Thought Leadership
Immer mehr Unternehmen setzen auf web-basierte Trainings, um Angestellten wichtige Aspekte der IT-Security näherzubringen oder Inhalte zu vertiefen. Dabei rückt eine Frage in den Mittelpunkt: Wie lernen Mitarbeitende mit Freude und erinnern sich auch langfristig an das Gelernte? E-Learning-Fachleute setzen verstärkt auf Gamification-Ansätze.
Cyberkriminelle nutzen jede Lücke in der IT-Sicherheit, um Netzwerke von Unternehmen zu kompromittieren. Mit Phishing-Mails und vorgelagertem Social Engineering umgehen sie technische Schutzmechanismen, indem sie die Anwenderinnen und Anwender direkt ins Visier nehmen. Die Erfolgschancen individualisierter Angriffe sind dabei höher als bei einem Massenangriff.
Die Erklärung dafür: Menschliches Verhalten lässt sich auf unterschiedliche externe Trigger zurückführen. Diese lösen verschiedene Reaktionen aus, die Menschen im Laufe der Zeit gelernt haben. Die Kriminellen setzen dabei beispielsweise auf Neugier, Angst, Druck, Pflichtbewusstsein, Hilfsbereitschaft und Gewohnheit. Ein typisches Beispiel ist auch Gier. Wer hatte nicht schon eine E-Mail in seinem Postfach, die einen Geldgewinn oder eine Erbschaft in Millionenhöhe versprach? Druck erzeugen sie, indem sie ihre Opfer dazu auffordern, innerhalb eines knappen Zeitfensters einen Link anzuklicken, um die Zugangsdaten für den Online-Banking-Account zu bestätigen. Der Link führt zu einer gefälschten Seite.
Dabei ist ein Punkt von zentraler Bedeutung: Das Opfer trifft keine Schuld! Schließlich ist jeder Mensch fehlbar. Somit stellt sich die Frage, wie Unternehmen sich und ihre Angestellten am besten schützen können. Aktuell setzen viele Verantwortliche auf Security Awareness Trainings, um das Sicherheitsbewusstsein der Mitarbeitenden und damit auch das Sicherheitsniveau zu verbessern.
Nachhaltig fortbilden – In der Kürze liegt die Würze
Im Gegensatz zu fachlichen Fortbildungen für einzelne Abteilungen gilt für Security Awareness Trainings folgendes: Jede und jeder Mitarbeitende ist ein potenzielles Opfer und sollte daher die Tricks der Cyberkriminellen kennen. Vor diesem Hintergrund überrascht es nicht, dass Personalabteilungen nachhaltiges Lernen für die gesamte Belegschaft einfordern. Aber wie wird Lernen nachhaltig? Die Antwort lautet: Durch intrinsische Motivation, also durch Tätigkeitsanreize, durch Spaß, durch Emotionalität und durch das Vermitteln eines Sinns im Tun. All das gewährleisten beispielsweise spielerische Ansätze wie Serious Games.
Gleichzeitig wird auch der Ruf nach kurzen Lerneinheiten lauter: Denn Lernzeit ist schließlich Arbeitszeit. Die Lösung bieten E-Learnings, die Teilnehmende zeit- und ortsabhängig absolvieren. Aktuell fällt bei der Frage um die Modernität digitaler Trainings ein Begriff fast schon inflationär: Gamification. Aber was genau heißt Gamification beim E-Learning? Reicht es schon, wenn eine Trainingsreihe einfach nur schön gestaltet ist? Oder sind solche Schulungen äußerst interaktiv?
Gamification oder Game-based Learning?
Um diese Fragen zu beantworten, müssen wir nicht nur den Begriff Gamification betrachten, sondern auch einen anderen. Die Rede ist hier vom sogenannten „Game-based Learning“. Der zentrale Unterschied zwischen Gamification und Game-based Learning liegt in der „Experience“. Während Game-based Learning eine Lernerfahrung mit vielen verschiedenen spielerischen Elementen beschreibt, zielt Gamification auf die spielerischen Elemente per se. Und obwohl beide Begriffe etwas anderes meinen, liegen die Gemeinsamkeiten dennoch auf der Hand: Game-based Learning schafft ein spielerisches Umfeld zum Lernen, Gamification versorgt dieses mit den spielerischen Elementen. Soweit lassen sich die beiden Begriffe also voneinander getrennt definieren und zusammenfügen. Denn das eine macht nur in Kombination mit dem anderen Sinn.
Spielen und lernen
Game-based Learning zielt darauf ab, den Lerntransfer, also die Anwendbarkeit des Gelernten auf die Praxis, zu maximieren. Dieser wird in einer eigenen Lernwelt, wie etwa einem Serious Game um Gamification-Elemente (Schieberegler, Punktestand, Click-and-Reveal oder zeitgesteuerte Herausforderungen) verstärkt. Ein Rahmen mit Storytelling-Elementen, also einer Geschichte, bringt positive Emotionen und Motivation. Ein klar vorgegebenes Ziel sorgt für eine hohe intrinsische Motivation während des gesamten Trainings. Die Lernenden halten den Fokus auf das zu lernende Thema und sind über die Dauer des Trainings hoch motiviert. Der Lerntransfer aus dieser intrinsischen Motivation heraus ist dann wiederum maximal.
Folgendes Beispiel verdeutlicht die Sinnhaftigkeit von Gamification: Insbesondere bei komplexeren Themen oder umfangreicheren Inhalten wie etwa IT-Sicherheit sind spielerische Ansätze hilfreich. Denn es gibt viele wichtige Aspekte, die jeder Anwender kennen sollte, wie etwa Phishing Mails und Social Engineering. So lässt sich der Lernerfolg etwa dadurch verbessern, dass Lernende einen Perspektivwechsel vornehmen müssen. In der Rolle des Spear-Phishers gilt es, eine möglichst perfekte Phishing-Mail zu schreiben, um vom Empfangenden nicht sofort entlarvt zu werden. Mit diesem Wissen gehen Angestellte künftig sorgsamer mit Mails um, die sie nicht sofort einordnen können.
Mehr Wissen, mehr Sicherheit
Übrigens: Untersuchungen geben den Methoden recht. „Normale“ E-Learnings auf freiwilliger Basis haben eine ungefähre Abschlussquote von 25 Prozent. Serious Games von bis zu 90 Prozent. Die Lernenden bleiben durch Interaktionen, Emotionen und Sinn am Training dran, weil sie intrinsisch motiviert werden. Dadurch bleibt umgangssprachlich formuliert „mehr hängen“. Mit Blick auf die IT-Sicherheit heißt das: Technologische Schutzmaßnahmen sind unzureichend. Wenn Mitarbeitende verstehen, wie Cyberkriminelle agieren, verhindern sie mit ihrem Verhalten, dass Angreifer ins Netzwerk gelangen.
