Gamification: Spielend mehr Sicherheit

Neulich an der Supermarktkasse. Die Verkäuferin fragt mich, ob ich Herzen sammle. Etwas irritiert schaue ich sie an. Sehe ich wirklich wie die Sorte Mann aus? Ein Don Juan, ein Casanova? Dann wedelt sie mit einem Bogen Papier. „Na, ob Sie unsere Bonusherzen sammeln? Bei 20 gibt es ein Qualitätsmesserset zum Vorzugspreis!“

Solche Aktionen finden sich überall. Der Sinn dahinter ist simpel: Die Kundenbindung steigt. Kunden entscheiden sich öfter für genau diese Supermarktkette, weil eine Bonusprämie winkt. Nebenbei hat man Spaß beim Sammeln und Einkleben der Herzchen, der Spieltrieb wird geweckt, und am Ende gibt es eine Belohnung. Dieses Prinzip nennt man Gamification. Die Mechanismen von Spielen werden auf eine andere Umgebung übertragen, um dadurch Engagement, Motivation und das Ergebnis zu verbessern.

Security kann Spaß machen

Gamification lässt sich auch auf die IT-Security anwenden. In den meisten Firmen ist das alles andere als ein Spaß. Dort lautet das Motto: Ich sage dir, welche Sicherheitsmaßnahmen du ergreifen musst  , und du tust es gefälligst! Aber wir wissen alle, wie es mit Dingen ist, von denen wir gezwungen sind, sie zu tun. Oder die beschwerlich sind. Wir erledigen sie nur widerwillig, unsere Motivation ist gering. Selbst wenn uns klar ist, dass sie besser für uns sind. Hier hilft Gamification.

In einem ihrer Seminare brachte meine Vorgesetzte Masha Sedova, Director of Trust Engagement bei salesforce.com, ein beeindruckendes Beispiel. An einer ganz normalen U-Bahnstation in Stockholm nehmen die meisten Reisenden die Rolltreppe. Obwohl die Treppe direkt daneben nicht viele Stufen hat. Und obwohl jeder weiß, dass Treppensteigen für ihn besser wäre. Über Nacht verwandelten Arbeiter diese Stufen in die Tasten eines Klavier. Jeder der auf eine Taste beziehungsweise Stufe trat, erzeugte einen Ton. Das Ergebnis: 66 Prozent mehr Menschen als vorher gingen zu Fuß, anstatt die Rolltreppe nehmen. Und sie hatten sichtbar Spaß daran: Das ist Gamification!

Ich will etwas tun!

Genau dieses Prinzip kann helfen, die Security eines Unternehmens entscheidend zu verbessern. Jedem von uns kommen mehrmals in der Woche Dinge komisch oder verdächtig vor. Sei es nur eine sonderbare Anfrage per E-Mail oder eine Person, die sich ohne Firmenausweis im Gebäude bewegt. Auch wenn es nur ein paar Sekunden dauern würde, das zu melden, reagieren wir oft nicht. Und das, obwohl wir wissen, dass Sicherheit ein wichtiges Thema ist und dass es jeden angeht. Es fehlt ein Antrieb, um die Hürde zwischen „Ich muss etwas tun“ und „Ich will etwas tun!“ zu überwinden.

Dabei hilft Gamification. Es basiert im Prinzip auf fünf Faktoren, die berücksichtigt werden sollten:

  1. Autonomie: Wir haben gern die Wahl.
  2. Meisterschaft: Wir wollen herausgefordert werden – und dabei besser werden.
  3. Feedback: Wir wollen eine Rückmeldung zu unserem Fortschritt.
  4. Bedeutung: Hat das, was wir tun, eine Bedeutung, so wird es wertvoller für uns. Wenn wir ein größeres, gemeinsames Ziel verfolgen, verstärken wir unsere Anstrengungen.
  5. Soziale Interaktion: Tun wir etwas in einer Gemeinschaft, erleben wir das als wichtiger und wertvoller, als wenn wir es alleine tun.

Bei salesforce.com sammeln die Mitarbeiter im „Security Champion Program“ Punkte in Sachen Sicherheit. Das Motto ist „Wenn Sie etwas sehen, sagen Sie etwas!“. Zum Beispiel gibt es 50 Punkte für das Melden einer simplen Phishing-Mail oder 600 Punkte, wenn sie an einem Security Training teilnehmen. Je mehr Punkte sie sammeln, desto höher steigen sie auf, wie bei einem Spiel. Die höchste Stufe ist der „Jedi Grand Master“, eine Analogie zu „Star Wars“. Gleichzeitig gibt es Belohnungen und Anerkennung. Mein Manager kann zum Beispiel sehen, wie sehr ich mich engagiert habe.

Das Ergebnis ist beachtlich: Teilnehmer des Programms berichten 82 Prozent mehr Bedrohungen als Nicht-Teilnehmer. Und sie klicken um 52 Prozent weniger auf verdächtige Links.

Letztendlich geht es also darum, Mitarbeiter auf spielerische Art zu fordern, ihre Sinne zu schärfen und sie dafür zu belohnen, dass sie reagieren. Und sie nicht dafür zu bestrafen, dass sie nicht reagieren. Damit Mitarbeiter eines Unternehmens wissen, was zu tun ist. Und zwar, weil sie es wollen und nicht weil sie müssen. So ist letztlich jeder Angestellte für die Sicherheit des Unternehmens verantwortlich, was in Summe deutlich mehr Sicherheit bringt.

Sie möchten mehr über das Thema erfahren? Dann besuchen Sie meinen Vortrag "How to eat an elephant" rund um das Thema IT-Security und Gamification am 3. Juli auf der Salesforce1 Tour! 15:00 bis 15:40 Break Out 4 (auf English).

De_sf1_tour_munich_linkedin_600x500