Serious Games für wirksame Cybersecurity Awareness im ISMS - Prof. Dr. Norbert Pohlmann

Serious Games für wirksame Cybersecurity Awareness im ISMS

D. Bothe, Prof. Norbert Pohlmann (Institut für Internet-Sicherheit), M. Schaper:
„Serious Games für wirksame Cybersecurity Awareness im ISMS“.
In Proceedings des 21. BSI-Kongress – Cybernation Deutschland: gemeinsam, sicher, digital,
Hrsg.: Bundesamt für Sicherheit in der Informationstechnik (BSI),
SecuMedia Verlag, 2026

Abstract:
Serious Games schließen die Lücke zwischen Wissen und Verhalten, indem sie sicherheitsrelevante Entscheidungen erlebbar machen.Der Beitrag zeigt, wie sie entlang des A.C.T.I.O.N.-Modells wirksam gestaltet und systematisch in Awareness-Kampagnen integriert werden können. Ziel ist es, Awareness von punktuellen Maßnahmen zu nachhaltiger Sicherheitskultur zu entwickeln.

1 Einleitung
Deutschland investiert zunehmend in IT Sicherheit: Ausgaben steigen bis 2026 auf geschätzt rund 12,2 Milliarden Euro, bei gleichzeitig jährlichen Schäden von etwa 202,4 Milliarden Euro durch Cyberangriffe [1]. Parallel erhöhen regulatorische Vorgaben wie NIS2 und der Cyber Resilience Act den Druck, IT- und Informationssicherheit nicht nur formal umzusetzen, sondern tatsächlich zu leben. Die Bedrohungslage verschärft sich zusätzlich durch generative und agentische KI, die Angriffsflächen erweitert und neue Risiken beschleunigt, etwa durch täuschend echte Pretexting-Angriffe via E-Mail, Profilen oder Stimmen.

Gleichzeitig verändern Social Media, Informationsüberflutung und Echokammern die Informationsumgebung und fördern Desinformation. Im Zentrum steht der Mensch: Trotz Awareness-Maßnahmen bleibt die Wirkung oft begrenzt, da Wissen im Alltag nicht konsequent angewendet wird. Informationssicherheit entsteht daher nur im Zusammenspiel von Technologie, Organisation und Verhalten.

1.1 Zielsetzung
Ziel dieses Beitrags ist es zu zeigen, wie Serious Games als Bestandteil von Awareness-Kampagnen in ein ISMS integriert werden können, um Wissen gezielt in handlungsrelevante Kompetenz zu überführen. Hierzu wird mit dem A.C.T.I.O.N.-Modell ein Gestaltungsrahmen für wirksame Cybersecurity Awareness vorgestellt und der Einsatz von Serious Games als praxisnahes Instrument im Kontext des IT-Grundschutzes eingeordnet.

1.2 Fragestellung
Dieser Beitrag untersucht, wie Serious Games sinnvoll in Awareness-Kampagnen integriert werden, welche Gestaltungsprinzipien nachhaltige Verhaltensänderung unterstützen und an welchen Stellen sich konkrete Andockpunkte zu ISMS- und IT-Grundschutzprozessen ergeben.

2 Lernen, Verhalten und Resilienz
Der aktuelle Stand der Wissenschaft zeigt, dass nachhaltiges Lernen und Verhaltensänderung nicht durch reine Informationsvermittlung entstehen. Erkenntnisse aus Neurowissenschaft, Psychologie und Pädagogik erklären, wie Menschen Informationen verarbeiten, Entscheidungen treffen und Verhalten anpassen. Wirtschaftswissenschaftliche Perspektiven ordnen den Nutzen auf organisationaler und gesamtwirtschaftlicher Ebene ein.

