„Security Awareness ist ein komplexes Thema, da reicht kein dreiseitiger Flyer.“

Kaum war die neue Phishing-Trainingsreihe auf dem Markt, gab es mit dem Comenius-Siegel schon eine erste Auszeichnung für die neue Lernreihe. Und zum Jahresanfang 2023 folgten gleich zwei eLearning Awards des renommierten eLearning Journals - für die Phishingreihe und für das neue interaktive Serious Game. Zeit also, um mit Matthias Koll und Christian Laber auf ereignisreiche Monate zurückzuschauen und Bilanz zu ziehen.

Matthias: Wir haben 2022 viele neue Projekte gestartet und sehr viel Content produziert: die Phishing-Trainingsreihe, Betriebsunterweisungen und das interaktive Awareness-Spiel. Zusätzlich haben wir alle bestehenden Kurse in das neue Corporate Design der G DATA academy überführt und uns intensiv mit neuen Lernplänen auseinandergesetzt. Insgesamt waren die vergangenen Monate sehr arbeitsintensiv. Auch, weil uns bei den ambitionierten Projekten verschiedene Dienstleister unterstützt haben und parallel vier Projektstränge gleichzeitig liefen. Dabei hat es sich ausgezahlt, dass wir viel Arbeit in die Auswahl der Partner gesteckt haben. So konnten wir unsere Projekte innerhalb kurzer Zeit umsetzen – auch weil wir schnell ein Feedback gegeben haben. Das war alles sehr zeitintensiv, aber absolut lohnenswert.

Damit sind wir bestens gerüstet, unsere gute Ausgangsposition im Markt weiter auszubauen. Denn der Markt ist gewachsen - nicht nur quantitativ durch neue Wettbewerber, sondern auch qualitativ.

Christian: Mit den Projekten haben wir im vergangenen Jahr Neuland betreten. Der Schwerpunkt lag voll und Ganz auf der Etablierung von Game-based-Learning-Formaten, genauer gesagt auf der Produktion interaktiver Serious Games. Wir haben in diesem Zuge nicht ausschließlich ein Stand-alone Serious Game produziert, sondern eine ganze Gamingreihe mit einer durchgehenden Story erstellt. Dabei haben wir also Serious-Games mit einem wirklich interessanten Storytelling-Ansatz kombiniert. Ebenfalls haben wir ein True-Crime-Serious Game mit hohem Marketing-Fokus erstellt. Quasi als Antwort auf die Frage, ob es möglich ist, durch ein Serious Game Lust auf die Nutzung einer ganzen Lernplattform zu machen. Eine erste Version dieses sehr speziellen Serious Games konnten wir auf der Messe Learntec im Mai präsentieren und uns mit Interessenten austauschen. Aktuell ist das Spiel als Demo für jeden via Smartphone, Tablet und PC downloadbar. “Innovation“ und damit verbunden eine gänzlich neue Ausrichtung hinsichtlich der Art und Weise wie wir Trainings produzieren und anbieten wollen, das waren die zentralen Punkte, welche dieses letzte Jahr so geprägt und in diesem Zuge auch so erfolgreich gemacht haben. Ich bin sehr stolz auf unsere Leistungen!

Matthias: Der Markt ist immer noch sehr volatil, also in Bewegung. Ich bin überzeugt, dass unsere Contentqualität und unsere interaktiven Inhalte zur Oberklasse gehören. Aber ich sehe auch, dass Anbieter mit niedrigen Preisen und geringer Qualität den Markt torpedieren. Damit ist keinem Unternehmen geholfen – außer, dass sie ein Haken setzen können, wenn regulatorische Vorgaben sie zu Awareness Trainings nötigen. Das verhindert aber keine einzige Attacke, weil der Lerneffekt gleich null ist. Und diese qualitativen Unterschiede machen es für Unternehmen schwierig, den passenden Partner zu finden.

Wir sind zwar schon über drei Jahre auf dem Markt, aber befinden uns immer noch im Lernprozess. So sprechen unsere Sales-Kollegen nicht mehr nur mit IT-Leitern oder CISOs, sondern auch mit neuen Zielgruppen wie Personalentwicklern. Dabei lernen wir viel von Gesprächen mit großen Unternehmen, die sich schon intensiv mit der Materie beschäftigt haben.

