Durch den Einsatz von Gamification und Serious Games, kann sowohl das Interesse als auch die Awareness für das Thema Cybersecurity gesteigert werden. Entscheidend ist dabei der Einsatz der richtigen Spielelemente.
So manchem Leser wird der Begriff „Gamification“ schon ab und an über den Weg gelaufen sein. Gemeint ist der Einsatz spieltypischer Elemente in spielfremden Kontexten. Tatsächlich ist Gamification in manchen Bereichen gar nicht mehr wegzudenken: von der Fitness Apps bis zum Vokabeltrainern wird die User Experience immer mehr davon bestimmt, dass die Reise der Nutzer*innen hin zu ihrem gesteckten Ziel so motivierend wie möglich ist.
Cybersecurity ist per se kein Motivator
Aber was sind eigentlich Ziele von Nutzer*innen im Kontext Cybersecurity? Niemals persönlich das Opfer einer Hackerattacke zu werden? Mag sein! Aber wie attraktiv ist dieses Ziel eigentlich und wie viele alltäglichen Nutzer*innen empfinden es als motivierend, die damit verbundenen Sicherheitsprozeduren zu durchlaufen oder gar deren technischen Hintergrund kennen zu lernen? Oder anders gefragt: wer klickt schon gerne auf Kacheln mit Ampeln oder Bussen, bevor der Zugriff zum eigenen Konto gewährt wird und wer bemüht schon gerne sein oder ihr Smartphone, damit dank 2-Faktor-Authentifizierung endlich eine banale Zahlung freigegeben wird?
Wahrnehmung und Erleben als Schlüssel
Es kann dabei helfen, Beispiele aus der analogen Welt zu bemühen, um tiefergehenden Cybersecurity-Fragen auf den Grund zu gehen. Versuchen wir es auch hier: Die Tatsache, dass Menschen an Orten mit hoher Kriminalitätsrate ihre Tür häufiger absperren, sagt nichts darüber aus, ob diese Menschen „gerne“ ihre Tür absperren. Sie sind aufgrund ihrer Erfahrungen und Wahrnehmungen einfach achtsamer und fühlen die Notwendigkeit für diesen Schritt stärker.
Diese Art von Wahrnehmung und Achtsamkeit ist in der reinen Software-Welt leider nicht so einfach herzustellen, denn die meisten Cybersecurity-Attacken geschehen subtil und hinterlassen quasi keine Spuren. Es stellt sich bei den Alltagsnutzern daher schnell das Gefühl ein, dass die meisten Sicherheitsmaßnahmen wie z.B. das regelmäßige Ändern eines Passwortes eher aus Über-Vorsicht angeraten werden – was die Akzeptanz für diese Maßnahmen nicht gerade erhöhen dürfte. Motivation entsteht im Umfeld Cybersecurity also mehr durch transparentes Wahrnehmen und Erleben kritischer Situation als durch die intrinsische Freude am (über-)vorsichtigen Agieren. Und genau hier kann Gamification einen großen Beitrag leisten. Anders als oft geglaubt, verbirgt sich hinter dem Begriff Gamification nicht nur das allseits bekannte Set von Spielelementen wie Auszeichnungen, Punkte und Ranglisten, sondern eben auch Elemente wie Storytelling, Echtzeit-Feedback, Regeln und Milestones.
Beispiel: Ein gamifiziertes Cybersecurity Training
Auch ich und mein Team bei Centigrade waren im Rahmen eines Gamification-Projektes mit der Herausforderung konfrontiert, die Awareness bzgl. Cybersecurity für eine Vielzahlalltäglicher Nutzer*innen zu stärken, ohne dass diese das entsprechende Grundinteresse bereits per se mitbrachten.
