Diese Seite teilen:

Cyber Jobs finden EMail Cyber jobs finden Twitter

EXXETAs spielerischer Ansatz zum Aufbau einer sicheren Unternehmenskultur

Artikel von Benjamin Bachmann – CYBER WERKSTATT

IT-Sicherheit-Fails von Unternehmen machen Schlagzeilen

Die Bedeutung von Cyber-Sicherheit wird an der zunehmenden Berichterstattung in den Mainstream-Medien deutlich: Erst war der Verschlüsselungstrojaner „WannaCry“ auf sämtlichen Anzeigetafeln deutscher Bahnhöfe angezeigt, dann mahnten viele Medien mit diesen Bildern die Versäumnisse von Unternehmen zum Thema IT-Sicherheit an. Dieser Trend setzt sich fort: Im Dezember 2019 erntete die Universität Gießen bundesweite Medienaufmerksamkeit durch den folgenschweren Angriff mit der Schadsoftware „Emotet“ auf die IT-Landschaft der Hochschule. Emotet zielt mit Phishingmails auf das vermeintlich schwächste Kettenglied: den Menschen

Selbst wenn die IT-Landschaft eines Unternehmens durch moderne Technologien wie Firewalls, Security Information & Event Management und sauberen Schwachstellen- bzw. Patchmanagement gewappnet sind, greifen die Cyber-Kriminellen hinter „Emotet“ das schwächste Glied der Kette an: die Mitarbeiter. Angriffe beginnen oft mit authentisch wirkenden Phishing-Mails, mit der die Kriminellen die Unachtsamkeit oder fehlende technische Medienkompetenz der Opfer ausnutzen, damit diese ungewollt Schadsoftware installieren. So gelangen die Angreifer oft mit vergleichsweise wenig Mühe ins Unternehmensnetzwerk und dabei an den meisten technischen Sicherheitsmaßnahmen vorbei.

Technik kann man leicht härten, Menschen müssen motiviert und geschult werden

Zwar kann man Computertechnik mit der Unterstützung von Sicherheitssoft- und -hardware gegen viele Angriffe wappnen; bei den Menschen, die die Anwendungssysteme entwickeln, administrieren oder nutzen, ist das nicht so leicht. Wenn es überhaupt Sicherheitsschulungen gibt, dann sind dies oft dröge Pflichttrainings, die so schnell wie möglich weggeklickt werden, weil wenig praktisches Wissen vermittelt wird. Zusätzlich zur fehlenden Medienkompetenz kommt hinzu, dass die persönliche Motivation nicht oder nur schlecht aufgezeigt wird. Die ist aber von zentraler Bedeutung, denn nur wenn die Mitarbeiter ein persönliches Interesse am Lerninhalt haben, werden sie sich mit den Inhalten auseinandersetzen; Firmendaten werden vermutlich genauso leidenschaftslos behandelt wie ein Leih- oder Firmenwagen.

Die Unternehmenskultur muss die sichere Entwicklung, Betrieb und Nutzung fördern

Wenn man also die IT-Landschaft in einem Unternehmen sicher gestalten möchte, dann müssen wir den Blick über die Technologie hinaus wagen und eine sicherheitsbewusste Unternehmenskultur schaffen, welche auf natürliche Weise durch Kommunikation, Zusammenarbeit und Wettbewerb die sichere Entwicklung, den sicheren Betrieb und die sichere Nutzung von IT fördert.

Die Cyber-Werkstatt ist gameifizierter Cultural Change

Genau solch eine moderne Sicherheitskultur bauen wir gemeinsam mit Ihnen. In unserer „Cyber-Werkstatt“ können Ihre Mitarbeiter an ihren Cyber-Skills schrauben. Auf spielerische Art startet jeder Mitarbeiter mit einem Plakat und einer Box mit Aufgabenkarten in Postkartengröße. Immer dann, wenn der Lernende Zeit zum Lernen hat, kann er die Karten nach einer interessanten Aufgabe durchsuchen, um an ihr zu arbeiten. Jede Karte erklärt, aus welchen persönlichen Motiven er sich mit dem Lerninhalt beschäftigen sollte. Die Karte beschreibt weiterhin eine Aufgabe und gibt Umsetzungshinweise, wie man sich dem Ziel nähert.

