blythe, Director of Workforce Psychology bei Immersive Labs, erläutert, warum gamifizierte Trainingsmethoden dafür aus psychologischer Sicht am besten geeignet sind.

Anzeige

Neun von zehn deutschen Unternehmen sind, einer Studie des Digitalverbands Bitkom zufolge, im vergangenen Jahr Opfer von Datendiebstahl, Spionage oder Sabotage geworden. Der Wirtschaft ist damit ein jährlicher Schaden von rund 203 Milliarden Euro entstanden. Insbesondere Angriffe auf Passwörter, Phishing und die Infizierung mit Schadsoftware haben in den Unternehmen Schäden verursacht. Der Faktor Mensch spielt dabei eine immer größere Rolle: Passwortmüdigkeit, ein unachtsamer Klick auf eine schädliche E-Mail oder das unbedachte Herunterladen externer Apps und Dateien führen dazu, dass Mitarbeitende und damit Unternehmen Opfer schwerwiegender Cyberangriffe werden. Eine gute Sicherheitsstrategie setzt deshalb nicht mehr nur auf technische Vorkehrungen, sondern zielt auf die Aktivierung der Mitarbeitenden als erste Verteidigungslinie ab. Effektive Cybersicherheitstrainings, die begeistern, sind jedoch Mangelware. Da traditionelle Trainingsmethoden mit der sich ständig verändernden Bedrohungslandschaft kaum Schritt halten können, sind neue Ansätze gefragt. Einer davon ist Gamifizierung.

Spieltypische Elemente in spielfremden Bereichen

Gamifizierung basiert auf Methoden und Denkweisen, die denen von klassischen Spielen zugrunde liegen. Der Einsatz spieltypischer Elemente – wie zum Beispiel Levelaufstieg und Ranglisten, aber auch Storytelling – in spielfremden Bereichen soll motivieren, sich gesteckten Zielen mit mehr Engagement zu widmen und auch die Nutzerbindung stärken. Geht es um das Thema Cybersicherheit, mag es für die Mitarbeitenden bisweilen wenig animierend sein, trockene Präsentationen über sich ergehen zu lassen und lange Prozeduren zu durchlaufen, um komplexe technische Zusammenhänge zu erschließen. Neugier wecken statt Zwänge erzeugen – das ist der Grundgedanke hinter gamifizierten Trainingsmethoden im Bereich der Cybersicherheit. Dabei greifen diese auch auf psychologische Mechanismen zurück: Cybersicherheitstrainings, die mit Belohnungen – einem Punktesystem oder unmittelbarem positivem Feedback – arbeiten, stimulieren beispielsweise das Belohnungssystem im Gehirn und motivieren die Mitarbeitenden so, gesteckte Ziele zu erreichen, beziehungsweise bestimmte Handlungen zu wiederholen, um Gefühle wie Zufriedenheit und Freude erneut herbeizuführen.

Mit Gamifizierung zu intrinsischer Motivation

Der Grund, warum traditionelle Cybersicherheitstrainings nicht die gewünschte Wirkung erzielen, ist, dass sie sich in den meisten Fällen auf die Sensibilisierung der Mitarbeitenden fokussieren, was jedoch nur selten zu einer tatsächlichen Verhaltensänderung führt, da die Motivationsbarrieren bleiben. In puncto nachhaltiger Lernerfolg und Kompetenzaufbau allerdings ist Motivation ein wesentlicher Faktor, insbesondere die intrinsische Motivation. Denn hierbei werden Menschen durch Interesse und Freude angetrieben, sind ambitioniert und selbstbestimmt, und empfinden eine Befriedigung in der Tätigkeit, die sie an sich bereits als Belohnung betrachten.

Aus psychologischer Sicht ist für die Erzeugung von intrinsischer Motivation die Befriedigung dreier Bedürfnisse von zentraler Bedeutung:

