„Boah, mir ist jetzt schon langweilig! Online-Seminar, wenn ich das schon höre… Und worum soll es hier jetzt ZWEI STUNDEN lang gehen? Cybersecurity? Und was soll SAT nun schon wieder bedeuten – Security Awareness Training? Das weiß ich doch eh schon alles!“ Einen solchen inneren Monolog oder gar hörbaren Stoßseufzer könnte man vermutlich zu Beginn vieler klassischer Fort- und Weiterbildungen nicht nur zu Sicherheitsthemen erleben. Aber bestimmt nicht bei der, an der wir für Sie teilgenommen haben…
Die Ausgangslage: Es hat sich nicht nur in Studien häufig erwiesen, sondern inzwischen sogar auch allgemein herumgesprochen, dass eine besonders vielversprechende, im Erfolgsfall schnelle und im Vergleich zu anderen Methoden geringe Investitionen erfordernde Methode für zum Beispiel den Diebstahl wertvoller oder sonstig sensibler Daten sich der Mitarbeiter des anvisierten Unternehmens bedient – wir reden vom sogenannten „Social Engineering“, bei dem es um eine Manipulation des Mitarbeiterverhaltens in die von den Verbrechern gewünschte Richtung geht. Da dies erwiesenermaßen häufig gelingt, sind Info-Veranstaltungen oder gar Trainings und Seminare, die auf eine Erhöhung des Sicherheitsbewusstseins zielen, grundsätzlich ausgesprochen aussichtsreiche Investitionen und entsprechend im Kommen. Ihr Ziel ist – vereinfacht ausgedrückt – eine präventive Verhaltensänderung bei der „Schwachstelle Mensch“, um besser für Social-Engineering-Attacken gerüstet zu sein. Dabei geht es keinesfalls um Paranoia und krankhaftes Misstrauen gegen alles und jeden. Aber um ein gesundes Risikobewusstsein als Bestandteil einer Sicherheitskultur im Unternehmen geht es sehr wohl.
Großer Bedarf besteht dafür laut u. a. G DATA ganz allgemein: „Unternehmen in Deutschland kämpfen weiterhin mit erheblichen Wissenslücken ihrer Belegschaft beim wichtigen und vielfältigen Thema IT-Sicherheit. Besonders in den Bereichen der zukunftsträchtigen Nutzung von Künstlicher Intelligenz, Phishing und Datendiebstahl attestieren Arbeitnehmende ihren Kolleginnen und Kollegen große Defizite“, so ein Ergebnis der repräsentativen Studie „Cybersicherheit in Zahlen“ von G DATA CyberDefense, Statista und brand eins. Selbst Mitarbeiter aus den Abteilungen IT und IT-Security verfügen aus Sicht der Befragten oft über nicht ausreichende Fachkenntnisse: „Hierdurch ergibt sich ein akuter Handlungsbedarf für IT-Verantwortliche in Unternehmen. Jeden Tag landen unzählige Spam- und Phishing-Mails in den Postfächern von Arbeitnehmenden, zum Beispiel angebliche Aufforderungen zur Verifizierung von Benutzerkonten. Daher ist es für Unternehmen unerlässlich, dass ihre Belegschaft über ein ausreichendes Know-how verfügt, um betrügerische Mails und andere Cybergefahren zu erkennen. Damit tragen sie entscheidend zur Unternehmenssicherheit und dem wirtschaftlichen Erfolg ihres Arbeitgebers bei. Die Ergebnisse der Studie zeigen allerdings, dass dies nicht der Fall ist: Eine große Wissenslücke besteht aus Sicht der befragten Arbeitnehmenden mit mehr als 34 Prozent beim Thema Phishing und Datendiebstahl.“ Weitere besonders lückenhafte Kompetenzbereiche sieht die Studie fatalerweise etwa bei Malware/Ransomware, Identitäts- und Zugriffsmanagement (IAM – Identity Acces Management, auf gut Deutsch: „wer darf was“).
Also müssen Veranstaltungen her, die hoffentlich sowohl das Problembewusstsein schärfen wie auch besagte Wissenslücken dauerhaft stopfen. Problematisch und den Erfolg gefährdend ist dabei nur, wenn ein SAT auf die ganz oben skizzierte bornierte Haltung stößt oder das häufig etwas trocken wie auch bisweilen offensichtlich wirkende Thema oder seine Präsentation die Teilnehmer nicht „abholt“, wie man neudeutsch sagt. Das ist misslich für die Unternehmenssicherheit, denn so kann die Durchführung der Veranstaltung sogar ein trügerisches Sicherheitsgefühl bewirken.
Und hier setzt nun die Mindcraft Academy an, interessanterweise eine Marke der Fabula Games GmbH, die also die Gamification schon im Namen trägt. Das Motto des Unternehmens ist „Protect your brain!“, sein Claim: „Serious Games und Gamification Simulationen sind 360 % effektiver als E-Learnings.“ Hier soll das „Serious“ sicher der Vorstellung entgegenwirken, Spielerisches, mithin also auch Gamification, sei etwas Leichtfertiges, leicht Frivoles, das in der Arbeitswelt nichts zu suchen hat. Überdies geht es bei potenziell existenzbedrohenden Angriffen ja auch wirklich um eine todernste Sache.
Weil bei einem solchen Thema Papier besonders geduldig scheint, haben wir das freundliche Ansinnen gerne angenommen, doch einfach einmal an einem „Live-Training“ von Mindcraft teilzunehmen – konkret am „Cyber Security Game Event“. Spoiler vorab: Das Format wurde als kurzweilig erlebt – die zwei Stunden vergingen wie im Fluge – sowie als attraktiver Hybrid aus:
- Live-Moderation (Und zwar sehr souverän und angenehm. Allein schon der dialogische Einsatz zweier stark unterschiedlicher Sprechstimmen und Persönlichkeiten ist eine Wohltat für die eigene Aufmerksamkeitsspanne).
