Spielerisch Risiken bewusst machen – Wie Gamification zu mehr Awareness im Bereich IT-Security beiträgt

by Annecilla Sampt

Sicherheitsmaßnahmen werden in Unternehmen oft unterschätzt oder scheitern an der Kostenfrage. Im Bereich Informationssicherheit sind gesetzliche Bestimmungen noch locker – mit der neuen EU-Datenschutz-Grundverordnung, welche im Mai 2018 in Kraft treten wird, ändert sich dies allerdings schlagartig. Bewusstes oder unbewusstes Fehlverhalten von Mitarbeitern wird zum massiven Risiko. Unternehmen müssen sich jetzt mit dem Thema Sicherheitsawareness auseinandersetzten. Alexander Krenn hat als Abteilungsleiter IT Governance-, Security- & Riskmanagement bei den  Österreichische Lotterien dazu praktische Erfahrungen gesammelt. Mit seinem Unternehmen nextbeststep.at erarbeitet er Konzepte, Bewusstsein für den sicheren Umgang mit Daten und Software auf spielerischen Weg zu schaffen. Im Gespräch im Vorfeld seines Workshops beim 6. Confare Swiss CIO SUMMIT verrät er uns, welche Rolle Gamification bei der Verbesserung des Sicherheitsstatus wirklich spielt.

Woran scheitern Sicherheitsmaßnahmen im Unternehmen?

Leider gibt es sowohl in Österreich als auch in der Schweiz immer noch unzureichende rechtliche Rahmenbedingungen und damit verbunden mangelnde Management-Awareness. Stand Heute ist Informationssicherheit gesetzlich noch nicht wirklich geregelt und wird daher von vielen Unternehmen noch stiefmütterlich behandelt. Mit der Datenschutz-Grundverordnung, die mit 25.Mai 2018 in Kraft treten wird – ändert sich das schlagartig innerhalb der EU. Auch in der Schweiz werden sich die gesetzlichen Rahmenbedingungen demnächst ändern (https://www.admin.ch/opc/de/federal-gazette/2017/3097.pdf). Woran Sicherheitsmaßnahmen scheitern, kann nicht pauschal beantwortet werden und hängt von vielen Rahmenbedingungen ab. In welcher Branche ist das Unternehmen tätig? In welchem Umfang unterstützt die Informationstechnologie die wertschöpfenden Prozesse? Welchen Stellenwert hat Sicherheit im Unternehmen usw. usf.? Eines aber ist überall gleich: Maßnahmen zur Steigerung der Informationssicherheit und des Datenschutzes sind in den Bereichen Prozesse, Menschen und Technik notwendig. Es ist wichtig, die Maßnahmen in diesen Bereichen sorgfältig aufeinander abzustimmen. Regelmäßige Sicherheits-Assessments zeigen die größten Schwächen auf und helfen dabei, die richtigen Maßnahmen umzusetzen. Eine wichtige Voraussetzung ist, dass der Sicherheitsverantwortliche das Business versteht und die Maßnahmen im richtigen Umfang etabliert.

Welche Rolle kann Gamification spielen, wenn es um die Verbesserung des Sicherheitsstatus des Unternehmens geht? Gamification ist der Versuch, ein ernstes Thema spielerisch zu vermitteln. Dabei werden über einen längeren Zeitraum verschiedene Wettbewerbe ausgetragen und Preise vergeben. Der Spieltrieb steckt in uns Menschen – mit den richtigen Reizen aktiviert, bewirkt er, dass sich die Mitarbeiter motiviert einbringen. Ein gutes Beispiel stellt das von uns entwickelte Spiel „Fortress vs. Hackers“(TM) dar. Dabei versucht eine Gruppe von Angreifern/Hackern, Zugang zu den Informationen der Fortress AG zu erhalten. Die Gruppe der Verteidiger unternimmt natürlich alles, dies zu verhindern. Was wir dabei beobachten ist, dass Emotionen und Gefühle in Kombination mit der Vermittlung von Fachwissen zu einer besseren Lernerfahrung führen als Frontalvorträge. Sammelkarten mit darauffolgenden Quizfragen, Simulationsspiele wie z.B. eine Phishing-Simulation und dergleichen sorgen für Abwechslung und helfen dabei, das Thema im Gedächtnis zu behalten. Spiel, Spaß und Spannung sind also ein sehr geeignetes Mittel, um die Bereiche Mensch und Prozesse zu entwickeln. Der 4. Abschnitt der Botschaft zum Informationssicherheitsgesetz in der Schweiz (https://www.admin.ch/opc/de/federal-gazette/2017/2953.pdf) sieht vor, personelle Maßnahmen zu etablieren. Zitat daraus: „Die verpflichteten Behörden und Organisationen müssen ihre Angestellten und Auftragnehmer ausreichend ausbilden. Im Bereich der Informationssicherheit genügt eine einmalige Ausbildung nicht. Die Arbeit- und Auftragnehmerinnen und -nehmer müssen regelmässig geschult und sensibilisiert werden.“

Wie unterscheiden sich spielerische von herkömmlichen Methoden der Wissensvermittlung? Wie sehen konkrete Ergebnisse aus?

