- Pflichtschulungen per PowerPoint erzeugen Compliance, aber keine Verhaltensänderung. Die durchschnittliche Erinnerungsrate nach einer passiven Schulung liegt bei unter 20 Prozent nach 30 Tagen.
- Gamification nutzt psychologische Mechanismen wie intrinsische Motivation (Autonomie, Kompetenz, Zugehörigkeit), Fortschrittserlebnis, sofortiges Feedback und sozialen Vergleich, um Engagement und Lernerfolg zu steigern.
- Bewährte Formate sind Phishing-Melde-Wettbewerbe zwischen Abteilungen, Security-Escape-Rooms, Quiz-Duelle, Badge-Systeme für absolvierte Module und simulierte Incident-Response-Spiele.
- Gamification funktioniert nur, wenn die Inhalte relevant und die Spielmechaniken fair sind. Punkte und Badges ohne substanziellen Lerninhalt erzeugen kurzfristige Aufregung, aber keinen langfristigen Lerneffekt.
- Die Einführung erfolgt schrittweise: Beginne mit einem einzelnen gamifizierten Element (z. B. Phishing-Melde-Wettbewerb) und erweitere das Programm basierend auf dem Feedback der Mitarbeiter.
Das Problem mit Pflichtschulungen
Einmal im Jahr versammeln sich die Mitarbeiter im Konferenzraum oder klicken sich durch ein E-Learning-Modul. 45 Minuten über Phishing, Passwörter, Clean Desk und Social Engineering. Die Folien sind seit zwei Jahren dieselben. Die Mitarbeiter klicken sich durch die Pflichtmodule, beantworten die Quizfragen am Ende (die meisten raten erfolgreich) und haken das Thema für ein weiteres Jahr ab.
Das Ergebnis: Die Compliance-Anforderung ist erfüllt. Der Schulungsnachweis existiert. Und das Verhalten der Mitarbeiter hat sich nicht verändert.
Die Forschung bestätigt diese Beobachtung. Die Ebbinghaus'sche Vergessenskurve zeigt, dass Menschen nach 30 Tagen weniger als 20 Prozent des passiv aufgenommenen Wissens behalten. Bei aktiver Auseinandersetzung mit dem Stoff, also wenn die Lernenden handeln, entscheiden und Feedback erhalten, steigt die Erinnerungsrate auf über 70 Prozent.
Pflichtschulungen scheitern nicht, weil die Inhalte falsch wären. Sie scheitern, weil das Format nicht zum Lernziel passt. Ein gut strukturiertes Security Awareness Programm braucht deshalb mehr als Frontalvorträge. Das Ziel ist nicht, dass Mitarbeiter nach der Schulung die Definition von Phishing aufsagen können. Das Ziel ist, dass sie drei Monate später, im Arbeitsalltag, eine verdächtige E-Mail erkennen und richtig reagieren. Dieses Ziel erfordert andere Methoden als eine Frontalschulung.
Was Gamification ist und was nicht
Gamification bedeutet nicht, dass du ein Computerspiel für deine Mitarbeiter entwickelst. Es bedeutet, dass du Spielmechaniken, also die Elemente, die Spiele motivierend und fesselnd machen, auf einen nicht-spielerischen Kontext anwendest.
Die relevanten Spielmechaniken für die Security Awareness sind:
Punkte und Fortschritt: Sichtbare Fortschrittsindikatoren, die zeigen, wie weit jemand gekommen ist. Ein Fortschrittsbalken, der anzeigt, dass 7 von 12 Security-Modulen abgeschlossen sind, motiviert stärker als eine Pflicht-E-Mail.
Badges und Auszeichnungen: Visuelle Marker für erreichte Meilensteine. Ein "Phishing-Held"-Badge für das Melden von fünf Phishing-Mails oder ein "Passwort-Profi"-Badge für die Aktivierung von MFA auf allen Accounts. Badges funktionieren, weil sie Anerkennung sichtbar machen.
Ranglisten (Leaderboards): Vergleich mit anderen, auf individueller oder Team-Ebene. "Deine Abteilung liegt auf Platz 3 im Phishing-Melde-Ranking" nutzt den sozialen Vergleich als Motivator.
Wettbewerbe (Challenges): Zeitlich begrenzte Herausforderungen mit einem klaren Ziel. "Diese Woche: Wer findet die meisten Schwachstellen auf seinem Schreibtisch?" oder "Der erste, der alle fünf versteckten Sicherheitslücken im neuen Onboarding-Prozess findet, gewinnt."
Sofortiges Feedback: Unmittelbare Rückmeldung auf eine Aktion. Wenn ein Mitarbeiter eine Phishing-Mail meldet und innerhalb von Minuten eine Bestätigung erhält ("Gut erkannt! Die Mail war tatsächlich ein Phishing-Versuch"), verstärkt das das gewünschte Verhalten.
Erzählung und Kontext: Spielmechaniken eingebettet in eine Geschichte. Statt "Absolviere das Phishing-Modul" heißt es "Der Angreifer hat eine Spear-Phishing-Kampagne gegen unser Unternehmen gestartet. Deine Mission: Identifiziere die fünf getarnten Phishing-Mails, bevor sie Schaden anrichten."
Was Gamification nicht sein sollte: eine Verkleidung für schlechte Inhalte. Punkte und Badges auf einer langweiligen PowerPoint-Schulung machen die Schulung nicht besser. Die Spielmechaniken müssen mit substanziellen, relevanten Inhalten verknüpft sein.
Die Psychologie dahinter
Gamification funktioniert nicht durch Zauberei, sondern durch die gezielte Ansprache psychologischer Grundbedürfnisse. Die Selbstbestimmungstheorie von Deci und Ryan identifiziert drei Grundbedürfnisse, die intrinsische Motivation fördern:
Autonomie: Das Bedürfnis, Entscheidungen selbst zu treffen. In einem gamifizierten Awareness-Programm wählt der Mitarbeiter selbst, welches Modul er als Nächstes absolviert, in welcher Reihenfolge er die Challenges bearbeitet und wie viel Zeit er investiert. Diese Wahlfreiheit erzeugt ein Gefühl der Selbstbestimmung, das in einer Pflichtschulung fehlt.
Kompetenz: Das Bedürfnis, Dinge zu können und besser zu werden. Sofortiges Feedback, steigende Schwierigkeitsgrade und sichtbarer Fortschritt befriedigen dieses Bedürfnis. Wenn ein Mitarbeiter in einem Phishing-Quiz anfangs 60 Prozent richtig hat und nach drei Monaten 90 Prozent, erlebt er seinen eigenen Fortschritt.
Zugehörigkeit: Das Bedürfnis, Teil einer Gruppe zu sein. Team-Challenges, Abteilungsranglisten und gemeinsame Ziele ("Zusammen schaffen wir es, die Phishing-Meldequote auf 80 Prozent zu bringen") sprechen dieses Bedürfnis an.
Zusätzlich nutzt Gamification den Endowed Progress Effect: Menschen sind motivierter, eine Aufgabe fortzusetzen, wenn sie das Gefühl haben, bereits Fortschritt gemacht zu haben. Ein Fortschrittsbalken, der bei 20 Prozent startet (weil das Onboarding-Modul bereits abgeschlossen ist), motiviert stärker als einer, der bei 0 Prozent startet, selbst wenn der verbleibende Aufwand identisch ist.
Bewährte Gamification-Formate
Phishing-Melde-Wettbewerb
Der einfachste und wirkungsvollste Einstieg in die Gamification. Über einen definierten Zeitraum (z. B. einen Monat oder ein Quartal) werden die gemeldeten verdächtigen E-Mails pro Abteilung gezählt. In Kombination mit Phishing-Simulationen entsteht ein umfassendes Bild der Awareness-Entwicklung. Die Abteilung mit der höchsten Meldequote pro Mitarbeiter gewinnt.
