Choose Your Own Adventure-Spiel animiert zum Security Awareness Training

Cyber Security News

Das “Choose Your Own Adventure”-Trainingsspiel “Deep Space Danger” von Infosec testet Mitarbeiter auf ihr Wissen über Social Engineering.

Die Mitarbeiter in Ihrem Unternehmen benötigen dringend ein Security Awareness Training. Was tun Sie? A. Langweilen Sie sie mit langweiligen Inhalten, die sich wie ein Vortrag anfühlen. B. Fesseln Sie sie mit spielerischen, interaktiven Lektionen.

“B” ist offensichtlich die richtige Wahl, aber nicht allen Unternehmen gelingt es, ihre Mitarbeiter zu motivieren, sich mit Phishing, Social Engineering und anderen Cyber-Bedrohungen auseinanderzusetzen.

Eines der faszinierendsten neuen Angebote, das in dieser Hinsicht helfen soll, ist ein neues videobasiertes Trainingsprogramm für Sicherheitsbewusstsein von Infosec (auch bekannt als Infosec Institute) aus Madison, Wisconsin – basierend auf der nostalgischen Buchreihe Choose Your Own Adventure. Ursprünglich zwischen 1979 und 1998 veröffentlicht und bis heute neu aufgelegt, haben die “CYOA”-Bücher junge Leser jahrzehntelang unterhalten, indem sie sie herausforderten, im Verlauf der Geschichte Entscheidungen zu treffen, und ihnen dann verschiedene Enden – nicht alle davon glücklich – basierend auf ihren Entscheidungen lieferten.

Das Konzept eignet sich gut für Sicherheitsprogramme in Unternehmen, wenn man bedenkt, dass auch die Mitarbeiter Entscheidungen treffen müssen, die entweder eine Cyber-Katastrophe abwenden oder eine auslösen können.

“Wir haben nach Möglichkeiten gesucht, unseren Kunden zu helfen, ihre Belegschaft besser in das Thema Sicherheit zu integrieren. [a topic] Wir haben nach Möglichkeiten gesucht, unseren Kunden zu helfen, ihre Mitarbeiter besser in Themen einzubinden, die sie ehrlich gesagt als langweilig empfinden”, sagt Jack Koziol, Gründer und CEO von Infosec, in einem Interview mit SC Media. “Man will die Leute nicht dazu zwingen, das Training zu absolvieren, weil sie dann nicht wirklich darauf achten, also versuchen wir immer, Wege zu finden, die Dinge interessanter zu machen…”

Deshalb war Koziol begeistert, als er letztes Jahr entdeckte, dass die Marke Choose Your Own Adventure zur Lizenzierung zur Verfügung stand. “Ich habe eine Menge Choose Your Own Adventure-Bücher gelesen und sie immer geliebt”, so Koziol weiter. “Als Kind in den 80er Jahren habe ich wahrscheinlich 40 davon gelesen.”

Als sie den Pitch von Infosec hörten, konnte ChooseCo, der Verlag hinter Choose Your Own Adventure, erkennen, dass dieser Vorschlag eine natürliche Erweiterung seiner bekannten Marke war. “Wir sind schon oft angesprochen worden, aber es hat nie so richtig gepasst”, sagte ChooseCo-CEO und Herausgeber Shannon Gilligan. “Eine unserer Aufgaben ist es, dafür zu sorgen, dass die Marke ihrem Zeitgeist und ihrem Charakter treu bleibt. [Infosec] hatte es von Anfang an wirklich drauf.”

Koziol sagte, dass das Feedback von Firmenkunden in der Anfangsphase positiv war, weil es sich “wie ein echtes Spiel anfühlt und tatsächlich Spaß macht, und nicht wie eine Folter.” Besonderen Enthusiasmus, so der CEO weiter, gibt es bei “vorausschauenden Organisationen” mit reiferen “Security-Awareness-Programmen, die mehr tun wollen als nur ‘das Kästchen abhaken’.”

[Blocked Image: https://www.scmagazine.com/wp-content/uploads/2021/05/Screen-Shot-2021-05-04-at-5.37.07-PM.jpg]Das “Choose Your Own Adventure”-Trainingsspiel “Zombie Invasion” von Infosec testet Mitarbeiter auf ihr Wissen über die Verbreitungsmethoden von Malware.

Der erste Teil der “Choose Your Own Adventure Security Awareness Games” von Infosec, die im Januar 2021 auf den Markt kommen, ist eine Hommage an das Monster-/Horror-Genre: “Zombie Invasion”. Die Prämisse: Ein Malware-Programm verwandelt Mitarbeiter in geifernde Zombies. Der Trainee, der das Spiel spielt, übernimmt die Rolle einer Marketing-Mitarbeiterin, die ihr Unternehmen gegen verschiedene Formen der Malware-Zustellung verteidigen muss, darunter waffenfähige Links und Anhänge.

