profile

Michael Mayer

Security durch Gamification

Published about 2 months ago • 5 min read

Mit Gamification entlastest du deine IT (Security) Abteilung und förderst die Sicherheit im gesamten Unternehmen.

Ich finde, alle Angestellten sollten auch in der Security Abteilung mitarbeiten. Immerhin sind sie dein Sicherheitspersonal an vorderster Front. Die Personalabteilung kriegt jeden Tag Hunderte E-Mails, auch Phishing-Mails. Die GF-Assistenz wird mit etlichen Anfragen überschwemmt, teilweise auch mit Social Engineering. Der Mensch ist das schwächste Glied in der technischen Kette und wird von Angreifern stark attackiert – Ransomware olé.

Es ist echt schade, aber die meisten Unternehmen buchen immer noch die klassischen "Security Awareness"-Programme. Die haben aber praktisch gesehen einen ziemlich geringen und wenig nachhaltigen Effekt.

Die bittere Wahrheit

Hand aufs Herz - den meisten Mitarbeiter sind die Firmendaten ziemlich egal. Bei einem Ransomware-Angriff werden sie nicht trauern, als hätten sie ihr eigenes Kind verloren. Die Eigentümer schon eher.

  • Menschen laufen die meiste Zeit auf Autopiloten
    Wir alle neigen dazu, wenn wir wiederkehrende Aufgaben erledigen. Das ist völlig normal. Bei hundert PDFs für Bewerbungen funktioniert das ganz gut, aber bei der 101. passiert dann ein Fehler.
  • Schlechte Fehler-Kultur
    In der Schule lernen wir schon, dass Fehler bestraft werden. Wir sollten unbedingt damit aufhören, denn nur durch Fehler lernen wir. Je schneller wir scheitern, desto schneller lernen wir auch.
  • Benutzer sind keine Techniker
    Das heißt, sie warten die IT nicht, sondern benutzen sie nur. Fährst du auch mit der Bahn oder dem Bus zur Arbeit? Weißt du, wie man die Bremsen bei einer Lok tauscht, oder ein Service macht?
  • Mangelnde Erfahrung
    Ich habe als Kind auch mal auf die Herdplatte gegriffen, obwohl mir meine Mama hundert Mal gesagt hat, wie heiß sie ist. Die wenigsten Leute haben Erfahrung mit Ransomware Angriffen, Phishing Attacken oder Social Engineering.

Du wirst diese Probleme nicht von heute auf morgen lösen, aber du kannst ja mal damit anfangen, dich damit auseinanderzusetzen. Je früher ihr damit startet, umso eher wird es für euch zur Gewohnheit und umso früher seid ihr gewappnet.

Brian Burke beschreibt in seinem Buch Gamify, wie Firmen ihr Publikum besser einbinden können.
Siehe: https://www.gartner.com/en/publications/gamify

"Gamification kann die Struktur bieten, um die Innovationsaktivitäten der Masse, ob es sich nun um Mitarbeiter, Kunden oder Interessengemeinschaften handelt, zu bündeln, zu motivieren und zu fokussieren." - Brian Burke

Hier ist eine Schritt-für-Schritt Anleitung, wie du Gamification einfach in deine Firma integrieren kannst:

Schritt 1: Stoppe Security Awareness, fördere Situations-Bewusstsein

Anstatt alle mit diesen öden Multiple-Choice-Programmen zu nerven, zeig deinen Leuten lieber, wie sie ungewöhnliches Verhalten generell erkennen können.

Ich habe noch niemanden getroffen, der diese Compliance-Fragen gut fand, oder dabei etwas Praktisches gelernt hätte. Stattdessen zeig ihnen zum Beispiel, wie sie Betrug auf eBay Kleinanzeigen erkennen, oder welche Phishing-SMS gerade im Umlauf sind – "Paket verpasst", "Bank braucht Daten"

Je mehr du deinen Mitarbeitern hilfst in allen Lebenslagen Betrug zu erkennen (betrachte es als unbezahltes Training außerhalb der Arbeitszeit), umso mehr werden sie auch auf deine Daten aufpassen.

Schritt 2: Belohne Fehler und melden von False-Positives

Mitarbeiter macht Fehler
Mitarbeiter meldet Fehler
Mitarbeiter wird bestraft
Mitarbeiter lernt daraus
Mitarbeiter meldet Fehler NICHT MEHR

Ist es wirklich das, was du willst? Es wäre doch besser, wenn sie gleich mit dir sprechen, sobald der Link angeklickt wurde, anstatt erst rauszurücken, wenn das Abteilungs-Share verschlüsselt ist.

