Die nächste IT-Security-Schulung steht an und die Belegschaft gruselt sich beim Gedanken an einen stundenlangen Powerpoint-Monolog oder unendlich langen Klickorgien in E-Learning-Schulungen. Wir verraten Ihnen, wie Sie Ihre Mitarbeiter erreichen.

Haben Sie sich schon einmal gefragt, wie viel Praxiswissen nach einem einstündigen Security-E-Learning von der Stange tatsächlich hängen bleibt? Viele CISOs, CIOs und HR-Manager schmunzeln dieses Thema lieber weg – schließlich ist der Pflichttermin zur Erfüllung von ISO-Standards oder regulatorischen Vorgaben auf dem Papier absolviert, also Haken dran. Die Frage ist nur, wie sinnvoll so ein Vorgehen ist und ob klassische Methoden in Schulungen und Trainings im Zeitalter des Infotainments noch der richtige Weg sind. Letztendlich geht es darum, Inhalte möglichst wirkungsvoll und vor allem nachhaltig zu vermitteln.

Eintönige Monologe, die schon in der Schule nicht funktionieren, sind auch zur Vermittlung tiefgehender Inhalte im Unternehmen völlig ungeeignet. Was wirklich hängen bleibt, ist in der Regel interaktiver Content, der wachrüttelt und zum Mitdenken anregt. Mit anderen Worten: Ob Schüler oder Mitarbeiter – Trainings müssen die Mitarbeitenden involvieren, erst dann verdienen sie auch den Zusatz „smart“. Wir zeigen Ihnen zwei inspirierende Ansätze für Schulungen und Trainings, die auch vermeintlich langweilige Themen zum Erlebnis machen.

 

Wie die „Security Arena“ Risiken greifbar macht

Trotz ubiquitärer Displays und digitalen Inhalten, sollte die analoge Komponente im Zeitalter der Einsen und Nullen nicht ausgeklammert werden. Allerdings sollte sie mit der richtigen „Würze“ versehen werden. Ein innovatives Beispiel im Bereich der IT-Sicherheits-Schulung ist die sogenannte „Security Arena“, wie Sie bereits in einigen Unternehmen praktiziert wird.

Wie beim Zirkeltraining werden hierbei verschiedene Stationen aufgebaut, an denen Mitarbeiter sich praxisnah über digitale Informationssicherheitsthemen informieren: Eine Station widmet sich beispielsweise der Security-Herausforderung „Phishing“. Hierzu wird kurzerhand ein Becken zum Aquarium umfunktioniert und schon wird gefischt wie in Kindheitszeiten. Geangelt werden können sowohl „gute“ als auch „böse“ E-Mails. Hieraus entwickeln sich im Handumdrehen rege Diskussionen darüber, wer denn nun eine Phishing-Mail am Haken hat und woran man diese erkennen kann.

Diese Methode setzt also nicht auf passive Beschallung, sondern bezieht die Mitarbeiter direkt mit ein und erzeugt aktives Engagement und Neugierde. Repräsentative Ergebnisse, die eine valide Aussage darüber zulassen, wie zielführend dieser Schulungsansatz ist, stehen zwar noch aus, es dürfte jedoch allgemein bekannt sein: Was man selbst erlebt hat, bleibt hängen.

 

Gamification als Erfolgsgarant

Dass gerade im IT-Umfeld ein Hang zu Superhelden und ganz generell Science-Fiction besteht, ist kein Geheimnis. Das lässt sich hervorragend mit dem oft recht sperrigen Gebiet der Informationssicherheit in Einklang bringen, auch wenn das auf den ersten Blick wie ein unmögliches Unterfangen erscheint. Der Lösungsweg: Sie sollten mit dem Thema eine Geschichte erzählen und deren roten Faden um möglichst fesselnde Elemente anreichern.

Ein Beispiel, wie das in der praktischen Umsetzung aussehen kann, liefert der Finanzdienstleister Aduno Group, der in Kooperation mit den Awareness-Spezialisten von DXC Technology ein solches Konzept auf der Grundlage des Gamification-Ansatzes entwickelt hat. Die Storyline der Security-Awareness-Kampagne: Alle Mitarbeiter – die PhantomBuster – jagen gemeinsam ein „Phantom“, das die Informationssicherheit im Unternehmen bedroht. Dabei kommen kurze Videosequenzen zum Einsatz, die den Mitarbeitern (on demand) Angriffsszenarien des „Phantoms“ zeigen. Im Anschluss gilt es zu beantworten, wie man sich in diesem konkreten Fall hätte verhalten müssen, um den Angriff zu verhindern. Bei richtiger Antwort bekommt der Mitarbeiter einen neuen „Status“ – und bekommt die Möglichkeit, in weiteren „Levels“ das „Phantom“ dingfest zu machen.

Den ausschlaggebenden, kollektiven Anreiz schafft dabei ein intranet-basiertes Ranking-System. Erst wenn eine definierte Anzahl an Mitarbeitern teilgenommen und „die Crowd“ eine bestimmte Punktzahl erreicht hat, gilt das „Phantom“ als besiegt.

Neue Schulungs- und Trainingsmethoden schweißen nicht nur zusammen und füllen Mittagspausen mit interessantem Gesprächsstoff. Sie fördern zudem auch das Engagement und die intrinsische Motivation der Mitarbeiter, die für den Lernerfolg verantwortlich ist. Ganz nebenbei gewinnt die Arbeitgebermarke gehörig an Wert.