ALTERNATIVTEXT einsetzen (!)
HeLaBa

All In

Wie Deutschlands drittgrößte Landesbank mit Gamification das Bewusstsein ihrer Mitarbeiter für Informationssicherheit schärft.
Autor: Sven Hansel
Fotos: HeLaBa, T-Systems
Die Landesbank Hessen-Thüringen, besser bekannt unter ihrer Kurzbezeichnung „Helaba“, unterliegt als Finanzinstitut steigenden regulatorischen Anforderungen und aufsichtsrechtlichen Pflichten. Dabei setzt sie nicht nur auf modernste Technologie, um das Institut im Umfeld wachsender Bedrohungen durch Cyberattacken zu schützen. Denn die nach ihrer Bilanzsumme drittgrößte deutsche Landesbank weiß sehr wohl, wie wichtig heutzutage gut geschultes Personal ist. „Unsere Mitarbeiter bilden gewissermaßen die Human Firewall. Wenn trotz aller unserer Vorkehrungen eine Phishingattacke tatsächlich einmal durchkommen sollte, sind sie die letzte Verteidigungslinie“, sagt Jürgen Vogt aus der Abteilung Information Security Management der Helaba. Deshalb investiert die Bank fortlaufend in Trainings, Vorträge und – eine „spannende Brettspielsammlung“. Dahinter steckt ein von T-Systems entwickelter Securityparcours, den die Helaba mittlerweile in eigener Regie deutschlandweit einsetzt. Mit der Erfahrung, dass kaum genug Spielbegegnungen organisiert werden können, um die Nachfrage der Mitarbeiter zu bedienen.

Weltbekannte Brettspielklassiker sind die Ideengeber der von T-Systems entwickelten Parcourstrecke.
Spielen im geschäftskritischen Kontext

In vielen Unternehmen und Organisationen heißt es momentan „Game on“ statt „Game over“. Aus gutem Grund. „Spielen kennzeichnet einen Urtrieb. Der Mensch ist nur da Mensch, wo er spielen kann. Und Spielen macht Dinge einfacher“, weiß Peter Kreutter, Direktor der Stiftung Wissenschaftliche Hochschule für Unternehmensführung (WHU) in Vallendar, der sich seit Längerem mit dem Thema Gamification in Unternehmen beschäftigt. Zocken im Büro also? Mitnichten, vielmehr eine ernsthafte Möglichkeit, die Sensibilität für Themen aus der Informationssicherheit und das Sicherheitsbewusstsein am Arbeitsplatz nachhaltig zu fördern. Gamification, sprich spielerische Elemente in spielfremden Kontext einzubinden, erlebt momentan eine Hochkonjunktur. Wie beispielsweise Forscher der Donau-Universität Krems in Österreich herausgefunden haben, lassen sich durch die Integration spielerischer Elemente Mitarbeiter besser motivieren, komplexe Aufgaben zu lösen.
Dieses ungezwungene Lernen ermöglicht es, Dinge auszuprobieren, ohne die Gefahr einer realen Konsequenz auszulösen. Die Motivation sei hoch, denn man wolle ja gewinnen. Die Spannung steigt mit einem spielerischen Zugang und letztlich können auch trockenere Themen viel einfacher vermittelt werden.

Frontalbeschallung funktioniert nicht

Das bestätigt auch Awareness-Experte Vogt. „Um ein Bewusstsein für Informationssicherheit zu erreichen, ist Frontalbeschallung mit PowerPoint kein probates Mittel. Ein spielerisches Format hingegen minimiert das Risiko, dass Mitarbeiter schnell ‚abschalten‘, hält ihre Aufmerksamkeit hoch und forciert die Interaktion. Wir als Moderatoren aus ISM treten als kompetente Partner in Fragen der Informationssicherheit auf. Vorteil dieser Präsenzschulung ist die Interaktivität mit der Belegschaft. Fragen und Gefahren werden in der Gruppe und Face to Face mit den Teilnehmenden diskutiert und, wenn möglich, sofort beantwortet. Das wirkt.“
Der Mitarbeiter fühlt sich ernst genommen und wird durch die Moderatoren in die Thematiken eingeführt und sensibilisiert. Durch die vielen konstruktiven Diskussionen sowie den Spaßfaktor beim Lösen der Rätsel während der Veranstaltung, entsteht eine nicht zu unterschätzende Nachhaltigkeit für diese Themen. Dabei wird kognitives Wissen in Verbindung mit emotionalem Verhalten vermittelt: „Awareness zum Anfassen“. Der Securityparcours als Präsenzveranstaltung bietet eine ideale Ergänzung zu Awareness-Maßnahmen und trägt zum Erfolg und zur Stärkung der Sicherheitskultur der Helaba bei.

Awareness verankern

Aufgebaut ist der Securityparcours der Telekom Tochter ganz traditionell, wie von den Wortschöpfern des „parcursus“ im alten Rom vorgesehen: als Übung bzw. Drill im militärischen und nicht militärischen Ausbildungsbetrieb. Nur mit dem Unterschied, dass die auf der T-Systems-Parcoursstrecke zu durchlaufenden Hindernisse an praktisch weltbekannte Brettspielklassiker angelehnt sind. Ob Phishing als „Fische angeln“, Social Engineering als „Trivial Pursuit“ oder Cyber Security als „Monopoly“: Ein Moderator, intern oder extern, fungiert jeweils als Spielleiter. Pro Sicherheitsthema – beispielsweise Phishing, Social Engineering, Cyber Security oder das Modul „Sicher unterwegs“ – gibt es eine Station. Ein Spiel umfasst in der Regel fünf Stationen, an denen jeweils etwa 15 Minuten lang Teams von bis zu zehn Personen im Wettbewerb gegeneinander antreten. „Dabei wird von Station zu Station gewechselt und selbstverständlich können wir bedarfsbezogen eines oder mehrere bestimmte Themen besonders in den Vordergrund stellen. So entwickelt sich der Parcours thematisch fortlaufend weiter“, verrät Thomas Schramm, Principal Solution Sales Manager bei T-Systems.