Das ist vermutlich der härteste Brocken, den du im Unternehmen umsetzen musst. Wenn ihr diese Kultur bereits habt, super! Wenn nicht, dann gib den Leuten zumindest die Möglichkeit, direkt mit der IT-, oder IT-Security-Abteilung zu sprechen und sie sofort zu informieren. Wenn die Meldekette erst über Team-, Abteilungs- und Bereichsleiter gehen muss, dann ist es oft zu spät.

Schritt 3: IT ist nur ein Werkzeug das benutzt wird

Genauso wenig wie wir Büro-Hengste die Züge warten, wenn wir mit ihnen von A nach B fahren, genauso verwenden deine Anwender ihre Computer wie einen Schraubenzieher.

"Dummer Anwender!", "Blöder User!" Das sind so die Standardfloskeln, die man in den IT-Abteilungen hört. Nutzt du sie auch?

Wenn eine Phishing-Mail im Posteingang landet, dann hat nicht der User etwas falsch gemacht, sondern die IT!

Es ist nicht die Aufgabe der Anwender Phishing-Mails zu verhindern. Wenn etwas durch das Raster fällt und der User darauf klickt, dann wurden bereits mehrere Sicherheits-Barrieren durchbrochen. Du solltest die Verantwortung nicht auf die Anwender abwälzen. Wenn die Bahn Verspätung hat und du zu spät kommst, dann ist das ja auch nicht deine Schuld.

Die Mitarbeiter sind sozusagen deine "Security Frontline Worker". Sie stehen genauso an der Front, wie die Firewall, oder der Spamfilter. Integriere sie in deine Abwehr und nimm sie in dein Security-Team auf. Heiße sie willkommen, schule sie und stärke den Team-Gedanken.

Schritt 4: Zeigen, nicht erzählen

Lass die Leute auf die heiße Herdplatte greifen, ohne dass sie sich wehtun.

Feuerwehrleute trainieren mit echtem Feuer, nicht mit PowerPoints!

Du kannst zum Beispiel reale Ransomware in abgeschotteten Umgebungen nutzen, um zu zeigen, wie sie sich ausbreitet. Oder du präsentierst den Mitarbeitern echte Phishing-Mails, damit sie sehen, wie solche Nachrichten aussehen. Du kannst auch Workshops machen, bei denen die Mitarbeiter auf beliebig viele Links klicken dürfen und zusehen, wie sich dadurch das Abteilungslaufwerk verschlüsselt. Wenn euch Objekt-Sicherheit (Büros, Gebäude, Gelände, Fabrik etc.) wichtig ist, bucht doch mal physikalische Penetrationstests. Lass die Mitarbeiter spüren, wie es sich anfühlt, Opfer einer Social-Engineering-Attacke zu sein.

Profi-Pentester nehmen ihre Einsätze auch auf Video auf. Wenn die betroffenen Mitarbeiter damit einverstanden sind, kannst du das Material auch in Schulungsvideos verwenden. Wichtig ist, dass du am Ende ein positives Gefühl vermittelst und keine Schuldgefühle auslöst. Lass deine Mitarbeiter lernen und wiederhole die Pentests in regelmäßigen Abständen.

Praktische Ansätze

Bevor du dich fragst, ob ihr nicht zu professionell, zu erwachsen, oder zu beschäftigt für "Spiele" seid, lass mir dir die Antwort geben: Nein, seid ihr nicht!

Wir alle lernen am einfachsten, wenn es spielerisch verpackt wird. Selbst die härtesten Business-Typen spielen Candy Crush am Klo. Du belohnst deine Mitarbeiter für positives Verhalten und baust eine Sicherheitskultur auf.

