Durch Gamification zu mehr Information Security?

Faktor Mensch

Martin Wundram, Phil Knüfer, Robert Mittendorf

In unserer vernetzten Welt mit allgegenwärtiger IT bleibt der Mensch als Anwender, IT-Experte oder Entscheider ein wesentlicher Faktor für Informations(un)sicherheit. Spielerische Übungen können Awareness, Fachwissen, Praxis und Teamarbeit im Vorfeld verbessern und aus der „Schwachstelle Mensch“ einen verantwortungsvollen Nutzer machen.

Gamification ist ein noch verhältnismäßig junges Mittel der Mitarbeitersensibilisierung, das aber auf mehr Interesse und bessere Wirkung hoffen lässt als andere Schulungsmethoden. Viele herkömmliche Schulungen haben daher auch spielerische Elemente integriert.

Da es an Erkenntnissen und Erfahrungen mit spielerischen Ansätzen im Bereich Awareness mangelt, gilt die Devise „selbst ausprobieren“. Hilfreich ist in jedem Fall das genaue Definieren der Zielsetzung und der Zielgruppe.

Das Einnehmen anderer Rollen als der eigenen schafft auch einmal einen veränderten Blickwinkel und damit neue Einsichten. Als Nebeneffekt kann das Verständnis für die Situation von Kollegen wachsen, was der Zusammenarbeit zugutekommt.

Wingsuit-Springer, die in ihrer Freizeit durch ein kleines, felsiges Nadelöhr fliegen, oder Skifahrer, die als Hobby einen spektakulären Steilhang herunterfahren, werden wohl zuerst ihren Nervenkitzel oder andere Freuden im Blick haben und weniger die damit verbundenen Gefahren für Leib und Leben. Menschen, die mit riskanten Tätigkeiten ihr Leben bestreiten, etwa Drahtseilkünstler, Rennfahrer oder Soldaten, haben eher ein Interesse am Erhalt der eigenen Arbeitskraft.

Damit ist gemeint, Gefahren systematisch zu untersuchen und mit ihnen umzugehen, also kontinuierlich ein Risikomanagement zu betreiben. Die allgemeine Erfahrung zeigt aber auch immer wieder, dass bei vermeintlich risikofreier Tätigkeit oder sehr abstrakten Gefahren Menschen kaum Zeit und Aufwand in Gefahrenminimierung investieren.

So wird ein durchschnittlicher Büroarbeiter in einer durchschnittlichen deutschen Stadt wohl weder von sich aus Evakuierungsübungen durchführen, um bei Feuer oder Jahrhunderthochwasser schnell das Gebäude verlassen zu können, noch wird er aus Sicherheitsgründen jeden im Gebäude nach dem Dienstausweis fragen. Getreu dem Standpunkt „es wird schon gut gehen“ vertraut er darauf, dass bestimmte Ereignisse nicht eintreten.

Gefahren erscheinen abstrakt und vernachlässigbar

Anders als in den oben genannten Gefahrensituationen geht es in der IT in der Regel nicht um Leben und Tod. Und selbst bei vernetzten Beatmungsgeräten oder Narkosecomputern erscheinen kritische Folgen nach einem IT-Angriff, etwa mittels Schadsoftware, vielen so abstrakt, dass sie sich selbst nicht in der Verantwortung sehen – ein anderer wird sich schon darum gekümmert haben.

Doch die Liste der publizierten IT-Schwachstellen und -Sicherheitsvorfälle ist lang: Sie reicht von leicht vermeidbaren Fehlern wie herstellerseitig nicht gesetzten Passwörtern für Remote-Admin-Schnittstellen über fahrlässig geöffnete E-Mails mit „speziellem“ Anhang bis hin zu hochkomplexen Angriffen auf gut geschützte IT-Umgebungen. Es muss also offenbar mehr getan werden, als Firewalls, Intrusion Detection, Virenscanner und Co. einzusetzen: sowohl auf der präventiven Seite, der Verhinderung von Zwischenfällen, als auch auf der reaktiven Seite beim wirksamen Umgang mit sicherheitsrelevanten Vorfällen. Ziel muss daher sein, dass Entwickler sichere Systeme herstellen, Administratoren sie sicher betreiben, Anwender sicher im Alltag damit umgehen und Entscheider dafür die Weichen stellen. Dabei haben alle Beteiligten typischerweise einen anderen Erfahrungs- und Wissenshorizont sowie unterschiedliche Bedürfnisse. Doch es gilt, und das ist ebenfalls eine Binsenweisheit: Eine Kette ist nur so stark wie ihr schwächstes Glied.

