Wie man IT-Sicherheitsbewusstsein erlebbar machen kann

Was hat Sie dazu bewogen, ein Ausbildungsmodul zur Sensibilisierung für Cyberrisiken zu starten?

Sarah Mühlemann: Menschen, die sich Cyberrisken kompetent stellen und diese beurteilen können, verfügen über grosse Vorteile: Sie sind zum Beispiel digital selbstbestimmter, Cybergefahren nicht hilflos ausgeliefert und können sich reflektiert am digitalen Wandel beteiligen. Vielen fehlen aber die nötigen Kompetenzen, um in den Genuss dieser Vorteile zu kommen und haben keinen Zugang zu guten und attraktiven Lernmöglichkeiten, die sie bestärken. Dies inspirierte mich dazu, selbst ein Lernangebot zu schaffen. Mein Engagement hat seine Wurzeln in meiner ehemaligen Maturaarbeit, dem SpyPi.

So heisst der Hacker-Koffer, der in Ihren Kursen zum Einsatz kommt. Was hat es damit auf sich?

SpyPi ist ein Raspberry-Pi-basierter Awareness-Koffer, der bei Role-Reversal CAT Modulen zum Einsatz kommt. Er macht Risiken greif- und erlebbar, indem er Menschen in die Rolle der Bösen schlüpfen lässt - zum Beispiel einer kriminellen Hackerin oder eines Desinformanten. Im Rollentausch können die Teilnehmenden Gefahren und Schutzmassnahmen testen und ein Gespür dafür entwickeln, ohne in die defensive, demotivierende Rolle des Opfers gezwängt zu sein. SpyPi wird für bestimmte Use Cases mit Hardware ergänzt, was aber nicht der einzige Grund ist, weshalb es ein physisches Gerät ist. Aspekte wie der hackermässige Koffer wirken motivierend und tragen massgeblich zum langlebigen Lernerlebnis bei.

In Ihren Kursen sollen die Teilnehmenden also keine Merkblätter lesen, sondern Erfahrungen sammeln. Wie stellen Sie das an?

Die be[a]ware Cyberdives basieren auf individuell kombinierbaren Lernmodulen, die je ein Thema beziehungsweise Risiko behandeln, in das die Teilnehmenden primär über Eigenaktivität und exploratives Lernen rund um einen Modulauftrag eintauchen. Module werden als physische Posten aufgebaut. Sie replizieren zum Beispiel ein Szenario aus dem Privat- oder Berufsalltag, in dem ein Risiko greifbar erlebt und das zu Modulbeginn erarbeitete Know-how praktisch und spielerisch angewandt werden kann.

Was ist schwieriger: Aufklärung von Jugendlichen oder Erwachsenen?

Beides ist nicht einfach. Jugendliche sind im Vergleich etwas weniger empfänglich für Ratschläge - sie brauchen Raum zum Experimentieren und Reflektieren. Zudem muss man sich bewusst sein, dass Digital Natives Themen wie etwa Privatsphäre anders sehen und definieren, was nicht bedeutet, dass sie naiv oder unaufgeklärt sind. Bei Aspekten, die das Privatleben betreffen, setze ich mir bewusst nie zum Ziel, anderen eine bestimmte Sicht aufzuzwingen. Wichtig ist, dass Menschen selbstbestimmt und risikobewusst Handeln können. Wie genau, entscheiden sie am Ende selbst.

Der Hackerkoffer "SpyPi" soll dabei helfen, Cyberrisiken im Alltag greif- und erlebbar zu machen. (Source: www.beaware.io)

Wie können wir uns bewusst werden, dass ein grosser Teil der Verantwortung für IT-Sicherheit und Datenschutz bei uns selbst liegt?

Sogar Personen, welche die Risiken und ihre Verantwortung kennen, verhalten sich oft nicht entsprechend. Informationstransfer reicht meistens nicht aus, um Wandel im Denken und Handeln anzustossen. Um Gewohnheiten brechen zu können, müssen wir motiviert sein, unsere Verantwortung spüren - nicht nur kennen - und Erfahrung im Umgang mit diesen Herausforderungen sammeln. Deshalb ist es wichtig, Lernmöglichkeiten anzubieten, welche die Relevanz der Risiken greifbar machen und Menschen neben Informationen auch Kompetenzen und Motivation mitgeben.

Welche Fragen tauchen in Ihren Kursen am häufigsten auf?

Während der Kurse werden vor allem Fragen zu Inhalt oder Empfehlungen zu assistierenden Tools gestellt. Aus Scham oder Angst dumm zu wirken, werden persönliche Unsicherheiten nur selten im Plenum angesprochen. Solche Fragen erreichen mich meistens persönlich nach den Kursen oder per E-Mail. Da wird zum Beispiel nachgefragt, ob eine vergangene Handlung wie beispielsweise ein verschicktes Nacktbild schlimm gewesen sei. Auch in meinem Privatumfeld kommen Menschen vermehrt mit solchen Unsicherheiten auf mich zu. Dieses Vertrauen und Eigeninteresse zeigen mir, dass es mir gelingt, eine positive Lernatmosphäre und eine Vertrauensbasis zu schaffen.

Welches sind wohl die wichtigsten Tipps, die Sie den Teilnehmerinnen und Teilnehmern mit auf den Weg geben?

Das wirklich wertvolle, was wir ihnen mit auf den Weg geben, sind nicht unbedingt die Tipps. Wir versuchen, Menschen durch motivierende Erlebnisse sowie die Möglichkeit zum Ausprobieren eine Motivation, Intuition und ein Selbstvertrauen im Umgang mit Cyberrisiken mit auf den Weg zu geben. Die meisten erinnern sich vor allem an das, was sie selbst erlebt, erkannt und ausprobiert haben. Manchmal treffe ich Teilnehmende über ein Jahr später wieder und sie erzählen mir immer noch mit funkelnden Augen von ihren Erlebnissen und dass sie diese motiviert haben, vorsichtiger zu sein.

Wie geht es mit den Kursen weiter?

Da ich nicht antizipiert habe, dass aus meiner Maturaarbeit ein Projekt wird, durchlebte be[a]ware lange Phasen der Improvisation, bevor ich Ende 2019 den Entschluss traf, es schrittweise zu professionalisieren. Diesen Herbst wird der be[a]ware Hub erscheinen, auf dem wir attraktive Lernangebote im Umgang mit Menschen-relevanten Cyberrisiken sowie Fachexpertise von uns und Dritten zugänglich machen. Es ist mir wichtig, dass wir das Hub-Angebot neben Firmen auch Zielgruppen wie Schulen eröffnen können, denen der Zugang zu hochwertigen Lernmöglichkeiten bisher fehlte. Das soziale Engagement ist fest im Hub verankert.