- „Klassische“ Wissensvermittlung (Vortrag, Beispielvideos, Präsentation)
- Interaktive Vertiefung und Lernstandsüberprüfung durch Sequenzen à la Video- oder Computerspiel.
Die vermittelten Themen waren:
- Phishing, Vishing („Voice Phishing“) und Smishing (Phishing mit mobile Textnachrichten).
- Baiting (mit attraktiv wirkenden „Ködern“ locken).
- Passworte und Passwort-Hacking (was sind überhaupt sichere Passwörter, was
Passwort-Manager, warum sind 2FA- und MFA-Authentifizierung sowie Passkeys vorzuziehen?) - Auch das eigentlich nicht zu den „Cyber“-Attacken zählende, da in der realen Welt der Zugangskontrolle stattfindende Tailgating wurde behandelt – sinnvoll, da der Zutritt einer unbefugten Person eine folgende Cyberattacke erst ermöglichen kann.
Die spielerischen Anteile sind organisch eingefügt, werden also nie als künstlich oder Fremdkörper erlebt. Geschickt, da recht unauffällig integriert, bringen sie ein gewisses agonales Element ein (den „Wettkampf“ gegen einen Bösewicht im Spiel, teils auch gegen andere Teilnehmer), das wiederum der eigenen Konzentration enorm guttut. Zudem sind sie psychologisch geschickt eingesetzt: Wer würde nicht gerne frisch erworbenes Wissen einsetzen, um einem Gefängnis zu entrinnen, in das ihn ein Spielschurke geworfen hat?
Um allerdings durch all dieses Lob etwaig zu hoch gesteckten Erwartungen entgegenzuwirken: Die Grafik sämtlicher Spielszenen entspricht keinesfalls dem, was man von auch nur annähernd aktuellen PC- oder gar Konsolenspielen gewohnt sein könnte. Hingegen wäre es angebrachter, von einem gewissen Neunziger-Jahre-Charme zu sprechen. Auf der anderen Seite würde eine Ästhetik à la Lara Croft („Tomb Raider“) oder gar „Call of Duty“ vermutlich schnell wieder den unerwünschten Vorwurf „Das ist doch nur Spielerei“ provozieren.
Wie bereits erwähnt, die Zeit im Event vergeht wie im Fluge. Persönliches Fazit: Trotz Vorwissens durch die eigenen Tätigkeitsfelder dennoch und gerne dazugelernt. Größter Lerneffekt: Wie gut bis brillant die Angriffe heutzutage tatsächlich sind – diese Angriffe haben rein gar nichts mehr mit „Neppern, Schleppern, Bauernfängern“ zu tun, sondern können zumindest teilweise eine brillante Kunstform darstellen. Die Games bleiben übrigens nach dem Online-Event noch drei Monate lang kostenlos nutzbar. Es kann also nachgearbeitet werden, was vielleicht in der Hektik der Live-Aktion nicht geklappt hat oder untergegangen war.
Die Taktung aus Wissensvermittlung und eigenem Agieren ist besonders gelungen. Die Teilnehmer fühlen sich aber selbst in Spielsequenzen nie allein gelassen – das hatte der Autor kürzlich in einem anderen Online-Seminar leider ganz anders erlebt, als Arbeitsgruppen ohne vernünftiges Briefing für lange Zeit ohne Moderation ihrem Schicksal überlassen worden waren. Am Ende spuckt das sehr ausgereift wirkende System sogar eine qualifizierte Teilnahmebestätigung aus.
Nachgefragt bei Tomislav Bodrozic, CEO Mindcraft und Fabula Games
Ich habe Ihre beeindruckende Kundenliste gesehen – Datev, Mercedes Benz, Ströer, Henkel, Festo, FH Dortmund, Conrad u.v.m. Und frage mich nun, was ein KMU mit, sagen wir, 50 Mitarbeitern, die er alle zeitversetzt teilnehmen lassen will, dafür in etwa bei Mindcraft ausgeben müsste?
Wenn ein KMU ein Event bucht, um alle Mitarbeitenden gleichzeitig zu schulen, beträgt der Preis 4.800 Euro. Der Vorteil dabei: Wir passen sowohl die Lerninhalte als auch das Logo-Branding individuell an das KMU an. Falls dies nicht möglich ist, können die Mitarbeitenden auch einzeln an „offenen“ Events teilnehmen. Hier treffen Teilnehmende aus unterschiedlichen Unternehmen aufeinander, und wir setzen unsere standardisierten Lerninhalte ein, die den aktuellen Vorgaben des BSI entsprechen. Der Preis für das KMU bleibt dabei derselbe.
Übrigens: Sie haben zu Recht darauf hingewiesen, dass der Grafikstil nicht den üblichen Erwartungen einer High-End-Spieleproduktion entspricht. Dies ist aus zwei Gründen nicht möglich: Einerseits liegen die Budgets für erfolgreiche Konsolenspiele im dreistelligen Millionenbereich, und andererseits sind Bürolaptops in der Regel nicht für grafikintensive Anwendungen ausgelegt. Vor diesem Hintergrund müssen wir immer Kompromisse eingehen und haben deshalb einen eigenen Stil entwickelt, der diese Einschränkungen berücksichtigt.
Weitere Informationen im Blog-Beitrag „Was ist ein Cyber Security Training?“