Durch Spiel zu mehr Sicherheitsbewusstsein

Video-Tutorials, Vorlesungen, PowerPoint Slides, regelmässiger Frontalunterricht und obligatorische Online-Kurse sind fester Bestandteil vieler AppSec-Initiativen – die dann aber oft scheitern. Warum ist das so? In erster Linie liegt das daran, dass all diese Ansätze nur als Checkliste wahrgenommen werden, die es abzuhaken gilt – nicht als wertvolles Tool zum Schutz der eigenen Anwendungen. Solange die Entwickler andere Prioritäten setzen, werden solche veralteten Schulungsansätze nicht den gewünschten Erfolg bringen.

Wo also den Hebel ansetzen? Effektive AppSec- und Awareness-Trainings sollten die Möglichkeiten und Werkzeuge ausschöpfen, die uns moderne Technologie heute bietet. Innovativen Mobile Apps gelingt es ja auch immer wieder, das Verhalten der User nachhaltig zu prägen. Das Stichwort lautet Gamifizierung – also die Anwendung von Game-Design-Elementen und Gaming-Prinzipien ausserhalb des Kontexts eines Spiels. Die Vorteile von gamifizierten Trainings sind bekannt, werden im Bereich AppSec-Awareness bislang aber selten genutzt. Dabei eignet sich Gamifizierung sehr gut für Simulationen, etwa von Szenarien, bei denen Angreifer Schwachstellen ausnutzen und Verteidiger die Lücken schliessen müssen. Es ist erwiesen, dass wir besser lernen und länger aufnahmefähig bleiben, wenn wir beim Lernen Spass haben und eine aktive Rolle einnehmen. Entwickler verbringen nun mal einen Grossteil ihres Tages vor einem Bildschirm und sezieren Codezeilen. Da wissen sie lockere und spielerische Trainings weitaus mehr zu schätzen als langweilige Lektionen, die tiefe Konzentration erfordern – und lernen dabei erfahrungsgemäss auch mehr.

Ein Riesenvorteil von gamifizierten AppSec-Trainings ist also, dass ich interaktiv schulen kann. So ermögliche ich es Teilnehmern, Inhalte unmittelbar und emotional aufzunehmen und mache es ihnen wesentlich leichter, das vermittelte Wissen zu behalten. Die Interaktivität sorgt dafür, dass die Entwickler dem Inhalt ihre volle Aufmerksamkeit widmen, was die Chance erhöht, dass sie etwas lernen und behalten. Das ist besonders wichtig, wenn man bedenkt, dass viele Menschen durch Handeln und Erleben effektiver lernen als durch Hören und Sehen. Interaktivität kommt den Bedürfnissen der Zielgruppe entgegen, ganz besonders dann, wenn das interaktive Schulungsmaterial in kleinen Dosen sofort konsumiert werden kann – etwa, wenn man lernt, einen soeben aufgetretenen Fehler zu beheben. Diese Unmittelbarkeit schliesst die Lücke zwischen Theorie und Praxis und macht es ungleich leichter, das Gelernte zu behalten. Denn sind wir einmal ehrlich: Etwas in der Theorie zu lernen, was ich erst in einer Woche praktisch anwenden kann, bringt niemanden so richtig weiter.

Der zweite grosse Vorteil liegt im Storytelling – dass ich also eine Geschichte erzählen kann. Storytelling steht nicht umsonst auch bei vielen Spielen im Fokus und ist ein wichtiger Spass-Katalysator. AppSec-Trainings in Form von Bullet-Points, Q&As und öden Textwüsten sind zäh wie Kaugummi – Stories dagegen stimulieren und binden ein. Wirksame Schulungsprogramme leben von Stories, Charakteren und Problemen, die es zu lösen gilt. Wenn ich meinen Entwicklern Charaktere präsentiere, in deren Haut sie schlüpfen können und eine Storyline, der sie folgen können, habe ich schon einen grossen Schritt in Richtung nachhaltiger Lernerfolg gemacht. Als Beispiel sei eine Schwachstelle genannt, die behoben werden muss.

