Eigentlich wusste ich ja, dass ich da nicht draufklicken sollte... Modernes Awarenessbuilding durch Nudging, Gamification & Co

Transkript

1 Eigentlich wusste ich ja, dass ich da nicht draufklicken sollte... Modernes Awarenessbuilding durch Nudging, Gamification & Co Vortrag von Dr. Niklas Hellemann, IT S Breakfast

2 Background: Die Häufigkeit und Komplexität von Cybercrime nimmt stark zu. >50% 74% 92% Cyber-Attacken sind weit verbreitet >50% der Unternehmen in Deutschland waren 2016 und 2017 Ziel solcher Attacken Social Engineering ist besonders tückisch 74% der Unternehmen weltweit werden mindestens einmal jährlich Opfer einer gezielten Social Engineering-Attacke Phishing- s sind das häufigste Einfallstor 92% aller Cyberangriffe starten mit einer Phishing- Beispiel: CxO Fraud/Fake President Masche Komplexe Social Engineering-Attacke, bei der sich der Angreifer als Führungskraft ausgibt, um Mitarbeiter etwa zum Transfer von Geldbeträgen oder der Herausgabe sensibler Daten zu bewegen Quellen: Verizon, Mimecast, WIK

3 Cybercrime: Die Opfer sind mal mehr und mal weniger prominent.

4 Aktuelles Beispiel: Phishing-Welle als Bewerbungsmails.

5 Awareness ist relevanter denn je. 156 Mio Phishing-Mails werden täglich versandt 16 Mio kommen durch Spam-Filter Jede zweite Phishing- Mail wird geöffnet. 8 Mio werden geöffnet Filter Nutzer Quellen: Symantec, McAfee, Verizon 80% aller Mitarbeiter können differenzierte Phishing-Mails nicht erkennen.

6 Klassische Awareness-Formate sind ein guter Anfang Kommunikationskampagnen Gehen in der Nachrichtenflut unter Teilweise schwer übertragbar Nutzen sich schnell ab Klassische Offline-Formate (z.b. Präsenzkurse) Kosten- und zeitintensiv Wenig flexibel Schwer auf alle Mitarbeiter übertragbar Die tagtägliche Umsetzung von Wissen in Handeln bleibt ein Problem

7 Was hat plastische Chirurgie mit Jogging zu tun? Es dauert (mind.) 21 Tage um sich an ein neues Gesicht zu gewöhnen. Quelle: James Clear (2017)

8 Präfrontallappen Basalganglien

9 Wie bewegt man Menschen zur Gewohnheitsveränderng? Ansatz Beschreibung Beispiel Inzidentelles Lernen Änderung durch iteratives Lernen und Adhoc-Feedback in der realen Welt Sprachreisen Nudging Änderung durch kleine Stubser im Alltag, ohne Verbote oder Gebote zu verwenden Platzierung von Speisen am Buffet Gamification Änderung mit Motivation durch spieltypische Elemente in spielfremden Kontexten Schrittwettbewerbe

10 Praxisbeispiel: Inzidentelles Lernen Inzidentelles Lernen Findet außerhalb klassischer Lehrumgebungen statt Erfolgt vielmehr beiläufig im privaten oder beruflichen Umfeld Ad-hoc-Feedback ermöglicht dabei iteratives/effektives Lernen Beispiel: Sprachreise Sprachschüler setzt sich neuem regionalen Umfeld aus Durch Interaktion mit Menschen/Kultur lernt er Sprache kennen Die Sprache wird kontextuell ( am Objekt ) verinnerlicht

11 Praxisbeispiel: Nudging Nudging Kleine lenkende Stupser, die Menschen freiwillig zu erwünschten Handlungen bewegen Handlungen werden nicht durch Verbote/Gebote, sondern motivational durch Emotionen/unbewusste Prozesse initiiert Beispiel: Platzierung von Speisen am Buffet Wird an einem Kantinenbuffet Obst erhöht in Griffnähe, Gebäck aber weiter hinten präsentiert, so wird öfter zum Obst gegriffen Ein hinter dem Buffet platzierter Spiegel hat denselben Effekt Kantinengäste bilden so gesunde Ernährungsgewohnheiten

12 Praxisbeispiel: Gamification Gamification Anwendung spieltypischer Elemente in spielfremden Kontexten Verhalten wird durch spielerische Elemente hervorgerufen Motivation ermöglicht Gewohnheitsveränderungen Beispiel: Schrittwettbewerb Global Corporate Challenge 2015 traten in D Mitarbeiter in Teams gegeneinander an Team mit den meisten Schritten nach 100 Tagen gewann Mitarbeiter bildeten so gesunde Bewegungsgewohnheiten

13 Doch was heisst das alles für den Bereich Cyber Security Awareness? Ansatz Mitarbeiter-Awareness Inzidentelles Lernen Lernen am Objekt ermöglichen Nudging Aufmerksamkeit fortdauernd aktivieren Gamification Mitarbeiter nachhaltig motivieren

