06.09.2021

Mitarbeitersensibilisierung für IT-Sicherheit: Gamification und Nudging bringen mehr Erfolg

Die Anzahl der Phishing-Angriffe steigt jedes Jahr kontinuierlich: Gerade im Homeoffice sind Mitarbeitende diesem Sicherheitsrisiko besonders ausgesetzt. Wie kann man sie besser für das Thema IT-Sicherheit sensibilisieren und einen bewussten Umgang fördern? Im Interview sprechen wir dazu mit Marcus Beyer, Security Awareness Officer bei der Swisscom Schweiz AG. Er verantwortet die Sensibilisierung- und Trainingsaktivitäten für Sicherheitsthemen von mehr als 18.000 Angestellten und vermittelt das Thema in spielerischen Ansätzen.

 

Herr Beyer, warum wird das Thema Awareness für die IT- und Informationssicherheit immer wichtiger?

Beyer: Mitarbeitende sind das Angriffsziel Nummer eins, denn die meisten IT-Angriffe kommen via E-Mail herein. Dieses Problem müssen wir im Unternehmen lösen und unsere Kolleginnen und Kollegen gut ausbilden und für Angriffe wie Phishing-Attacken sensibilisieren. Ich sage immer: Lieber einmal mehr melden, als einmal zu wenig melden. Zusätzlich zu den Phishing-Trainingssimulationen und anderen Maßnahmen machen wir jedes Jahr mindestens ein Online-Training für unsere Mitarbeitenden. In diesem Jahr haben wir im E-Learning den Fokus auf Schatten-IT und Cloud Service Nutzung gelegt – Gerade im Homeoffice und in agilen Settings im Unternehmen sind diese Themen brandaktuell. Die Mitarbeitenden nutzen viele unterschiedliche Tools für ihre tägliche Arbeit, sind sich aber oft nicht bewusst, welche Risiken das mit sich bringen kann. Genau diese Schwierigkeit haben wir dieses Jahr adressiert und ein interaktives und – hoffentlich – kurzweiliges Training zum Thema erstellt. Das Feedback spricht zumindest für sich: Es ist sehr positiv angenommen worden.

 

Wie kann durch neue Ansätze wie Gamification und Nudging die Security Awareness im Unternehmen gesteigert werden?

Beyer: Gamification transportiert Elemente des klassischen Spiels in praktische Aufgaben und die tägliche Arbeit. Ich arbeite dazu eng mit meiner ehemaligen Kollegin Katja Dörlemann zusammen. Gemeinsam informieren und diskutieren wir dieses auch Thema mit Gästen in unserem „Security Awareness Insider“ Podcast. Wir versuchen das Thema IT- und Informationssicherheit unter anderem durch Gamification zu emotionalisieren. Mit guten Stories können wir die meisten Menschen viel einfacher erreichen – und auch hier und da Betroffenheit erzeugen oder Interesse wecken. Wir haben uns vorgenommen, so auch das Bewusstsein von Risiken zu schärfen.
Beim Nudging geht es darum, den Mitarbeitenden kleine Impulse zu geben: Wir setzen IT- und Informationssicherheit in einen erlebbaren Kontext und gestalten sie dadurch spannender. Mit kleinen Tipps und Hinweisen lockern wir das Thema auf für die praktische Anwendung im Alltag. Wenn uns beispielsweise jemand intern eine Phishing-Mail meldet, senden wir als Antwort einen Glückwunsch und ein Lob zurück und vermitteln so Wertschätzung. Klingt banal, ist aber ein wichtiges Element. Und davon gibt’s sicher noch viel mehr Beispiele, die wir aus unserer alltäglichen Praxis beisteuern können. Auf den Internet Security Days halten wir dazu am 17. September auch einen Vortrag und geben weitere praktische Tipps für spielerische Ansätze.

 

Sie haben mit Ihren Mitarbeiterinnen und Mitarbeitern eine Cyber Security Challenge gestartet. Wie verlief das genau und was zeigen uns die Ergebnisse?

Beyer: Wir haben eine Schnitzeljagd zum Thema IT- und Informationssicherheit gemacht. Unsere Pilotgruppe von 280 Leuten löste im Homeoffice via Handy verschiedene Aufgaben: Multiple Choice Fragen und ein Quiz und wurde aufgefordert verschiedene Aktionen zu tätigen. Mehr als 75 Prozent meiner Kolleginnen und Kollegen haben den spielenden Ansatz als sehr positiv bewertet. Ich bin jetzt davon überzeugt, dass sie von diesem Tag und der Herausforderung für das Team mehr mitgenommen haben als durch einfache E-Learnings. Solch ein Ansatz ist wirklich zu empfehlen, denn hier nehmen die Mitarbeitenden auch inhaltlich sehr viel mit.

Vielen Dank für das Gespräch!

Mehr Informationen und praktische Tipps zum Thema bekommen Sie auf den Internet Security Days 2021. Herr Beyer und Frau Dörlemann freuen sich auf Ihre Fragen! Tickets gibt’s hier.

Marcus Beyer