Schließlich gibt die Karte Erfolgskriterien für die erfolgreiche Lösung der Aufgabe vor. In regelmäßigem Abstand treffen sich die Spieler zum Werkstatt-Treffen, zu dem aktuelle Sicherheitsthemen und der Spielfortschritt der Teilnehmer diskutiert wird. Dabei entscheiden Spieler und Mitspieler gemeinsam, ob eine Aufgabe als gelöst gilt. Ist dies der Fall, markiert der Spieler auf seinem Plakat, dass er diese Aufgabe bereits abgeschlossen hat.

Sind alle Aufgaben eines Schwierigkeitsgrads und Themas gelöst, bekommt der Spieler einen passenden Roboteraufkleber, der an die vorgesehene Stelle auf dem Plakat geklebt wird. Mit diesem aufgerüsteten Roboter kann der Mitarbeiter seinen Lernfortschritt gegenüber sich selbst, dem Chef und den Kollegen prestigeträchtig präsentieren. Unsere Erfahrung zeigt, dass allein dieses Prestige zusammen mit der gesellschaftsspielähnlichen Gestaltung der Cyber-Werkstatt andere Mitarbeiter neugierig macht mitzuspielen und diese motiviert weiterzuspielen und zu lernen.

Das Werkstatt-Treffen wird die interorganisationale Security Community

Das Werkstatt-Treffen dient aber nicht nur der Kontrolle des Lernfortschritts. Vielmehr ist das eigentliche Ziel der Aufbau einer Sicherheitscommunity, die sich gemeinsam – über Organisationsgrenzen hinweg – trifft, lernt und zusammenarbeitet. Unsere EXXETA Experten setzen mit Fachvorträgen in den Werkstatt-Treffen, Newsletter/Blogbeiträgen, Videos und Schulungen immer wieder Impulse, sich mit IT-Sicherheits-Grundlagen oder aktuellen Themen auseinanderzusetzen. Mit zunehmender Reife können Vorträge von Mitarbeitern aufgegriffen werden oder die Security Community z.B. mit Meet-Up-Events nach außen hin geöffnet werden.

Anpassungsbedarf an Zielgruppen, Unternehmenskultur und Richtlinien

Die Cyber-Werkstatt unterstützt die Änderung der Unternehmenskultur zu einer sicherheitsfördernden Umgebung für IT-Entwickler, -Betreiber und -Nutzer. Aus diesem Grund muss die Cyber-Werkstatt an die verschiedenen Gruppen und Ihr Unternehmen angepasst werden. Dazu prüfen wir, wo Aufgaben an Ihre Sicherheitsrichtlinien angepasst werden müssen oder ob gegebenenfalls Prozesse (z.B. „Melden einer Phishing-Mail“) oder Systeme (z.B. „Browser-Addon Werbeblocker“) eingeführt oder angepasst werden sollten. Weil für unterschiedliche Stakeholder im Unternehmen, z.B. Personalmitarbeiter und IT-Mitarbeiter, unterschiedliche Risiken und Berührungspunkte zur IT-Sicherheit existieren, stellen wir die Aufgaben für jede Gruppe sinnvoll zusammen. Auf Wunsch entwickeln unsere Grafiker auch ein eigenes Design von Postern und Karten, um den Firmenkontext besser abzubilden. So könnten die Roboter aus Teilen Ihrer Produkte bestehen oder Elemente Ihrer Firmenkommunikation (Maskottchen, Personas) aufgreifen.

Haben Sie Fragen zur CYBER WERKSTATT?

Diese Seite teilen:

Cyber Jobs finden EMail Cyber jobs finden Twitter

Sie möchten mehr erfahren? Nehmen Sie noch heute zu uns Kontakt auf:

Peter Kosel
Founder & Talent Community Manager

Roman Bättig
Managing Partner & Talent Communtiy Manager

Share This Story, Choose Your Platform!