In Unternehmen führen Maßnahmen zur Verbesserung der IT-Sicherheit häufig dazu, dass Arbeitsabläufe komplizierter, aufwendiger und damit auch teurer werden. Oft nimmt auch die Benutzerfreundlichkeit von Anwendungen ab, weil umständlichere Abläufe implementiert werden müssen. Das bewirkt oftmals Widerstände in der Belegschaft, sorgt für eine eher nachlässige und unvollständige Umsetzung der Sicherheitsmaßnahmen, erzeugt Angriffspunkte für Social-Engineering-Attacken und führt letztlich dazu, dass das Informationssicherheitskonzept der Firma in etwa so wirksam bleibt wie so manches prosaische Unternehmensleitbild.

Üblicherweise versuchen Unternehmen und IT-Sicherheitsbeauftragte dieses Problem durch Awareness-Kampagnen zur Sensibilisierung der Beschäftigten für Fragen der betrieblichen Informationssicherheit anzugehen. Hierfür ließ sich Lafarge Asia (ein Baustoffhersteller) in Zusammenarbeit mit e-Learning-Beratungsfirma IMC etwas Neues einfallen: Rund 8.000 Mitarbeiter erhielten im Rahmen einer Awareness-Trainingsmaßnahme und als besonderes Bonbon ein eigens entworfenes Brettspiel namens „Jungle Game“. Mit dem auf Karten und Würfeln basierenden und völlig analog und offline spielbaren Brettspiel sollen die Spieler Fragen zur Informationssicherheit beantworten und Punkte sammeln können.

Während chinesische Mitarbeiter dabei großen Wert auf schriftliches Informationsmaterial legten, schätzten indische und philippinische Vertreter eher den verbalen Austausch in Gruppendiskussionen während des Spiels. Andere Nationen wiederum akzeptieren beide Unterrichtsformen, müssen aber meistens im Rahmen begleitender Schulungen motiviert werden, ihre Erfahrungen mit anderen zu teilen.

„Wir haben ein mehrstufiges Konzept ausgearbeitet, um alle Beteiligte abzuholen“, erklärt Dr. Kathrin Bergenthal, Director Content Services bei der IMC, dem e-Learning-Anbieter. „In einem halbtägigen Präsenztraining wurde den Lafarge Mitarbeitern der Hintergrund der Kampagne vermittelt, konnten sie das Spiel testen, in einer Gruppenarbeit ausgewählte Sicherheitsaspekte erörtern und die Ergebnisse dann abschließend diskutieren. Auf diese Weise erhielten alle einen Zugang zum Lernziel“.

Besonderes Interesse weckte in diesen Schulungen das bereits erwähnte, im Format DIN A2 gehaltene Brettspiel „Jungle Game“, das zwei bis sechs Personen mit einem Würfel spielen können. Insgesamt 100 Fragen zur IT-Sicherheit sind auf den rund 50 Spielkarten formuliert. Bei richtiger Beantwortung gibt es einen bis fünf Punkte. Sieger ist, wer als erster 20 Punkte gesammelt hat.

Beim Design des Spiels ließen sich die Entwickler der IMC vom für die fernöstliche Region typischen tropischen Dschungel inspirieren: Moskitos und Blutegel stehen für Computerviren und Würmer, Regenwolken stellen den Bezug zum Cloud Computing her, Spinnennetze verdeutlichen Schwächen in IT-Netzwerken und ein Bustrip in den Dschungel thematisiert das „Shoulder Surfing“, das Ausspähen von Bildschirminhalten über die Schulter des Anwenders hinweg.

Analoge Brettspiele stellen dabei einen originellen neuen Zugangsweg zu Inhalten der IT-Sicherheit für Endanwender in den Unternehmen dar. Diesem Instrument dürfte daher künftig bei der Gestaltung von Awareness-Kampagnen zur Informationssicherheit in Organisationen sicherlich noch einige Aufmerksamkeit zukommen.