Der Markt hat sich auch stark verändert, denn aus meiner Sicht ist er nicht mehr zwei-, sondern dreigeteilt. Es gibt die Firmen, die Awareness Trainings suchen, weil sie den Bedarf erkannt haben und die Unternehmen, die immer noch nicht verstanden haben, warum das erforderlich ist. Die dritte Gruppe sind die Firmen, die bereits erste Erfahrungen gemacht haben und mit eigenen Konzepten gescheitert sind. Weil das Thema nicht einfach, sondern komplex ist. Ein dreiseitiger Flyer reicht nicht aus. Sie suchen nun einen Partner, der Inhalte bietet. Und Hilfe, um den notwendigen Culture Change im Unternehmen einzuleiten. Denn es nicht damit getan, Kurse zu veröffentlichen, sondern du musst die Leute überzeugen, die Trainings zu absolvieren.

Christian: Im letzten Jahr wurde deutlich: Cybersecurity geht nur „Hand in Hand“, also als Zusammenschluss aus Awareness-Trainings, Endpoint Protection und Incident Response. Das Insel- oder Silodenken löst sich langsam, aber beständig auf. Wenn man in diesem Kontext eine Metapher finden will, dann bietet sich das „Swiss Cheese Model“ von James Reason an. Dabei werden die verschiedenen Sicherheitsebenen als Schweizer Käsescheiben, mal mehr mal weniger löchrig dargestellt. Sollte ein Angriff also durch ein Loch in der ersten Käsescheibe dringen, so wird dieser hoffentlich an der zweiten nachgelagerten Scheibe scheitern. Um dies in den Kontext der Cybersecurity zu bringen: Sollte ein User oder eine Userin etwa auf einen Link in einer Phishing-Mail klicken oder einen Anhang ausführen, so wäre die erste Sicherheitsebene durchdrungen. Es gibt aber eine nachgelagerte Ebene, die diesen Fehler ausbügelt. Mit Blick auf die erste Scheibe: Je professioneller und gezielter Awareness-Trainings in das Unternehmen eingebunden sind, desto undurchdringlicher wird die erste Sicherheitsebene, die durch die Mitarbeitenden an sich repräsentiert wird. Im Swiss-Cheese-Model bleibend: Je gezielter Awareness-Trainings eingebunden werden, desto weniger und kleiner sind die Löcher in der ersten Käsescheibe.

Ich bin davon überzeugt, dass sich dieser ganzheitliche Ansatz auch bei CISOs und Admins langfristig durchsetzt. Von einer anderen Ziel-/ Kundengruppe, den Personalentwicklern, erhalten wir bereits ein umfangreiches positives Feedback, weil wir mit unserem Portfolio die ganze Breite abdecken und dies mit einer Idee für eine ganzheitliche Sicherheitsstrategie verknüpfen.

Meiner Meinung nach setzen sich nicht die Anbieter durch, die besonders viele Kurse anbieten. Dieses Angebot überfordert die Lernenden. Viele Unternehmen suchen vielmehr einen Partner, der umfassende Expertise hat und sie unterstützt, von der Implementierung einer Awareness-Trainings-Strategie bis hin zur Adaption der Trainings im weiteren Verlauf. Nicht nur mit eLearnings und einer Lernplattform, sondern auch mit einer überzeugenden Idee, die dahintersteht. Und diesen Weg wollen wir gehen. Denn ein Gedanke ist bei unserem Ansatz von zentraler Bedeutung: Unsere Trainings sollen nachhaltig sein und bei den Mitarbeitenden langfristig eine Verhaltensänderung bewirken. Bei uns steht Klasse im Vordergrund, nicht Masse.

Christian: Gerade in der DACH-Region sind Awards und Auszeichnungen generell sehr gerne gesehen. Daher helfen uns diese Preise und verbessern unser Standing sowohl in der Branche als auch vor potenziellen neuen Kunden. Sie sagen mehr als tausend Worte. Das eLearning Journal und das Comenius Institut sind zwei große und renommierte Institutionen in der digitalen Bildung. Daher freue ich mich sehr über die Auszeichnung. Im Fall des Comenius-Siegels hat die Gesellschaft für Pädagogik und Information (GPI) mit einem sehr akademischen Blick die Trainings bewertet und gewürdigt. Das bestätigt, dass wir sehr gut gearbeitet haben. Das eLearning Journal ist das auflagenstärkste Magazin der Branche im DACH-Bereich – das ist also eine echte Ansage, dort gewonnen zu haben.

Matthias: Mit Auszeichnungen der IT-Branche kennen wir uns aus, sei es von Channel-Medien oder Test-Instituten. Deren Bedeutung können wir gut einordnen. Das Comenius-Siegel und die eLearning Awards haben wir erstmals gewonnen und damit Neuland betreten. In der Branche sind das zwei richtig renommierte Auszeichnungen. Die drei Preise sind eine Bestätigung von externer Stelle für unsere gute Arbeit, mit der wir jetzt auch nach draußen gehen.