14 Wie können diese Erkenntnisse dabei helfen, die Mitarbeiter wachsam zu machen? Lernen am Objekt ermöglichen Aufmerksamkeit fortdauernd aktivieren Mitarbeiter nachhaltig motivieren Ratio Inzidentelles Lernen effektiver als rein klassisches elearning Kleine Stupser stimulieren Awareness der MA kontinuierlich Spielerische Elemente verankern sichere Gewohnheiten Beispiele Simulierte Phishing- s und weitere Angriffe (Voice Phishing) Micro-Learning-Formate und Reminder (z.b. an PW-Änderung) Challenges (z.b. Quizze) und Badges (virtuelle Pokale)

15 Gamfication sollte Spaß machen aber sinnvoll. 1. Erwünschte Verhaltensweisen definieren 2. Dem Ganzen einen Sinn geben 3. (Testen und) Feedback geben 4. Belohnen und informieren 5. Sichtbar machen! Beispiel:

16 1. Verhaltensweisen definieren.

17 2. Sinn geben.

18 3. (Testen und) Feedback geben.

19 4. Belohnen.

20 5. Sichtbar machen.

21 SoSafe bietet inzidentelles Lernen durch laufende Phishing-Simulationen. Wir schicken Mitarbeitern realistische Phishing-Angriffe und zeigen direkt, wie diese Angriffe erkennen können Betriebe erhalten Transparenz zur Anfälligkeit Ihrer Mitarbeiter für Angriffe; komplett DSGVO-konform! Die Mitarbeiter informieren sich über IT-Sicherheit und Datenschutz durch unser elearning auch mobil!

22 Wie läuft die Simulation einer Phishing-Attacke ab? Versand von s mit typischen Angriffsszenarien Die Mitarbeiter erhalten s, wie sie auch von echten Hackern verschickt würden dabei werden sie zum Klicken von Links oder dem Download von Dateien angeregt. Sofortiges Feedback mit Hinweisen zur konkreten Klickt ein Nutzer auf einen der Links, öffnet sich ein Browserfenster und er erhält differenzierte Hinweise, an denen er die E- Mail als Phishing-Versuch hätte identifizieren können. Rückmeldung an Unternehmen und Mitarbeiter Das Unternehmen erhält Informationen zur Anfälligkeit seiner Mitarbeiter auf aggregierte/anonyme Weise. Dies kann im Dialog mit weiteren Maßnahmen genutzt werden.

23 Unsere -Templates bilden Taktiken und Szenarien echter Angriffe nach. Identität Adress-Spoofing Echte Absender-Domain Versch. Login-Masken (Google Docs, Dropbox, etc.) Anhänge/Malware Druck Gier Vertrauen Anerkennung Angst Lob/Schmeicheln Flirt Neugier Technischer Vektor Psychologische Mechanismen Kontext Motiv Geld Datensätze Geschäftsgeheimnisse Persönliche Motive Beruflich Freizeit/Hobby Persönlich/Privat Öffentlich Zusätzliche Differenzierung nach: Funktion des Empfängers Grad der Individualisierung Schwierigkeitsgrad Sprache

24 Die Klickraten sind z.t. dramatisch perfekt für die interne Kommunikation! ~18% durchschnittliche Klickrate auf alle initial versandten Templates (5 per Mitarbeiter) >50% durchschnittliche Klickrate bei unseren 3 erfolgreichsten Templates >70% aller Mitarbeiter klicken mindestens auf eines der 5 initial versandten Templates >55% Reduktion der Klickraten nach initialer Sensibilisierung Die Klickraten können durch eine fortlaufende Sensibilisierung weiter gesenkt werden. Quelle: Kundenprojekte Q1-Q3/2018

25 Neben maßgeschneiderten Projekten haben wir auch fertige Branchenpakete im Programm. Handwerk z.b. für Baufirmen, Einzelunternehmer und Handwerksverbände Steuern & Recht z.b. für Steuerberater, Anwälte oder Wirtschaftsprüfer Media & Marktforschung z.b. für Webagenturen, Werbeagenturen und MaFo-Unternehmen Handel z.b. für Groß- und Einzelhändler oder Handelsverbände Healthcare z.b. für Arztpraxen, Krankenhäuser oder Gesundheitsdienstleister KRITIS z.b. für Transportunternehmen, Stadtwerke, Energieund IT-Unternehmen Öffentlicher Sektor z.b. für Behörden, Stadtverwaltungen oder Schulen. Produktion & Verarbeitung z.b. für kleine Produktions- und Fertigungsbetriebe Weitere Branchen in Entwicklung!

26 Amateurs hack systems, professionals hack people. Bruce Schneier, Expert on Cryptography and Information Security, Harvard University Cologne Office: Venloer Str Köln