Voll ausgeschöpft ist das Potenzial an dieser Stelle allerdings noch nicht. Vielmehr ist damit die Pflicht erfüllt. Jetzt kommt die Kür: Interaktive Geschichten sind wichtig, um AppSec- und Awareness-Trainings zu etablieren. Aber auch dem Gewinn einer Trainings-Session, also etwa der erfolgreichen Behebung der Schwachstelle, kommt eine Schlüsselrolle zu. Die Freude an individuellen, persönlichen Siegen ist das Salz in der Suppe und ein wichtiger Anreiz, immer wieder in eine gamifizierte Lernumgebung zurückzukehren.

Ein weiterer ist der Wettbewerbsaspekt: Sich mit anderen in einem grösseren Rahmen zu messen, ist ein bewährtes Motivationsinstrument. Und hier kommen Turniere ins Spiel. AppSec- und Awareness-Trainings als Live-Wettbewerbe also, bei denen sich Entwickler mit ihren Kollegen im Lösen von AppSec-Aufgaben messen. Als Unternehmen kann ich Turniere beispielsweise zum Launch oder Abschluss eines Trainingsprogramms und im Rahmen regelmässiger AppSec-Awareness-Events nutzen. Das Format vermittelt wichtige Skills rund um das sichere Coding und die Behebung von Schwachstellen – und das in einer energiegeladenen Umgebung, in der die Entwickler freundschaftliche Rivalitäten auf einem dynamischen Leaderboard austragen und Challenges innerhalb festgelegter Zeitlimits knacken. Als positiven Nebeneffekt erhalte ich ein klares Bild von den Skills meines Teams und eine erste Baseline, um Fortschritte zu tracken und Ziele zu setzen. Und: Ich kann mich vom ersten Tag an auf die Problemfelder konzentrieren, in denen der Schulungsbedarf am höchsten ist.

Nun ist klassischer Frontalunterricht ja nicht nur deswegen ineffizient, weil es an spielerischen Elementen fehlt – es fehlt auch an Kontext. Dieses Problem gilt es auch bei gamifizierten AppSec-Trainings zu umschiffen. Ein modernes, gamifiziertes AppSec-Training aufzusetzen, ist wichtig, damit die Entwickler es tatsächlich nutzen und damit trainieren. Ohne die Trainingseinheiten im richtigen Kontext bereitzustellen, komme ich allerdings nicht weit – und mache mir womöglich meine harte Arbeit zunichte. Sobald ich meine Devs aus der Entwicklungsumgebung reisse, durchbreche ich die täglichen Abläufe und mache es ihnen schwer, sich konkrete Probleme ins Gedächtnis zu rufen. Der Input sollte deshalb genau dort bereitgestellt werden, wo er gebraucht wird: beim Coden. Können die Entwickler bei der Arbeit jederzeit auf die Inhalte zugreifen – und zwar direkt aus der Entwicklungsumgebung heraus – werden sie die Lektionen zuverlässig aufrufen, sobald eine Schwachstelle auftaucht. Das Geheimnis erfolgreicher AppSec-Trainings ist es, sie so in die täglichen Abläufe der Entwickler einzubinden, dass sie stets nur einen Klick entfernt sind. Und wie so häufig gilt auch hier: In der Kürze liegt die Würze. Denn mit kurzen Lektionen steigt die Wahrscheinlichkeit, dass sich die Teilnehmer darauf einlassen. Zeit ist für Entwickler eine kostbare Ressource, also sollten die Schulungen möglichst kompakt sein.

Auch wenn es verführerisch ist, technische Themen in einer simplen Checkliste zusammenzufassen, ist dies der falsche Weg, um das Bewusstsein der Entwickler für die Gefahren in der Application Security zu schärfen und nachhaltige Verhaltensänderungen zu bewirken. Trainings sind am effektivsten, wenn sie auf eine konkrete Verhaltensweise oder Fähigkeit ausgerichtet sind, in einem für die Entwickler relevanten Kontext vermittelt werden und zeitnah umsetzbar sind. Im Bereich AppSec-Awareness empfehlen sich gamifizierte und kontextbasierte Trainings, die mit Hilfe von immersiven Simulationen und Live-Aktivitäten das prozedurale, erklärende und erfahrungsbasierte Verständnis der Cybersecurity erweitern.