Auch hier zeigt sich wieder der Unterschied zwischen IT-Verantwortlichen und Personalern. Denn im Bereich Human Resources sind die Auszeichnungen be- und anerkannt. CIOs und CISOs verstehen gerade erst deren Bedeutungen. Auf der Learntec, der Messe für digitale Bildung, kennt jeder den Preis. Bei LMS-Anbietern oder Content-Produzenten ist das ein Pfund, mit dem wir wuchern können. Das sorgt für Anerkennung.

Matthias Koll: Sowohl die Phishing-Trainingsreihe als auch das Awareness-Game kommen gut an. Den Kunden gefallen die neuen Lernformen, weil sie Probleme beschreiben, die sehr real sind. Bei der Phishing-Trainingsreihe überzeugt der episodische Aufbau. Auch die grafische Aufbereitung, weg vom Realfilm, und die Erzählweise heben Kunden in Gesprächen immer wieder positiv hervor.

Die Kombination aus Gamification und Game-based leuchtet vielen Kunden ein. Sie verstehen, wie diese Trainingsreihe ihr Problem löst. Es triggert sie geradezu, wenn sie sehen, dass sie mit einem U-Boot Phishing-Mails einsammeln müssen. Für mich ist das ein Beweis mehr, dass wir den richtigen Content entwickelt haben.

Christian: Mir gefällt sehr gut, dass wir Personen mit Charakter entwickelt haben. Im Rahmen des Projektes haben wir mit dem story-based Ansatz jetzt sogar einen Hauptcharakter. Also eine Person, die künftig auch bei anderen Trainings-Elementen vorkommen wird. Es ist schön, dass die Dramaturgie funktioniert. Daher haben wir uns auch entschieden, in neuen Trainingseinheiten Verweise oder Easter-Eggs einzubauen, die auf das Spiel oder die Phishingreihe verweisen.

Beim interaktiven Game hat mich das gesamte Spiel in seiner Gänze ehrlich überrascht, die finde ich klasse. Ich kann mich noch sehr gut daran erinnern, als ich zum ersten Mal gesehen habe, wie flüssig das Spiel läuft. Das war toll.

Matthias: Ich habe mich beim Spielen mit meinem eigenen Verhalten wiedererkannt. Wenn Paul ein Selfie macht und im Hintergrund Informationen zu sehen sind, die nicht für die Öffentlichkeit bestimmt sind. Jetzt schaue ich genauer hin, was hinter mir im Bild ist und was ich auf Social Media poste. Mich hat auch die Dramaturgie des Spiels überzeugt. Ein kleines Detail kann zum Worst Case führen. Und die Kurzweiligkeit des Spiels gefällt mir auch sehr gut.

Matthias: Die Frage ist nicht so einfach zu beantworten, weil das Thema komplex ist. Natürlich haben auch gamifizierte Ansätze ihre Grenzen, wenn es darum geht, Mitarbeitende zu motivieren. Wir werden sicherlich nicht alle Inhalte und Themen gamifizieren. Aus meiner Sicht brauchen wir für unsere Themen eine gesunde und bunte Mischung an Methoden sowie abwechslungsreiche Inhalte für unsere Themen.

Hinzu kommt: Der Markt ist in Bewegung und was in zwei Jahren ist, wissen wir heute noch nicht. Aber wir können schnell auf veränderte Anforderungen reagieren – das ist ein zentrales Learning aus dem vergangenen Jahr. Es bleibt unser Anspruch, weiterhin hochwertigen Content zu produzieren.

Das Thema Awareness Trainings wird nicht mehr verschwinden. Unternehmen müssen sich mit dem Thema Human Centered Security ernsthaft befassen. Wer meint, dass er Awareness nicht braucht, hat ganzheitliche IT-Sicherheit noch nicht verstanden.

Christian: Gamification ist jetzt das zentrale Thema, aber das kann sich auch wieder ändern. Denn es besteht die Gefahr, dass sich manche Dinge abnutzen. Aber stundenlange Lerneinheiten mit Dutzenden von Powerpoint-Folien sehe ich nicht mehr. Kurze Lerneinheiten haben sich durchgesetzt. Und auch geschichtenbasierte Trainings bleiben, denn das fördert das Interesse und die Beteiligung. Ein starker Praxisbezug durch die erzählte Geschichte stellt sicher, dass sich Menschen die Inhalte einfach besser merken und nachhaltiger lernen. Das belegen auch wissenschaftliche Studien.

Für mich ist wichtig, dass wir die Mitarbeitenden unserer Kunden da abholen, wo sie gerade sind und direkt ansprechen. Ganz essenziell ist dabei, dass wir ihnen die Angst in Bezug auf IT-Security nehmen. Es ist nicht ihre Schuld, wenn sie auf eine Phishing-Attacke hereinfallen. Schließlich ist jeder Mensch fehlbar.