Menschen brauchen also zunächst ein an den jeweiligen Schutzbedarf angepasstes Problembewusstsein, eine sogenannte Awareness. In einem zweiten Schritt müssen die nötigen Kompetenzen und Werkzeuge verfügbar sein. Statt dies nur in Büchern oder mittels Frontalunterricht zu vermitteln, bieten praxisnahe Awareness-Workshops und „Gamification“ eine Alternative, die den Lernenden als aktiv Handelnden einbeziehen. Dies ist besonders dann sinnvoll, wenn Sicherheit nicht oder nur schwer erzwungen werden kann: „Alle müssen Sicherheitsschuhe tragen“ oder „Jeder Mitarbeiter muss ein 20-stelliges Passwort wählen und es jeden Monat ändern“.

Mehr Motivation durch spielerischen Ansatz

Die Beschäftigung mit zunächst eher abstrakten oder scheinbar unwichtigen Themen bietet durch Gamification die Chance, wichtige Abläufe mit mehr Motivation zu üben und mehr Verständnis und Bereitschaft für Gründlichkeit zu entwickeln. Dies gilt für IT-Laien wie -Experten gleichermaßen; die „Spiele“ müssen allerdings zielgruppengerecht gestaltet sein.

Der iX-Awareness-Wettbewerb: Kreativität gefordert!

Es ist egal, ob Sie „Das kann man nebenbei machen“-Administrator in einem Kleinbetrieb, Chief Security Officer eines Dax-Konzerns oder Sicherheitsbeauftragter einer Behörde oder Uni sind – Sie müssen es schaffen, die Aufmerksamkeit der Angestellten für IT-Sicherheit zu schärfen, und zwar dauerhaft. Oder diese Aufmerksamkeit überhaupt erst einmal zu wecken …

Um diesen Prozess zu unterstützen, hat die Redaktion den iX-Awareness-Wettbewerb ins Leben gerufen. Berichten Sie uns, wie Sie die „Awareness“ für Sicherheitsprobleme in Ihrer Firma, Behörde oder Bildungseinrichtung verbessert haben. Es sollte sich dabei um tatsächlich stattgefundene – oder noch laufende – Maßnahmen handeln, und es interessiert natürlich auch die Resonanz darauf.

Die besten drei Ideen werden prämiert und auf den Internet Security Days 2017 (28./29. September, Phantasialand Brühl) vorgestellt. Die Gewinner sind dazu zum kostenlosen Konferenzbesuch eingeladen. Außerdem erhält jeder Gewinner einen AVM-Router 7770.

Schildern Sie uns per E-Mail an post@ix.de bis zum 31. August 2017, mit welchen Maßnahmen Sie die Awareness steigern konnten. Senden Sie Ihre E-Mail mit der Betreffzeile „Awareness-Kampagne 2017“, damit wir sie leichter zuordnen können. Wenn möglich, hängen Sie auch ein Foto oder einen Screenshot zur Illustration Ihrer Awareness-Maßnahme an.

Die Gewinner werden in der ersten Septemberwoche benachrichtigt und auf den ISD 2017 vorgestellt.

Aus dem Themenkreis „Awareness“ ist für die IT-Sicherheit „Situation Awareness“, also ein Situationsbewusstsein, von besonderer Bedeutung. Nach dem Modell der Ingenieurin und Wissenschaftlerin Mica Endsley [1] gliedert sich der Prozess der Sensibilisierung in die drei voneinander abhängigen Bestandteile Wahrnehmung (Sensorik), Verstehen der Bedeutung und zutreffende Voraussage für eine ausreichende Zeitspanne. Sie bilden die Grundlage für das Abwägen der Handlungsoptionen und ihre anschließende Umsetzung.

Nach Elizabeth Redden wird die Fähigkeit, ein solches Situationsbewusstsein auszubilden, maßgeblich geprägt von der Qualität der Sensorik (akkurate und zeitnahe Wahrnehmung), starken kognitiven Fähigkeiten und Erfahrung.

Wie kommt nun die Gamification ins Spiel? Gamification bedeutet wörtlich so viel wie „zum Spiel machen“. Es herrscht Einigkeit darüber, dass sich Gamification durch die Anwendung (computer)spielähnlicher Elemente auf ursprünglich nicht spielerische Kontexte auszeichnet. Schwierig ist hingegen eine klare Abgrenzung, was ein Spiel ist, und damit auch die Frage, was typische Elemente eines (Computer-)Spiels sind.

Spiel oder nicht Spiel, das ist die Frage

Einige Konzepte weisen eindeutig auf spielerische Kontexte hin. Dazu gehören etwa (Erfahrungs-)Punkte, einschließlich spezieller Währungen, die man sich erarbeitet und für die man entweder Belohnungen erhält oder die dem Vergleich mit anderen Spielern dienen. Oftmals sind dazu Punkte mit Erfahrungsstufen (Leveln) und/oder Ranglisten kombiniert. Auch „Achievements“, also Abzeichen für spezielle Leistungen, sind typische Elemente heutiger Computerspiele und werden in der Gamification oft angewendet.