Die Regeln müssen fair sein: Gezählt werden sowohl echte Phishing-Mails als auch gemeldete Mails, die sich als harmlos herausstellen (Fehlalarme sind erwünscht, weil sie zeigen, dass die Mitarbeiter aufmerksam sind). Simulierte Phishing-Mails aus dem Awareness-Programm zählen ebenfalls.
Der Preis muss nicht groß sein: ein Teamfrühstück, ein nachmittags freier Tag oder eine Spende an eine gemeinnützige Organisation im Namen der Gewinnerabteilung. Der soziale Vergleich zwischen den Abteilungen ist der eigentliche Motivator.
Security Escape Room
Ein Escape Room ist ein physischer oder virtueller Raum, in dem die Teilnehmer innerhalb einer definierten Zeit (typisch 45 bis 60 Minuten) eine Reihe von Rätseln lösen müssen, die thematisch mit Informationssicherheit verbunden sind.
Physische Security Escape Rooms können mit überschaubarem Aufwand in einem Besprechungsraum aufgebaut werden. Typische Rätsel sind: Ein verschlüsseltes Dokument, dessen Passwort aus Hinweisen im Raum zusammengesetzt werden muss. Eine Phishing-Mail, die aus einem Stapel legitimer E-Mails identifiziert werden muss. Ein Social-Engineering-Szenario, bei dem die Teilnehmer einen gefälschten Anruf entlarven müssen. Ein Schreibtisch voller Clean-Desk-Verstöße, die gefunden und dokumentiert werden müssen. Eine Reihe von QR-Codes, von denen einer auf eine verdächtige Seite führt.
Der Escape Room funktioniert als Teamübung: Die Teilnehmer müssen zusammenarbeiten, kommunizieren und unter Zeitdruck Entscheidungen treffen. Das Erlebnis bleibt deutlich länger im Gedächtnis als eine Schulungsfolie.
Virtuelle Escape Rooms sind die skalierbare Alternative. Plattformen wie Hack The Box, TryHackMe oder spezialisierte Anbieter für Security Awareness bieten virtuelle Szenarien, die im Browser gespielt werden können. Der Aufwand für die Vorbereitung ist geringer, aber das Gemeinschaftserlebnis ist weniger intensiv als bei der physischen Variante.
Quiz-Duelle
Kurze, spielerische Wissenstests, die Mitarbeiter gegeneinander oder gegen sich selbst antreten lassen. Das Format kennen die meisten von Apps wie "Quizduell" und ist dadurch niedrigschwellig.
Die Fragen decken alle relevanten Sicherheitsthemen ab: Phishing-Erkennung (Screenshots von E-Mails mit der Frage "Phishing oder echt?"), Passwort-Sicherheit ("Welches dieser Passwörter ist am sichersten?"), Social Engineering ("Was machst du, wenn jemand am Telefon nach deinem Passwort fragt?"), Clean Desk ("Was ist auf diesem Foto das Sicherheitsrisiko?"), Datenschutz ("Darf diese Information per E-Mail versendet werden?").
Wichtig ist der Erklärungstext nach jeder Frage. Die Lernwirkung entsteht nicht durch die Frage selbst, sondern durch die Erklärung, warum die richtige Antwort richtig ist und warum die falschen Antworten falsch sind.
Capture the Flag (CTF) für Nicht-Techniker
Capture the Flag ist ein Format aus der IT-Security-Szene, bei dem Teilnehmer Sicherheitsaufgaben lösen und dafür "Flags" (Punkte) sammeln. Für Nicht-Techniker lässt sich das Format adaptieren.
Statt technischer Hacking-Aufgaben lösen die Teilnehmer praxisnahe Szenarien: Eine verdächtige E-Mail analysieren und die richtigen Warnsignale identifizieren. Einen Social-Engineering-Versuch in einem simulierten Telefongespräch erkennen. Die richtige Vorgehensweise bei einem gefundenen USB-Stick beschreiben. Die korrekte Meldung eines Sicherheitsvorfalls durchführen. Einen Datenschutzverstoß in einem beschriebenen Szenario erkennen.
Jede gelöste Aufgabe gibt Punkte, und die Teilnehmer oder Teams mit den meisten Punkten gewinnen. Die Aufgaben können unterschiedliche Schwierigkeitsgrade haben (mehr Punkte für schwierigere Aufgaben), was den fortgeschrittenen Teilnehmern eine Herausforderung bietet, ohne die Anfänger auszuschließen.
Monatliche Micro-Challenges
Kurze, einfache Herausforderungen, die sich in den Arbeitsalltag integrieren lassen und keine zusätzliche Zeit erfordern. Jede Challenge dauert weniger als fünf Minuten und adressiert ein spezifisches Verhalten.
Beispiele: "Challenge dieser Woche: Ändere das Passwort deines am längsten nicht geänderten Accounts." "Challenge: Überprüfe, ob du auf deinem Arbeitsplatz drei Clean-Desk-Regeln einhältst." "Challenge: Melde eine verdächtige E-Mail über den Phishing-Button." "Challenge: Aktiviere die Bildschirmsperre auf deinem Smartphone." "Challenge: Überprüfe die Berechtigungen einer App auf deinem Diensthandy."
Für jede abgeschlossene Challenge gibt es Punkte, die in einem persönlichen Profil gesammelt werden. Monatlich oder quartalsweise werden die aktivsten Teilnehmer anerkannt.
Gamification-Plattformen
Einige Awareness-Plattformen haben Gamification-Elemente bereits integriert.
KnowBe4 bietet ein Gamification-Modul mit Leaderboards, Badges und einem Punkte-System für absolvierte Schulungen und gemeldete Phishing-Mails. Das Modul ist in die Schulungsplattform integriert und erfordert keine separate Einrichtung.
Hoxhunt basiert vollständig auf Gamification. Die Plattform sendet personalisierte Phishing-Simulationen an die Mitarbeiter, und jede korrekte Meldung gibt Punkte. Der Schwierigkeitsgrad passt sich automatisch an, und Team-Ranglisten fördern den Wettbewerb zwischen Abteilungen.
SoSafe ist ein deutscher Anbieter, der Awareness-Schulungen mit Gamification kombiniert. Die Plattform bietet interaktive Lernmodule, Phishing-Simulationen und ein Punkte-System, das die Teilnahme und den Lernerfolg misst.
Wenn du keine spezialisierte Plattform einsetzen willst, kannst du Gamification-Elemente auch mit einfachen Mitteln umsetzen: Ein Spreadsheet für die Abteilungs-Rangliste, ein internes Wiki für die Challenges, ein Poster an der Pinnwand für die monatlichen Ergebnisse und eine Nachricht im Intranet für die Gewinner.
Häufige Fehler bei der Gamification
Punkte ohne Substanz: Wenn Mitarbeiter Punkte sammeln, ohne etwas zu lernen, ist die Gamification wirkungslos. Die Spielmechaniken müssen an inhaltliche Lernziele gekoppelt sein. Punkte gibt es für das Verstehen, nicht für das Durchklicken.
Übermäßiger Wettbewerb: Ranglisten und Wettbewerbe motivieren manche Menschen, aber demotivieren andere. Wenn die Rangliste dazu führt, dass sich die unteren 50 Prozent als Versager fühlen, schadet sie mehr als sie nutzt. Lösung: Team-Ranglisten statt individueller Ranglisten, Fokus auf Verbesserung ("Dein Team hat sich um 15 Prozent verbessert") statt auf absolutes Ranking.
Einseitiger Fokus auf extrinsische Motivation: Wenn die Teilnahme nur durch Preise und Belohnungen angetrieben wird, hört das Engagement auf, sobald die Belohnungen wegfallen. Gamification sollte die intrinsische Motivation (Lernfreude, Kompetenzerleben, Teamgefühl) fördern, nicht nur die extrinsische.
