Gamification fördert den menschlichen Wettbewerbsdrang, was wiederum der IT-Sicherheit in Unternehmen zuträglich sein kann. Wenn man es richtig angeht.
Hacks und Cyberangriffe auf Unternehmen, immer größere und verheerendere Datenlecks - der Spaß ist beim Thema IT-Security längst vorbei. Immer neue Security-Lecks, Schwachstellen und Angriffsvektoren lassen Unternehmen neue Wege zur Schaffung von Awareness unter ihren Mitarbeitern suchen. Ein Ansatz ist dabei der Einsatz von Gamification, der die Angestellten die Erfolgsmethoden - neudeutsch auch Best Practices - der IT-Sicherheit mit Nachdruck in die Gehirnwindungen pressen soll.
Gamification kann der IT-Sicherheit in Unternehmen zuträglich sein. Foto: canbedone - shutterstock.com, Stephen Plaster - shutterstock.com
So profitiert IT-Security von Gamification
Was sich jetzt vielleicht ein wenig ruppig liest, meint den Prozess, Mitarbeiter zum Nachdenken und zu Verhaltensänderungen zu bewegen - und zwar durch die Anwendung von spielerischen Mechaniken im Arbeitsalltag. Einfacher ausgedrückt: das was in einem Spiel für Spaß sorgt, kommt in Situationen zur Anwendung, die unter Umständen gar nicht so spaßig sind.
Durch die Anwendung von Gamification (zum Beispiel in Form von Wettbewerben oder Prämien-Programmen) können Unternehmen neue Wege ergründen, wenn es um die Schulung und Sensibilisierung ihrer Mitarbeiter in Sachen IT-Security geht. Mark Stevens, seines Zeichens Senior Vice President of Global Services beim US-Sicherheitsanbieter Digital Guardian, gibt Ihnen nun sieben gute Gründe dafür, warum sich die Verschmelzung von IT-Sicherheit und Gamification lohnt.
Mehr IT-Sicherheit durch Gamification
Belohnung erwünscht Belohnen Sie Mitarbeiter, die sich an die Unternehmensvorgaben beziehungsweise Sicherheitsrichtlinien halten. Das wird diese wiederum anspornen, ihr Verhalten beizubehalten. Ein Beispiel für Gamification wäre in diesem Zusammenhang, dass Mitarbeiter digitale (oder physische) Plaketten, Pokale oder Auszeichnungen erhalten - etwa wenn Sie es schaffen, 100 E-Mails ohne Compliance-Verstoß zu verschicken.
Anreize schaffen Wenn ein Angestellter in ihrem Unternehmen bereits eine beeindruckende Sammlung an digitalen Auszeichnungen erlangt hat, bieten Sie ihm die Möglichkeit, diese gegen "echte" Vorteile einzutauschen - zum Beispiel Geschenkgutscheine oder Sonderzulagen.
Offener Dialog Durch den Einsatz von Gamification können Unternehmen einen neuen Umgang mit dem Thema Datenschutz fördern. Statt externe Spezialisten gähnend langweilige Vorträge über Compliance und Datenschutz halten zu lassen, könnte ein offener Dialog zwischen den Mitarbeitern entstehen, in dem diese sich - auf Basis ihrer Erfolge, Herausforderungen und Erfahrungen im Gamification-System - aus freien Stücken über Best Practices austauschen.
Bewusstseinsbildung Cybersecurity-Trainings sind am effektivsten, wenn sie einmal pro Jahr abgehalten werden. Allerdings hält sich ein großer Teil der Unternehmen nicht an diesen Zyklus, in der Regel aus Zeit- und/oder Kostengründen. Durch den Einsatz von Gamification sind Mitarbeiter eher in der Lage, eigenes Fehlverhalten anzuerkennen, die Folgen ihres Handelns zu erkennen und ihr Verhalten auf lange Sicht zu ändern.