Ich bin ehrenamtlicher Nachwuchs-Fussballtrainer. Eines meiner Prinzipien bei der Trainingsgestaltung ist „Niemand steht!“. Das hat sich über die Jahre sehr bewährt. Ich habe dieses Prinzip von John Wooden, einem legendären Basketballtrainer gelernt, der seine Prinzipien aus dem Sport auch Leadern im Business vermittelt (Buch: Wooden on leadership). Aktives Lernen, gepaart mit Emotionen wie Spaß, Freude, Enttäuschung, Spannung usw. helfen dabei ein Thema zu erlernen. Die Teilnehmer sollten dabei stets aktiv sein. Der Österreichische Fussballbund hat das für unsere Nachwuchsspieler ebenfalls erkannt und die sogenannte STS-Methode (Spiel-Technik-Spiel) etabliert. Einer unserer Teilnehmer hat mir vor kurzem eine sehr nette Geschichte erzählt. Er habe vor etwa 20 Jahren eine Ausbildung zum Projektmanager genossen. In einem Modul hatten sie die Aufgabe, eine Figur aus Legosteinen zu bauen. Dabei war weniger das Ergebnis, als der Prozess relevant und lehrreich. Ich habe ihn gefragt, ob er sich neben diesem Spiel auch noch an andere Dinge der Ausbildung erinnert. Er hat das zwar bejaht, gleichzeitig aber relativiert: „Das Spiel und die daraus gezogenen Lehren sind mir am Besten in Erinnerung! Vieles davon, setze ich immer noch um.“. Ich wünsche mir, dass mir in 20 Jahren einmal jemand etwas Ähnliches über „Fortress vs Hackers“ erzählen wird.

Was darf Sicherheit kosten? Wonach sind Investitionen in Sicherheitsawareness zu beurteilen?

Du stellst sehr anspruchsvolle Fragen! Eine gute Sicherheit muss nicht unbedingt teuer sein. Was lebt die Führungsebene vor? Mitarbeiter kopieren dieses Verhalten oftmals in ihrem Arbeitsalltag. Ein Top-Down-Approach kostet nicht viel, wirkt aber oft sehr stark. Natürlich ist es umgekehrt wenig förderlich, wenn der Vorstand als einziger an der Schleuse vorbei das Bürogebäude betritt, als einziger nicht den Standard-Laptop benützt oder von der periodischen Passwortänderung ausgenommen wird. Alles Dinge, die uns leider oft begegnen. Eine sicherheitsaffine Führungsebene bewirkt Wunder. Zu den Kosten: Es gibt ein Band das sich irgendwo zwischen 2 und 10% des IT-Budgets bewegt. Hohe Kosten bedeuten aber nicht unbedingt hohe Sicherheit. Ich kenne Firmen, die ganz wenig investieren und trotzdem sicherer sind als andere, die wesentlich mehr investieren. Jeder Mitarbeiter soll Sicherheit in seine täglichen Entscheidungen miteinbeziehen und Entscheidungen sorgfältig abwägen. Kleine Schritte bewirken langfristig große Veränderungen – wenn die Hebel an den richtigen Stellen bewegt werden, überhaupt! Investitionen in Sicherheitsawareness haben stets das Ziel, eine Verhaltensänderung zu bewirken. Ich habe eine Liste von etwa 15 solchen Verhaltensänderungen, die ich unseren Auftraggebern zur Reihung vorlege. Da kommt der eine oder andere dann schon ins Schwitzen. Ist es wichtiger, keine vertraulichen Dokumente am Schreibtisch liegen zu lassen, oder die Merkmale von Phishing-Mails zu kennen? Je nachdem, welches Verhalten verändert werden soll, gestaltet sich die Investition, Messung, Methode und Beurteilung. Wir machen dazu gerne auch Begehungen vor und nach den Awareness-Maßnahmen bzw. versenden und Messen auf Wunsch Phishing-Mails. Firmen sollten ihren Mitarbeitern – zumindest sagt das meine Erfahrung –  unbedingt auch Raum für private Fragen gestatten. Wie z.B. schalte ich das Geo-Tagging auf meinem Smartphone aus, damit Instagram, Facebook und Co. meine Bewegungsdaten nicht erhält. Wie erstelle und verwalte ich sichere Passwörter? Wenn ein Mitarbeiter privat achtsam und bewusst mit dem Thema Sicherheit umgeht, dann macht er das auch im beruflichen Alltag!

Mehr über nextbeststep finden Sie hier: http://www.nextbeststep.at/

Treffen Sie Alexander Krenn und weitere hochkarätige CIOs und IT-Manager am 26. September auf dem 6. Confare Swiss CIO SUMMIT in Zürich.  Hier wird mit dem SWISS CIO AWARD auch die Auszeichnung für die besten IT-Manager der Schweiz verliehen. Der Preis wird von Confare in Zusammenarbeit mit EY Switzerland vergeben. Anmeldungen und Details auf www.ciosummit.ch  

 

Mehr Security? Confare Seminar CYBERSECURITY FÜR DAS DIGITALE ZEITALTER: Details und Anmeldung:

Interessantes VIDEO: Swiss CIO AWARD 2016:

Für Sie ausgewählt

Leave a Comment