Mangelnde Inklusivität: Nicht alle Mitarbeiter sind gleich spielaffin. Manche empfinden Punkte und Ranglisten als kindisch oder unangemessen. Biete alternative Formate an und zwinge niemanden zur Teilnahme an gamifizierten Elementen. Die spielerischen Elemente sind ein zusätzliches Angebot, kein Ersatz für fundierte Schulungen.
Einmaliges Event statt kontinuierliches Programm: Ein einmaliger Escape Room oder ein einwöchiger Wettbewerb erzeugt kurzfristige Begeisterung. Nachhaltiger Lerneffekt entsteht durch kontinuierliche, regelmäßige Gamification-Elemente, die in den Arbeitsalltag integriert sind.
Gamification und Compliance
Ein häufiges Bedenken ist, ob gamifizierte Awareness-Maßnahmen von Auditoren als ausreichend anerkannt werden. Die Antwort ist eindeutig ja, wenn sie richtig umgesetzt sind.
ISO 27001 fordert in Annex A.6.3 die Sensibilisierung der Mitarbeiter für Informationssicherheit. Die Norm schreibt nicht vor, wie diese Sensibilisierung erfolgen muss. Eine gamifizierte Schulung, die nachweislich zu einer Verhaltensänderung führt (sinkende Phishing-Klickrate, steigende Meldequote), erfüllt die Anforderung besser als eine passive Pflichtschulung, die zwar durchgeführt, aber nicht wirksam ist.
Entscheidend für die Compliance ist die Dokumentation: Welche Schulungsmaßnahmen wurden durchgeführt? Wer hat teilgenommen? Welche Ergebnisse wurden erzielt? In ISMS Lite lassen sich gamifizierte und klassische Awareness-Maßnahmen gleichermaßen dokumentieren und die Teilnahme automatisiert nachverfolgen. Welche Maßnahmen wurden auf Basis der Ergebnisse abgeleitet? Ein gamifiziertes Programm liefert diese Daten oft in besserer Qualität als eine traditionelle Schulung, weil die Plattformen die Teilnahme, den Lernfortschritt und die Ergebnisse automatisch erfassen.
Einstieg und Fahrplan
Der Einstieg in die Gamification muss nicht groß sein. Beginne mit einem einzelnen Element und erweitere das Programm basierend auf den Erfahrungen.
Monat 1-3: Führe den Phishing-Melde-Wettbewerb ein. Das ist das einfachste Format, erfordert keine zusätzliche Software (nur die Zählung der Meldungen) und erzeugt sofort sichtbare Ergebnisse.
Monat 4-6: Ergänze monatliche Micro-Challenges. Beginne mit einfachen Challenges (Passwort ändern, Bildschirmsperre aktivieren) und steigere die Komplexität.
Monat 7-9: Führe ein Quiz-Duell-Format ein, entweder über eine Awareness-Plattform oder als Low-Tech-Variante (z. B. ein monatlicher Quiz-Newsletter mit Auflösung im nächsten Monat).
Monat 10-12: Organisiere einen Security Escape Room als Team-Event. Das kann ein physischer Escape Room in einem Besprechungsraum oder ein virtueller Escape Room über eine Online-Plattform sein.
Nach dem ersten Jahr hast du genug Erfahrung gesammelt, um zu bewerten, welche Formate in deinem Unternehmen funktionieren und welche nicht. Baue darauf auf und entwickle das Programm weiter. Frage die Mitarbeiter nach ihrem Feedback: Was hat Spaß gemacht? Was war langweilig? Was wünschen sie sich?
Gamification für verschiedene Zielgruppen
Nicht jede Gamification-Methode funktioniert für jede Zielgruppe. Die Spielmechaniken müssen an die Kultur, das Alter und die Arbeitsrealität der Mitarbeiter angepasst werden.
Technische Teams (IT, Entwicklung): Technische Mitarbeiter reagieren gut auf anspruchsvolle Challenges mit echtem Lerneffekt. CTF-Formate, technische Rätsel und Security-Coding-Challenges sprechen den Wettbewerbsgeist und den Wissensdurst dieser Zielgruppe an. Ranglisten werden hier positiv aufgenommen, weil technische Teams oft eine ausgeprägte Wettbewerbskultur haben.