Engagement fördern Sie sollten Ihre Angestellten dazu ermutigen, ihre Auszeichnungen am Arbeitsplatz zur Schau zu stellen. Außerdem sollten Sie ihren Führungskräften auftragen, gutes Verhalten dadurch zu belohnen, dass eine monatliche Bestenliste veröffentlicht wird (Mitbestimmung beachten!). Ranglisten und Auszeichnungen sorgen dafür, dass die Spielteilnehmer sofort ins Game hineingezogen werden. Davon abgesehen fördert ein solches Vorgehen die interne Kommunikation, wodurch wiederum das Engagement aller Mitarbeiter gestärkt wird.
Fachkräfte finden Immer noch ringt die IT-Branche mit einem ausgeprägten Fachkräftemangel - insbesondere wenn es um das Thema IT-Sicherheit geht. Einige Organisationen - etwa die britische Cyber Security Challenge - haben es sich zur Aufgabe gemacht, dieses Problem mit jährlichen Wettbewerben zu lösen. Bei diesen Veranstaltungen werden die Teilnehmer mit simulierten Bedrohungssituationen konfrontiert, die sie dann auf Grundlage ihrer Fähigkeiten meistern müssen. Die Gewinner bekommen in der Regel lukrative Job-Angebote von großen IT-Unternehmen oder Regierungsinstitutionen, die die Challenge mit Sponsorgeldern unterstützen.
Kontrolle ist besser Natürlich kann der Einsatz von Gamification nur dann Früchte tragen, wenn die Mitarbeiter das Gelernte auch auf Szenarien in der echten Welt anwenden. Um das sicherzustellen, sollten Unternehmen unbedingt die Effektivität ihrer Gamification-Bemühungen an der Entwicklung des realen Risikopotentials messen. Zu diesem Zweck sollten Sie regelmäßige, interne Prüfungen durchführen, um herauszufinden welche Mitarbeiter trotz aller Bemühungen immer noch ein Sicherheitsrisiko darstellen.
Gamification im Unternehmenseinsatz
Der Einsatz von Gamification kann Unternehmen jedoch nicht nur beim Thema IT-Sicherheit neue Möglichkeiten der Mitarbeitermotivation und so schlussendlich mehr Produktivität bescheren. Bereits in der Vergangenheit berichtete die COMPUTERWOCHE über zahlreiche Projekte in diesem Zusammenhang. Sogar ein gemeinhin eher abgeschlafftes Themengebiet wie Controlling kann durch den Einsatz spielerischer Elemente an Attraktivität gewinnen. Auch im Bereich Big Data und Analytics versprechen sich Unternehmen positive Effekte. Dabei sollten Sie allerdings nicht vergessen, dass der Einsatz von Gamification auch Risiken birgt, die Sie sich unbedingt im Vorfeld bewusst machen sollten.
Das Einmaleins der IT-Security
Adminrechte Keine Vergabe von Administratorenrechten an Mitarbeiter
Dokumentation Vollständige und regelmäßige Dokumentation der IT
Sichere Passwörter IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
E-Mail-Sicherheit E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Soziale Manipulation Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Vorsicht beim Surfen im Internet Nicht jeder Link führt zum gewünschten Ergebnis.
Nur aktuelle Software einsetzen Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Unternehmensvorgaben Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Backups Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Diebstahlschutz Mobile Geräte und Datenträger vor Verlust schützen.
Gerätezugriff Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Sicherheitsrichtlinien Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien
Zugriffsrechte Regelung der Zugriffsrechte auf sensible Daten
Softwareupdates Automatische und regelmäßige Verteilung von Softwareupdates
Logfiles Kontrolle der Logfiles
Datensicherung Auslagerung der Datensicherung
Sicherheitsanalyse Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Notfallplan Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
WLAN-Nutzung Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste
Firewalls Absicherung der Internetverbindung durch Firewalls
Biometrische Faktoren Einsatz von Zugangsschutz/Kennwörter/Biometrie
Zugangskontrolle Physische Sicherung/Zugangskontrolle und -dokumentation
Schutz vor Malware Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Webzugriffe Definition einer strukturierten Regelung der Webzugriffe
Verschlüsselung Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Löschen Sicheres Löschen der Daten bei Außerbetriebnahme
Update der Sicherheitssysteme Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Monitoring Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten