G DATA – Mit Storytelling dem Phishing entkommen

Kunde G DATA CyberDefense AG | Lösung E-Learning Content | Jahr 2022


Die G DATA CyberDefense AG ist ein ganzheitlicher IT-Security-Dienstleister mit Sitz in Bochum. Einen Meilenstein setzte die Firma im Jahr 1987 mit der Entwicklung und dem Verkauf der ersten kommerziellen Anti-Virus-Software. Mittlerweile zählt das Unternehmen mehr als 500 Mitarbeitende und bietet neben Endpoint Protection Cyber-Defense-Dienstleistungen wie Security Awareness Trainings, Penetrationstests und Incident Response an. Mit Expertise und Innovationen sorgt G DATA so für die Sicherheit von Unternehmen aller Größen sowie kritischer Infrastrukturen wie Krankenhäusern und Flughäfen und Millionen Privatkunden überall auf der Welt.

Die Ausgangssituation

Der Mensch als Zielscheibe der Cyberkriminellen

Die Digitalisierung hat längst alle Lebens- und Wirtschaftsbereiche erreicht. Daher ist die sichere Versorgung mit digitalen Informationen so existenziell wie die Versorgung mit Strom oder Wasser. Die Digitalisierung hat aber auch neue Formen der Kriminalität möglich gemacht. Ein Trend zeichnet sich hier besonders deutlich ab: Inzwischen nehmen Cyberkriminelle nicht mehr Systeme, sondern immer häufiger Personen ins Visier – denn: Jedes System ist nur so gut wie diejenigen, die es bedienen.

So ist die Mission von G DATA, eine umfassende Verteidigung gegen Cybercrime anzubieten und den Menschen zum integralen Teil der Schutzmaßnahmen zu machen. Aus diesem Gedanken entstand bei G DATA die „Cyber Defense-Academy“ (CDA). Ziel der Lernplattform ist es, die letzte Verteidigungslinie der Cyberabwehr, also den Menschen, mit Wissen zu unterstützen und so sicherer im Umgang mit Gefahren zu machen.

Zu einer der häufigsten Angriffsformen zählt das sogenannte „Phishing“. Die Angreifer wollen hierbei vertrauliche Informationen eines Nutzers (z.B. Zugangsdaten etc.) abgreifen oder das Netzwerk mit Schadsoftware infizieren.

Phisher versuchen etwa, gefälschte Mails mit detaillierten, persönlichen Informationen über das Opfer zu verschicken (“Spear-Phishing”). Ziel ist es, das Vertrauen des Opfers zu erlangen, damit dieses auf Anhänge und/oder Links klickt. So schaffen es die Phisher, noch weitere, persönliche Informationen (Zugangsdaten, Kontodaten etc.) zu sammeln. Oder das Opfer zieht sich angehängte Ransomware auf den Computer, welche dann durch die Zahlung von Lösegeld von den Angreifern wieder entfernt wird.

Die Angriffe werden immer perfider, da sie immer individueller werden. Durch ausführliche Social Media-Auftritte der Opfer wird es den Phishern leicht gemacht, an sehr persönliche Informationen zu gelangen. Die Wahrscheinlichkeit, dass Opfer dann auf einen Link o.ä. in einer entsprechend gestalteten Mail klicken, ist enorm hoch. Deshalb ist es insbesondere für Unternehmen entscheidend, Wissen in diesem Bereich aufzubauen.

Die Lösung

Die Lernenden mit Storytelling in ihren Bann ziehen

Um Wissen gezielt und nachhaltig vermitteln zu können, braucht es moderne, kurzweilige und hochinteraktive Trainingsformate. So entstand die Idee für eine Learning Journey, die einen sehr starken Storytelling-Ansatz verfolgt und alle in ihren Bann zieht. Die User werden in sieben Episoden mit auf eine Reise genommen, auf der sie alles rund um das Thema “Phishing” lernen – beginnend bei den Grundlagen bis hin zum Expertenwissen um die Identifizierung von perfiden, sehr individuellen Spear-Phishing-Angriffen.
Für die Kunden von G DATA ist Lernzeit häufig gleich Arbeitszeit. Daher ist die Lernstrecke in kurze Häppchen verpackt, um maximalen Lerntransfer und Nachhaltigkeit zu gewährleisten. Ziel ist es, Awareness für das Thema zu schaffen, damit niemand aus Versehen oder aus Unwissenheit doch auf einen Link in einer Phishing-Mail klickt oder einen Anhang öffnet, der Schadcode enthält.

Das Ergebnis

Durch die Tiefen des Phishings

Die Learning Journey ist geprägt von den vier Hauptcharakteren Martin, Anna, Jan und Maria. Die vier Protagonisten symbolisieren jeweils einen bestimmten Nutzertypen bzw. eine Phishing-Angriffsform, d.h. E-Mail, Telefon, SMS oder Social Media. Sie dienen den Lernenden als Begleiter und Identifikationsfiguren während des gesamten Trainings.
Zu Beginn werden die Charaktere Opfer verschiedener Phishing-Angriffe – und geraten so in den „Strudel des Phishing“. Im Laufe der Learning Journey kämpfen sie sich durch eine düstere Unterwasserwelt und lernen durch verschiedene Twists in der Story, mit immer größeren Angriffen und Herausforderungen umzugehen.

Doch nicht nur die Opfer stehen im Fokus. Regelmäßige Perspektivwechsel geben einen Einblick in die Welt der Phisher und deren Gedankenwelt, will heißen: Motivation, Antrieb, Denkweise etc. Mit dem gesammelten Wissen können sich die Lernenden gemeinsam mit den Hauptcharakteren sukzessive an die Wasseroberfläche zurückkämpfen und in der siebten und letzten Episode der Learning Journey, zu einem finalen Gegenschlag ausholen.

Das Training überzeugt zudem durch einen sehr hohen Interaktionsgrad. Gängige Formate wie Drag & Drop-Aufgaben oder Multiple-Choice-Fragen werden durch die Story neu verpackt bzw. illustriert, indem Lernende beispielsweise Falschaussagen in Fischernetze ziehen oder das U-Boot, mit welchem sie durch das Training (bzw. die Unterwasserwelt) navigieren, mit Luft betanken müssen.

Außerdem gibt es Time-based Challenges, Click- and Reveal-Aufgaben, Podcasts, Wimmelbilder, Use-Cases etc., die alle eins zum Ziel haben: Intensiv mit Phishing-Angriffen aus dem realen Leben zu interagieren und so die Charaktere, Antagonisten und vor allem die Schutzmechanismen besser kennenzulernen.

Der Höhepunkt ist der digitale Escape-Room im letzten Modul. Darin sind Hinweise versteckt, mit denen der Gegenangriff gegen die Phisher eingeläutet wird und die Hauptcharaktere zurück an die Oberfläche gelangen.

Die Mischung aus hohem Interaktionsgrad, einer charakter- und storygetriebenen, sowie dramaturgisch durchdachten Erzählweise und dem kurzweiligen episodischen Aufbau machen aus der Phishing-Trainingsreihe eine runde und vollständige Learning Journey, die alle in ihren Bann zieht.

So werden alle Lernenden berücksichtigt und der Wissensaufbau unter der Verwendung von modernsten didaktischen Elementen maximiert. Die geringe Dauer der einzelnen Episoden mit maximal 15 Minuten trägt entscheidend zum Ziel des Continuous Learning, bzw. dem “Workplace Learning” bei. youknow und G DATA legten in der Konzeption der Learning Journey auch einen hohen Wert auf die “Wiederverwendbarkeit” der Trainings. Diese sollen vom Lerner nicht nur einmalig abgeschlossen werden, sondern im Optimalfall auch während des Arbeitsalltags immer wieder zu Rate gezogen werden. Die storygetriebene Erzählweise steigert die intrinsische Motivation und das Erinnerungsvermögen der Lernenden, welches durch die Verwendung von Bildern zusätzlich auf das bis zu 20-fache erhöht wird.

„Die Security Awareness Trainings von G DATA sind didaktisch sehr gut aufgebaut und decken das Thema umfassend ab. Das Lernen der komplexen Materie macht Spass und die interaktiven Elemente binden die Lerner/-innen ein, sodass sie die Kurse bis zum Ende absolvieren.“

Sandra Käppeli, Area Managerin ICT bei der Streamline AG

„Dass eine Mail von einem afrikanischen Prinzen mit einem Geldgeschenk gefährlich ist, wissen viele. Das aber gefälschte Mails heutzutage kaum von echten zu unterscheiden sind, ist vielen nicht bewusst. Und damit auch nicht die große Gefahr, die von Phishing ausgeht. Diese immer präsenter werdende Gefahr, war Anlass für G DATA und die Cyber Defense Academy hier inhaltlich einen der zentralen Schwerpunkte zu legen. Das Ergebnis war unsere neue Phishing-Trainingsreihe.“

Christian Laber, Head of E-Learning Development bei G DATA

„Unternehmen, bei denen die IT-Security einen hohen Stellenwert einnimmt, wissen, dass Security Awareness Schulungen kein „nice-to-have“, sondern ein „must-have“ sind. Dabei müssen diese Trainings nicht nur informativ, sondern für den User ansprechend gestaltet sein. Denn, das Auge isst immer mit.“

Nikolas Schran, Product Owner Cyber Defense Academy bei G DATA

Fazit

Eine Lernreihe am Puls der Zeit

Die Nachfrage der Kunden nach der Lernreihe ist enorm. G DATA CyberDefense lag mit dem Training offenbar nicht nur thematisch richtig, auch youknow hat konzeptionell den Nerv der Zielgruppe getroffen. Seit dem Start der CDA griffen mehr als 450 Unternehmen mit insgesamt über 40.000 Usern darauf zu, Tendenz steigend. Die neue Trainingsreihe steht seit März 2022 Kunden zur Verfügung. Hier können Sie das Training ausprobieren.

Auch die Jury der Gesellschaft für Pädagogik, Information und Medien (GPI) hat die Lernstrecke überzeugt: Beim Comenius Award 2022 ist sie mit einem Siegel ausgezeichnet worden.

Ausblick

Wie geht es weiter?

Neue Trainings für die Cyber Defense Academy sind konkret zu den Themen Datenschutz, Arbeitsschutz und Brandschutz geplant, die ab April 2022 bereitstehen werden. Darüber hinaus orientiert sich G DATA stets an den Bedürfnissen des Marktes, um Bedarfe für etwaige weitere Trainings zu erkennen.

Neugierig geworden?

Ken Weid, Key Account Manager

Wir beraten Sie gerne und zeigen Ihnen weitere Kundenprojekte, die zu Ihren Vorstellungen und Herausforderungen passen.
Schreiben Sie uns einfach per Kontaktformular oder melden Sie sich direkt per Mail oder Telefon:

+49 89 30 66 880-0