Cybersecurity erleben: Wie KMU Risiken spielerisch meistern

CybersecurityData SecurityDesign ThinkingGamificationKMU

Isabelle Fischer, MobiliarIsabelle Fischer, Mobiliar
Isabelle Fischer, Mobiliar

Ein innovatives Training sensibilisiert KMU für Cybersicherheit. Teilnehmer schlüpfen in die Rolle eines fiktiven Sicherheitsteams, um Cyberrisiken zu erkennen und Massnahmen zu erarbeiten. Das praxisnahe Format kombiniert realistische Szenarien mit spielerischen Elementen, um nachhaltiges Lernen und Handeln zu fördern. Entwickelt aus Studienerkenntnissen, schliesst das Konzept die Lücke zwischen Wissen und Verhalten. Ein interdisziplinäres Team und Experten aus der Praxis haben das Programm gestaltet. Seit 2024 erfolgreich im Einsatz, stärkt es das Bewusstsein und verbessert die Sicherheitskultur in Unternehmen.

Meike Tarabori im Interview mit Isabelle Fischer, Customer Experience Managerin bei der Mobiliar, darüber, wie Cybersecurity erlebbar und greifbar gemacht werden kann.

Was verbirgt sich hinter «Cyber on Tour»?

«Cyber on Tour» ist ein Angebot der Mobiliar für bei uns versicherte KMU. Es handelt sich dabei um ein Sensibilisierungstraining, bei dem die Teilnehmenden in die Rolle eines fiktiven Sicherheitsteams schlüpfen. Gemeinsam arbeiten sie daran, möglichst viele Cyberrisiken zu erkennen und zu bewältigen.

Wie ist die Idee entstanden?

Die Idee zu «Cyber on Tour» entstand aus der Notwendigkeit, KMU besser gegen Cyberangriffe zu wappnen und eine nachhaltige Prävention im Bereich Cybersicherheit zu etablieren. Als Anbieter von Cyberversicherungen ist es der Mobiliar zum einen wichtig, potenzielle Schadenfälle zu minimieren. Zum anderen auch das Bewusstsein für die Risiken solcher Bedrohungen zu schärfen, sowohl im beruflichen als auch im privaten Umfeld unserer Kunden.

Die Initialzündung für das Projekt kam durch die Erkenntnisse einer Studie der Universität Bern, die aufzeigte, dass viele KMU das Risiko von Cyberangriffen unterschätzen. Diese Unternehmen sehen sich oft nicht als lohnendes Ziel für Hacker und verfügen daher über weniger ausgefeilte Sicherheitsmassnahmen. Viele verlassen sich darauf, dass ihre IT-Abteilung oder externe Dienstleister die notwendigen Schutzvorkehrungen treffen, ohne selbst aktiv in die Thematik einbezogen zu sein. Auch wurde in dieser Studie deutlich, dass die grösste Schwachstelle in der Cybersicherheit häufig das Verhalten der Mitarbeitenden ist – unabhängig davon, wie sicher die technischen Systeme sind.

Ein weiteres Problem, welches die Studie aufzeigte, war der sogenannte «Intention-Behavior Gap»: Selbst wenn Mitarbeitende um die Gefahren von Cyberangriffen wissen, handeln sie oft nicht entsprechend.

Diese Diskrepanz zwischen Wissen und Handeln möchten wir schliessen, indem wir ein Training entwickeln, das nicht nur informiert, sondern auch emotional anspricht und zur aktiven Teilnahme motiviert.

So entstand folglich die Idee, ein Training aufzubauen, welches durch Betroffenheit und persönliches Erleben die Teilnehmenden dazu bringt, ihre eigene Rolle in der Cybersicherheit zu erkennen und ernst zu nehmen. Durch die spielerische Gestaltung und das praxisnahe Format sollten die Teilnehmenden nicht nur lernen, sondern das Gelernte auch in ihrem Alltag anwenden und weitervermitteln – sei es im Unternehmen, im privaten Umfeld oder sogar in informellen Gesprächen, wie am Stammtisch. Auf diese Weise möchten wir sicherstellen, dass die Sensibilisierung für Cybersicherheit nachhaltig wirkt und weit über die reine Informationsvermittlung hinausgeht.