„Unsere Mitarbeiter bilden gewissermaßen die Human Firewall. Wenn trotz aller unserer Vorkehrungen eine Phishingattacke tat-sächlich einmal durchkommen sollte, sind sie die letzte Verteidigungslinie.“

Jürgen Vogt, Information Security Management, Helaba

Ausgelegt auf Interaktivität

Papier und Stift für Notizen zum Thema müssen die Teilnehmer während des Spiels beiseitelegen, dafür lässt das sehr auf Interaktivität ausgelegte Spiel auch gar keinen Raum. Hier geht es nicht um passives Pauken, sondern um interaktives Wahrnehmen und Begreifen im wahrsten Sinne des Wortes. Die Helaba hat seit 2016 einen solchen Parcours elfmal mit insgesamt 350 Beschäftigten veranstaltet. „Dabei haben wir durch Feedbackbögen der Mitarbeiter eine Durchschnittsnote von 1,4 ermittelt. Wir kennen kein anderes Schulungsformat, das im Konzern besser ankommt“, freut sich Jürgen Vogt. Natürlich ist das Gamification-Element nur ein Baustein eines insgesamt sehr ausgeklügelten Schulungs- und Sensibilisierungskonzepts. Banken gehören zu den kritischen Infrastrukturen des Landes (KRITIS), unterliegen unzähligen regulatorischen Vorgaben und Compliance-Vorschriften und müssen Sicherheitsvorfälle der Europäischen Zentralbank (EZB) melden. Das führt eben dazu, dass die Institute gerade angesichts der in der Digitalisierung immer stärker zunehmenden und komplexeren Cyberattacken sowohl sicherheitstechnisch aufrüsten als auch die Belegschaft stärker sensibilisieren müssen. „Jeder muss in der Kette wissen, was zu tun ist, wenn tatsächlich ein sicherheitsrelevanter Vorfall auftritt. Wir wollen den Mitarbeitern mit dem Securityparcours also auch Mut machen, entsprechende Ereignisse zu melden“, so der Securityexperte Vogt.

Lückenlos sensibel

Das kann zwar auch die Phishingmail sein, die sich durch die Firewall gemogelt hat, im Parcours werden aber durchaus auch grundlegende Sicherheitselemente durchgespielt. Basics quasi, Selbstverständlichkeiten, Routinen, in denen jedes Laisser-faire im nächsten Zug der Datendiebe „Schachmatt“ bedeuten kann. Dazu gehören sowohl ein sauberer Schreibtisch nach Dienstschluss, auf dem dann keine vertraulichen Papiere mehr liegen, als auch die Aufklärung darüber, dass dienstliche E-Mail-Accounts nicht für private Angelegenheiten verwendet werden sollten. Kurz und gut: Der Securityparcours als Selbstverständlichkeit für Securitythemen soll das Bewusstsein schärfen, dass Sicherheit mittlerweile ein ständiger Bestandteil des Berufs- und Privatlebens sein muss, 24 Stunden am Tag, an sieben Tagen in der Woche. Genauso etwa wie ein Sicherheitsgurt im Auto, bei dem der Fahrer nicht den Bruchteil einer Sekunde nachdenkt, ob er losfährt, bevor es im Gurtschloss nicht „klick“ gemacht hat.
Ein Koffer voller Herausforderungen – die Aufgaben der „Spielesammlung“ werden von den Security Awareness Coaches regelmäßig ausgetauscht.

Das Thema IT-Security enttabuisieren

Und genau das hat die Helaba damit auch erreicht. Im Cashmanagement beispielsweise sei das Sicherheitsniveau „extrem gestiegen“ und auch die Weiterleitungsquote in Sachen Phishingverdacht sei ungleich höher als früher. Man habe die Mitarbeiter durch den Parcours ermutigt, aktiv zu werden und das Thema IT-Security weiter enttabuisiert. Der virtuelle „Sicherheitsgurt“ ist sozusagen noch ein gutes Stück tiefer in der Unternehmenskultur verankert, und das auch in Abteilungen, die nur wenige Berührungspunkte mit potenziell risikobehafteten Bereichen haben.
Die Schaffung eines solchen Bewusstseins hat auch die Arbeit von Jürgen Vogt und seinen Kollegen erleichtert – gelten sie mittlerweile gewissermaßen als „Kumpel“, die man in Sachen Sicherheit zu jeder Zeit um Rat fragen kann. Das Information Security Management und mit ihr die gesamte IT haben nunmehr den Ruf eines Beschützers, der sich um die Kollegen kümmert. „Unsere Mitarbeiter haben es verstanden: Mit einem Bewusstsein für Sicherheit schützt ihr euch selbst, euren Arbeitsplatz und die Kollegen, das Unternehmen und unsere Kunden. Der Securityparcours war zur Schaffung dieses Bewusstseins unabdingbar“, resümiert Vogt. Alles aufs Spiel setzen, um nichts zu riskieren: Die Helaba hat es verstanden.
Ihr Ansprechpartner: Thomas.Schramm@t-systems.com
Weitere Informationen: www.helaba.com
Weitere Informationen: www.t-systems.de/blickwinkel/security