Als kleines Extra habe ich hier noch ein paar praktische Ansätze zusammengestellt:

  • Ranglisten und Dashboards
    So kannst du das Wettkampfdenken richtig anfeuern: sichtbare Ränge, Badges und Punkte. Veröffentliche Listen im Intranet, wer die meisten Phishing-Mails oder Kollegen ohne Ausweis gemeldet hat, um für den nötigen Ehrgeiz zu sorgen. Aber vergiss nicht: Es geht um den Team-Gedanken. Niemand soll sich für einen Verstoß gebrandmarkt fühlen.
  • Monatliche Challenges und Auszeichnungen
    Ein 100-Euro-Gutschein für den Security-Mitarbeiter des Monats kostet dich weniger als eine Super-Advanced-AI-Security-Lizenz für die ganze Firma. Du investierst in deine eigenen Leute, förderst die Mitarbeit und gibst dem Ganzen einen Spirit.
  • Level Board
    Wenn du in deiner Branche gewisse Compliance-Standards erfüllen musst, dann verpacke sie zumindest hübsch. Du kannst deinen Mitarbeitern zum Beispiel ein Level-Upgrade geben, wenn sie MFA aktivieren, eine Schulung absolvieren, Quizze beantworten, den versteckten Honeypot am File-Share finden. Belohne sie mit XP (Experience Points), für regelmäßige Aktivitäten (KPIs). Aber übertreibe es nicht.
  • Verschiedene Charaktere
    Wie bei Rollenspielen, kannst du auch bei dir Charaktere einführen. Du kannst zum Beispiel Leaderboards auf Teams maßschneidern. Die IT hat die meisten gepatchten Server, der Support hat die zufriedensten Nutzer, die Entwicklung hat die meisten Security-Bugs behoben und so weiter.
  • Trainings- und Feedback-Zyklen
    Du darfst nie den Training-Aspekt aus den Augen verlieren. Ich empfehle dir, lieber mehrere kurze und regelmäßige Trainings zu machen, als die Leute einmal im Jahr auf eine Schulung zu schicken oder durch einen Multiple-Choice-Test zu jagen. Hol auch laufend Feedback ein, wie sich die Leute bei den Inhalten und in der Praxis tun. Positive Stories, zum Beispiel wie Mitarbeiter dadurch einen privaten PayPal-Scam abwenden konnten, kommen gut an.

Fazit

Gamification ist eine super Sache. Damit kann man die Security Awareness spielerisch fördern, das Team-Gefühl stärken und praktische Sicherheitsrisiken reduzieren.

Sicherheit kann man sich nicht einfach kaufen, schon gar nicht mit Multiple-Choice-Fragen. Man muss sie sich selbst machen.

Michael Mayer, Modecenterstraße 22, Wien, Wien 1030
Abbestellen · Einstellungen

Michael Mayer

Hacker, Erklärbär, Unternehmer

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Tipps & Tricks, Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

"Wir brauchen jetzt unbedingt einen Pentest." - Ähm, nein… braucht ihr nicht! Wir alle kennen die Momente, in denen jemand etwas sagt, was sich falsch anfühlt. Situationen wie die oben beschriebene, hatte ich schon etliche. Man "meint es ja schließlich nur gut". Es ist leider der gänzlich falsche Ansatz, dass man Anwendungen, Systeme oder Netzwerke baut und im Nachhinein versucht die Security nur oben draufzulegen. Cyber-Sicherheit ist wie Kuchenbacken – Sie muss im Rezept stehen! 🧁 Du kannst...

4 days ago • 3 min read

Damit dein Patch-Management gut läuft, brauchst du nur eine Handvoll Dinge. Ich habe schon bei vielen Kunden als Consultant gearbeitet und dabei festgestellt, dass viele die gleichen Probleme beim Patchen haben. Die Verantwortlichkeiten sind oft sehr breit gestreut – kaum ein Unternehmen geht es wirklich zentralisiert an. Ich dachte, ich schreibe einfach eine Patch-Management Einkaufsliste. Vielleicht hilft sie dir ja, das Thema ganzheitlicher zu betrachten und nichts zu vergessen. #1...

11 days ago • 4 min read

VPN-Anbieter erleben derzeit einen Boom. Sie werben damit, das Internet privat und sicher zu machen, ganz ohne Malware und Überwachung. Verschlüsselung, Anonymität, keine Logs, Malware-Schutz, weltweites Streaming – mit diesen Schlagworten sind VPN-Anbieter in den sozialen Medien allgegenwärtig. Ohne sich über den eigenen Schutz Gedanken gemacht zu haben, fühlt man sich sofort unsicher. Als hätte man etwas verpasst. Warum nutzen so viele Menschen einen VPN-Provider? Sicherheit beim E-Banking...

18 days ago • 6 min read