An einem Punkt erhält die Mitarbeiterin eine Social-Media-Einladung, die vom CEO zu kommen scheint, aber sie ist leicht misstrauisch. Sie, der Spieler, haben nun drei Möglichkeiten: Klicken Sie auf den Link in der Einladung, melden Sie die E-Mail, oder löschen Sie sie. Wenn Sie auf den Link klicken, werden Sie zu einem Zombie (obwohl Sie eine zweite Chance erhalten, Ihren Fehler zu korrigieren). Das Löschen der E-Mail rettet Sie, aber Ihr Kollege wird zu einem Zombie, weil niemand ihn vor dem gleichen Betrug warnt und er darauf hereinfällt. Die beste Vorgehensweise ist natürlich, den Betrug zu melden, was alle Mitarbeiter vor dem Angriff rettet.

Treffen Sie alle richtigen Entscheidungen, und Sie werden befördert. Machen Sie Fehler auf dem Weg, und Sie oder Ihre Kollegen überleben den Arbeitstag vielleicht nicht unbeschadet.

“Wir versuchen wirklich, den Geist von Choose Your Own Adventure in den Modulen einzufangen, wo es lustig und schrullig ist und Dinge passieren, die unerwartet sind”, sagt Koziol. “Das ist der lustige Teil daran. Ich habe kürzlich mit meinem 10-jährigen Sohn ein Choose Your Own Adventure-Buch gelesen – das über den Yeti – und er liebt es, die Enden zu lesen, bei denen der Yeti ihm die Arme abreißt.”

Tatsächlich heißt das neueste Trainingsmodul, das SC Media noch nicht in Augenschein nehmen konnte, “Yeti Escape” und behandelt das Arbeiten von zu Hause aus.

Ein anderes Abenteuer, “Deep Space Danger”, dreht sich um Social Engineering: Ihre Raumstation, die von einem Supercomputer gesteuert wird, muss repariert werden. Aber drei verschiedene Reparaturschiffe kommen an, um zu helfen. Zwei von ihnen sind Betrüger, die versuchen, sich mit Hilfe von Social Engineering Zugang zur Station zu verschaffen. Werden Sie die korrekten Protokolle zur Authentifizierung der Identitäten der Parteien befolgen, bevor Sie ihnen Zugang gewähren?

[Blocked Image: https://www.scmagazine.com/wp-content/uploads/2021/05/Jack-K-headshot.jpg]Jack Koziol von Infosec

“Die Prämisse von Social Engineering ist, dass sich Angreifer darauf verlassen, dass Menschen höflich sein wollen”, so Koziol. “Es ist höflich, Leute nicht zu befragen. Wenn jemand Sie bittet, ihm die Tür aufzuhalten, tun Sie das, und genau das machen sich Social Engineers zunutze. Was wir also wirklich versuchen zu vermitteln, ist: vertraue, aber überprüfe.”

Erst letzten Monat kündigte Infosec ein weiteres Tool in seinem Portfolio an – eine Mitarbeiterbefragung, mit der die Sicherheitskultur in einem Unternehmen bewertet werden kann. Unternehmen, die nicht unbedingt die Zeit und die Ressourcen haben, eine eigene Umfrage zu entwickeln, können diese “Infosec IQ Cybersecurity Culture Survey” schnell aufstellen, um eine schnelle Bewertung ihrer Organisation durchzuführen.

Die Umfrage wurde entwickelt, um die internen Wahrnehmungen in Bezug auf Sicherheitspraktiken, Richtlinien und Strategien zu erfassen. Insbesondere hilft sie dabei, fünf Schlüsselbereiche zu messen: Wie sicher sind die Mitarbeiter bei der Anwendung ihres Cyberwissens, in welchem Maße glauben die Mitarbeiter, dass sie für die Sicherheit verantwortlich sind, wie engagiert sind die Mitarbeiter bei Sicherheitsschulungen, wie sehr vertrauen die Mitarbeiter den Sicherheitsverfahren ihres Unternehmens und wie nehmen die Mitarbeiter die Konsequenzen eines Sicherheitsvorfalls wahr.

“Sobald eine Organisation eine Punktzahl für jede Domäne erhält, kann sie eine bessere Vorstellung davon bekommen, wie stark oder wie schwach sie in diesen Domänen ist”, und eine entsprechende Strategie entwickeln, so Tyler Schultz, Product Marketing Manager bei Infosec. “Jede Organisation kann … die Umfrage frühzeitig durchführen, um zu sehen, wo sie steht, und dann die Umfrage in sechs oder 12 Monaten wiederholen, um zu sehen … wie sie sich verbessert oder wie sich die Dinge entwickeln.”

Zu Ehren des neuen “Choose Your Own Adventure”-Sicherheitsschulungsprogramms von Infosec stellt SC Media CEO Jack Koziol eine Reihe von lustigen Multiple-Choice-Fragen und ein Künstler illustriert die erstaunlichen Ergebnisse.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com