2.2 Psychologische Erkenntnisse
Lernen ist ein individueller und motivational regulierter Prozess. Die Aufnahme von Inhalten hängt maßgeblich von erfüllten Grundbedürfnissen ab: Autonomie, Kompetenz und soziale Eingebundenheit [6]. Werden diese erfüllt, entsteht intrinsische Motivation sowie Selbstwirksamkeit, also die Überzeugung, durch eigenes Handeln wirksam Einfluss nehmen zu können [7]. Dieses Erleben ist zentral für nachhaltige Verhaltensänderungen. Fehlt es, bleibt Motivation oft auf deklaratives Wissen beschränkt.

Der Intention Behavior Gap beschreibt dabei die Diskrepanz zwischen Wissen und tatsächlichem Verhalten [8]. Menschen wissen was zu tun ist, handeln jedoch nicht. Lernen ist sozial eingebettet und Verhalten wird in gemeinsamen Kontexten durch Beobachtung anderer übernommen [9].

Glaubwürdige und nahbare Vorbilder sind dabei wirksamer als abstrakte Anweisungen. Gruppendynamische Effekte wie soziale Resonanz, Konformität und “Fear of Missing Out” verstärken die Bereitschaft zur Verhaltensanpassung [10]. Die Vergessenskurve nach Ebbinghaus in Abbildung 1 zeigt, wie schnell Wissen ohne Aktivierung verloren geht [11]. Erst durch wiederholtes Abrufen und praktisches Anwenden werden Inhalte stabil verankert. Auch imaginierte Erfahrungen, etwa in simulierten oder nachempfundenen Szenarien beschrieben, lösen Lernprozesse aus. Abweichungen zwischen Erwartung und Ergebnis führen dabei durch den in Abschnitt 2.1 beschriebenen Effekt zu Bewertungsprozessen [12].

2.3 Pädagogische Erkenntnisse
Positive Rückmeldungen stärken das Kompetenzerleben und fördern die Motivation. Wahrgenommene Fortschritte werden sichtbar und Handlungen werden als wirksam bestätigt. Reflexion fungiert dabei als zentraler Mechanismus, um Abweichungen zwischen Ziel und Ergebnis zu erkennen, Denkfehler aufzudecken und Verhalten gezielt anzupassen [13, 14]. Erst durch wiederholte Anwendung in realitätsnahen Kontexten sowie durch gezielte Rückmeldung wird Wissen in handlungsleitende Routinen überführt [15]. Lernen entwickelt sich dabei iterativ über Ausprobieren, Scheitern, Korrigieren und erneutes Versuchen. Aktive Lernprozesse erhöhen nachweislich die Leistung und fördern ein tieferes Verständnis der Inhalte[16].

2.4 Wirtschaftswissenschaftliche Erkenntnisse Cybersecurity Awareness ist ein zentrales Element nationaler und organisationaler Sicherheitsstrategien. Investitionen in Wissen und Sicherheitsbewusstsein stärken die organisationale Resilienz und tragen zur Stabilität wirtschaftlicher Systeme bei [17]. Informationssicherheit wird damit vom technischen Thema zum Bestandteil unternehmerischer Wertschöpfung. Aus betriebswirtschaftlicher Sicht ist die Schulung von Mitarbeitenden eine Investition: Sie reduziert Risiken, minimiert Fehlverhalten und senkt die Wahrscheinlichkeit von Vorfällen. Präventive
Maßnahmen sind dabei deutlich kosteneffizienter als die Bewältigung eingetretener Schäden, wie jährliche Berichte zeigen [18]. Auf volkswirtschaftlicher Ebene trägt Awareness zur Resilienz von Wertschöpfungsketten bei, indem sie die Häufigkeit und Auswirkungen von Sicherheitsvorfällen reduziert [19]. Dies senkt indirekte Kosten wie Produktionsausfälle, Betriebsunterbrechungen oder Reputationsverluste und stabilisiert damit gesamtwirtschaftliche Strukturen. Ein wesentlicher
Erfolgsfaktor liegt dabei in der Skalierbarkeit moderner Lernformate. Digitale Awareness-Maßnahmen ermöglichen es, große Zielgruppen effizient zu erreichen, Inhalte kontinuierlich zu aktualisieren und flexibel an neue Bedrohungslagen anzupassen [20].

…

kostenlos downloaden