Das Gamification-Konzept setzte daher in erster Linie darauf, Neugier für das Thema Cybersecurity zu wecken, statt den Zeigefinger zu erheben. „Storytelling“ ist hier das
Spielelement der Wahl und die seit Jahrhunderten erfolgreiche „Gut gegen Böse“ Thematik einer der wichtigsten Bausteine. Die Spieler*innen konnten zunächst entscheiden, ob sie der bösen oder der guten Seite zugewandt sind, um dann in just dieser Rolle typische Cybersecurity Situationen zu durchleben – egal ob Phishing Attacke, Passwortklau oder Informations-Leak. In der Rolle des Hackers ist der Spieler natürlich damit beschäftigt, in einer begrenzten Zeit (also vor dem nächsten Sicherheitsupdate) die sich öffnenden Schlupflöcher zu nutzen, während das potenzielle Opfer in seinem stressigen Berufsalltag´(und ähnlich begrenzter Zeit) möglichst viele Angriffe „mal so nebenbei“ abwehren muss. Es handelt sich also um ein vollwertiges Cybersecurity und Compliance Training, aber als Serious Game wird es spielerisch erlebbar, ohne dass dabei ein tatsächlicher Schaden für das Unternehmen entsteht.
Kenne den Spielertyp-Mix!
Ob sich ein Spieler eher für Gut oder Böse entscheidet, hängt natürlich von seinem individuellen Charakter ab und natürlich ist jeder Mensch unterschiedlich. Dennoch hat die Gamification Forschung festgestellt, dass wir alle ein Mix aus im Wesentlichen sechs verschiedenen Spielertypen sind.
Die sechs Spielertypen:
1. Der „Disruptor“ Spielertyp wird durch Veränderung motiviert. Ein positiv eingestellter Disruptor versucht, Schwächen im System zu identifizieren, um sie durch Hacks oder Modifikationen für sich selbst und andere Spieler zu verbessern.
2. Die „Free Spirit“ Spieler sind neugierig und interessiert an der Entdeckung neuer Orte und Geheimnisse.
3. Der „Achiever“ kann grob als “Sammler” übersetzt werden und ist am zufriedensten, wenn er Fortschritte in seinen Handlungen wahrnehmen und klar kommunizierte
Ziele erreichen kann.
4. Die „Player” sind auf ihre eigenen Vorteile bedacht und werden durch externe Anreize wie Belohnungen motiviert.
5. Die „Socializer“ interessieren sich für die Interaktion mit anderen. Für sie steht das Aufbauen von Beziehungen und die Kommunikation mit anderen Spielern im
Vordergrund.
6. Die „Philanthropen“ sind sozial-orientierte Nutzer*innen, die gerne Verantwortung übernehmen und sich um andere kümmern.
Nun ist das Motivationsbild eines jeden einzelnen Menschen immer eine Mischung aus diesen sechs Archetypen, oft dominieren aber ein oder zwei Ausprägungen besonders. Möchte man also Nutzer*innen für Cybersecurity begeistern, so lohnt es sich, auf den Spielertyp-Mix der Hauptzielgruppe zu schauen, bevor man sich mit der Konzeption der Gamification-Mechanik auseinandersetzt.
Disruptoren werden sich schneller mit der Rolle des Hackers anfreunden, während Achiever sich davon begeistern lassen, wie viele Phishing Mails sie in gegebener Zeit identifizieren können. Socializer werden Multi-Player-Ansätze á la „Among us“ schätzen, bei denen die Debatte in der Gruppe genutzt werden kann, um den gemeinsamen Angreifer zu enttarnen und Free Spirits werden durch intensive Spurensuche und Detektivarbeit so viele Hinweise zusammentragen, bis sie letztlich auf Basis ihrer Erkenntnisse den Hacker stellen können.
Gamification macht den Unterschied
Es gibt also nicht den einen Weg, um mit Gamification Aufmerksamkeit, Interesse und Achtsamkeit für das Thema Cybersecurity zu schaffen. Sich jedoch bewusst zu machen, dass jeder von uns einen Spieltrieb inne hat, der durch die richtige Auswahl von Spielelementen „angekitzelt“ werden kann, verdeutlicht das bisher ungenutzte Potenzial in diesem Bereich. Letztlich geht es nicht nur um Punkte und Auszeichnungen, sondern vor allem um die Erlebbarkeit kritischer Situationen. Serious Games, Simulationen und gamifizierte IT Systeme sind daher die Zukunft der Branche. Sie befähigen die Nutzer*innen dazu, in sicheren Räumen, die Unsicherheiten der modernen IT Welt erlebbar zu machen.
Noch etwas Kleines zum Mitnehmen…
Und wenn Sie nun selbst gespannt sind, welchen Spielertyp-Mix Sie eigentlich haben, so können Sie ihn mit diesem kleinen Tool bestimmen lassen. Viel Spaß.