Verwaltung und kaufmännische Abteilungen: Diese Zielgruppe bevorzugt praxisnahe, alltagsbezogene Formate. Quiz-Duelle mit konkreten Szenarien aus dem Büroalltag, Clean-Desk-Challenges und Phishing-Erkennungsübungen mit realistischen E-Mails funktionieren hier am besten. Ranglisten sollten auf Teamebene statt auf individueller Ebene eingesetzt werden, um den Teamgeist zu stärken und den Druck auf Einzelpersonen zu reduzieren.
Führungskräfte: Führungskräfte nehmen selten an klassischen Gamification-Programmen teil. Für sie eignen sich exklusive Formate wie Tabletop-Übungen mit spielerischen Elementen (Entscheidungsbäume, Zeitdruck, Rollenspiel) oder kurze, kompetitive Briefings, in denen aktuelle Bedrohungen bewertet werden müssen.
Produktion und Logistik: Mitarbeiter ohne ständigen Computerzugang brauchen Offline-Formate. Poster-Challenges ("Finde die fünf Sicherheitsrisiken auf diesem Bild"), kurze Team-Quizze im Schichtmeeting oder physische Escape-Room-Stationen im Pausenraum erreichen diese Zielgruppe besser als digitale Plattformen.
Langfristige Wirkung sicherstellen
Gamification entfaltet ihre volle Wirkung erst über Zeit. Die Herausforderung besteht darin, das Engagement über Monate und Jahre aufrechtzuerhalten, ohne dass die Formate abgenutzt und langweilig werden.
Variation der Formate: Wiederhole nicht dasselbe Format in jedem Quartal. Wechsle zwischen Wettbewerben, Quizzen, Escape Rooms und Challenges ab. Die Variation hält das Interesse aufrecht und spricht unterschiedliche Lerntypen an.
Steigende Schwierigkeitsgrade: Passe die Schwierigkeit an das steigende Wissensniveau der Mitarbeiter an. Was im ersten Jahr eine angemessene Challenge war, ist im dritten Jahr zu einfach. Neue Bedrohungsszenarien, komplexere Phishing-Simulationen und anspruchsvollere Rätsel halten die Herausforderung aufrecht.
Saisonale Themen: Nutze aktuelle Anlässe und saisonale Themen für die Gamification. Vor Weihnachten eine Challenge zu Paket-Phishing. Im Januar eine Challenge zum Thema Neujahrsvorsätze für die IT-Sicherheit ("Aktiviere MFA auf drei weiteren Accounts"). Vor der Urlaubssaison eine Challenge zu Reisesicherheit.
Feedback-Schleifen: Frage regelmäßig nach, welche Formate den Mitarbeitern gefallen und welche nicht. Passe das Programm auf Basis des Feedbacks an. Mitarbeiter, die das Gefühl haben, dass ihre Meinung gehört wird, engagieren sich stärker.
Gamification ist kein Selbstzweck. Sie ist ein Werkzeug, um das eigentliche Ziel zu erreichen: Mitarbeiter, die Sicherheitsbedrohungen erkennen und richtig darauf reagieren. Wenn die spielerischen Elemente dazu beitragen, ist der Aufwand mehr als gerechtfertigt. Wenn sie nur oberflächliche Unterhaltung bieten, ohne den Lerneffekt zu steigern, sind sie Zeitverschwendung. Der Unterschied liegt in der Qualität der Inhalte, nicht in der Anzahl der Badges.
Weiterführende Artikel
- Security Awareness Programm aufbauen: Was Mitarbeiter wirklich wissen müssen
- Phishing-Simulation durchführen: Tools, Szenarien und Auswertung
- Sicherheitskultur aufbauen: Warum Technik allein nicht reicht
- Security Champions im Unternehmen: Multiplikatoren statt Einzelkämpfer
- Schulungsnachweise im ISMS: Was du dokumentieren musst