  • Kompetenz – Hier geht es um den Glauben daran, bestimmte Aufgaben bewältigen zu können. Etwa mittels Herausforderungen unterschiedlicher Schwierigkeitsgrade rund um die neuesten Bedrohungen, die Lernende motivieren, in simulierten Szenarien kreative Problemlösungen zu finden. Diese Szenarien können das gesamte Spektrum der Cybersicherheit in Unternehmen abdecken – vom allgemeinen Sicherheitsbewusstsein bis hin zu komplexen offensiven und defensiven Fähigkeiten. Das Setzen einzelner Meilensteine und anspruchsvoller Ziele spielt dabei eine tragende Rolle, denn es trägt dazu bei, das Selbstvertrauen zu stärken und die Zufriedenheit zu erhöhen. Die Visualisierung des Fortschritts und ein Entwicklungsprozess, der durch regelmäßiges Feedback begleitet wird, motivieren dazu, dranzubleiben und sich kontinuierlich zu steigern.
  • Gemeinschaftsgefühl – Zusammenarbeit und Wettbewerb schaffen Verbundenheit und fördern die Motivation, Aufgaben oder Krisensimulationen im Team zu bewältigen. Gleichzeitig entsteht durch Wettbewerb ein sozialer Druck, der das Engagement steigert, sich weiter Wissen anzueignen. Der Vergleich mit anderen kann auch die gegenseitige Unterstützung und Zusammenarbeit fördern und damit die soziale Bindung innerhalb der Teams weiter stärken.
  • Autonomie – Unabhängig davon, ob sich Mitarbeitende dafür entscheiden, einen bestimmten Karriereweg einzuschlagen, sich einer technischen Herausforderung zu stellen oder sich in bestimmten Sicherheitsbereichen weiterzubilden, ist Autonomie der Schlüssel zu positiven Lernergebnissen. Den Menschen die Kontrolle über ihre eigenen Erfahrungen zu geben, ist eine entscheidende Komponente des selbstgesteuerten Lernens. Durch die Wahlmöglichkeit sind sie in der Lage, Prioritäten zu setzen und auszuwählen, welche Lernbereiche für sie am wichtigsten sind. Dies hilft dabei, ihre Stärken und Schwächen im Bereich Cybersicherheit zu erkennen – ein wichtiger Schritt beim reflektierten Lernen sowie beim Kompetenzaufbau.

Indem sie diese drei Bedürfnisse abdecken, erzeugen gamifizierte Cybersicherheitstrainings bei den Mitarbeitenden eine positive Lernerfahrung, die Lust macht auf mehr, und die intrinsische Motivation, ihre Fähigkeiten kontinuierlich zu verbessern, um neue Herausforderungen zu bewältigen – die Grundlagen für nachhaltigen Lernerfolg und den Aufbau von Resilienz gegenüber aktuellen und neu aufkommenden Cyberbedrohungen aufseiten von Mitarbeitern und Teams, und letztendlich des gesamten Unternehmens.

Whitepaper Security Awareness Trainings
Security Awareness Trainings: Das vorliegende Whitepaper beschäftigt sich mit der Frage, welche Rolle Mitarbeitende beim Thema IT-Sicherheit spielen (Spoiler: eine sehr wichtige) und wie E-Learnings helfen, das Bewusstsein der Menschen für einen sicheren Umgang mit der IT zu verbessern.
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Fazit

Das Angebot an Cybersicherheitstrainings ist reichhaltig. Jedoch resultieren traditionelle Ansätze zumeist in einer spröden Lernerfahrung, die in Vergessenheit gerät, sobald sie abgeschlossen wurde, und sind darüber hinaus zu unflexibel, um mit der sich ständig verändernden Bedrohungslandschaft Schritt zu halten. Nachhaltige Trainings- und Weiterbildungsansätze hingegen setzen auf gamifizierte Inhalte, die die Mitarbeitenden intrinsisch motivieren und ihnen die Möglichkeit geben, ihre Fähigkeiten in dynamischen, praxisbezogenen Szenarien selbstbestimmt auszuloten und ihre Kompetenzen durch kontinuierliches Training und Feedback zu verbessern.


John Blythe Immersive Labs
John Blythe Immersive Labs

John

Blythe

Immersive Labs -

Director of Workforce Psychology

Anzeige

Artikel zu diesem Thema

Cybersecurity
7. März 2023
Cybersicherheit – Die Herausforderungen im Jahr 2023
Gamification
6. Januar 2023
Mehr IT Sicherheit dank Gamification

Weitere Artikel

Security Awareness
Jedes zweite Unternehmen bietet nur Präsenz-Security-Trainings an.
Security Awareness
NIS-2 macht Security Awareness Schulungen unerlässlich
Security Awareness
Social Engineering: Eine Bedrohung für die betriebliche Technologie
Cyber & Cloud Security
Cyberresilienz: Auch ein SOC braucht Hilfe
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.