Von der Idee zur Umsetzung: Kannst du uns darüber etwas erzählen?

Von der Idee zur Umsetzung war es ein intensiver Prozess. Ausgehend von der Studie starteten wir mit einem Design Thinking Workshop. Zunächst entstand dann das Bild eines Escape Rooms, doch nach frühen Tests stellten wir fest, dass dieser Ansatz unser Ziel verfehlte – das Lernen sollte im Vordergrund stehen, nicht das Spielen. Aus diesem Grund überarbeiteten wir das Konzept vollständig und entwickelten eine neue Story.

Für die Umsetzung holten wir die Agentur Black Pearl Produktion ins Boot, die sich als idealer Partner erwies. Sie brachten nicht nur Erfahrung im Eventbereich, sondern auch fundiertes Wissen zu Cyberthemen mit. Gemeinsam schufen wir eine fiktive Firma als Rahmen für das Training und bauten parallel die mobilen Anhänger. So konnten wir am Ende ein praxisnahes, flexibles Training aufgleisen, mit dem wir ein nachhaltiges Cybersicherheitsbewusstsein fördern möchten.

Wie können KMU das Angebot buchen und was passiert dann?

Die KMU, die dieses Angebot wahrnehmen möchten, buchen «Cyber on Tour» direkt über ihren Versicherungsberater. Am Tag des Trainings kommen sie vor Ort und starten in entspannter Atmosphäre, je nach Tageszeit mit einem Kaffee oder einem Getränk. Danach schlüpfen sie direkt in die Rolle des fiktiven Sicherheitsteams.

Ein Spielleiter, der als „neuer Chef“ fungiert, begrüsst die Teilnehmenden und führt sie durch den gesamten Prozess. Er steht für Fragen zur Verfügung und unterstützt das Team bei den Aufgaben. Im Zentrum des Trainings steht die Aufgabe, einen fiktiven Malereibetrieb auf Sicherheitslücken zu überprüfen. In verschiedenen Szenarien, die durch Videos unterstützt werden, erkennen die Teilnehmer, wo Fehler auftreten könnten – etwa wenn jemand auf einen schädlichen Link klickt.

Nachdem die verschiedenen Szenarien durchgespielt wurden, sehen die Teilnehmenden, wie viele Punkte sie als Team gesammelt haben. Es gibt auch eine Rangliste, die den Gamification-Aspekt betont.

Zum Abschluss folgt dann ein Austausch mit dem Spielleiter und dem Versicherungsberater und es wird besprochen, wie die aus dem Training gewonnenen Erkenntnisse im eigenen Unternehmen umgesetzt werden können.

Seit wann sind die Anhänger im Einsatz?

Die Pilotierungsphase begann im August 2022. Das war der Moment, in dem wir das Konzept zum ersten Mal mit versicherten KMUs testeten. Zuvor hatten wir zwar interne Tests durchgeführt, allerdings ohne die Einbindung von Endkunden und auch ohne die der Versicherungsberater. Heisst, erst während dieser Pilotphase sammelten wir gezielt Feedback von den teilnehmenden Unternehmen sowie den Agenturen. Dieses Feedback nutzten wir, um Verbesserungspotenziale zu identifizieren und notwendige Anpassungen umzusetzen.

Im Herbst 2022 präsentierten wir «Cyber on Tour» dann vor allen Generalagenturen. Die Vorstellung zog recht viel Aufmerksamkeit auf sich, nicht zuletzt auch wegen der eindrücklichen Anhänger, und weckte mehr Anmeldungen, als wir erwartet hatten. Das war ein klares Zeichen, dass das Konzept Anklang fand.

Inzwischen ist das Projekt in den regulären Betrieb übergegangen. In diesem Jahr sind wir bereits viel in der Deutschschweiz unterwegs gewesen und haben das Programm zuletzt auch auf die französischsprachige Schweiz ausgeweitet. Die Resonanz ist durchweg positiv.

Wie war das Projektteam zusammengestellt?

Unser Team war interdisziplinär aufgestellt. Die Vielfalt der Kompetenzen im Team war ein grosser Vorteil, da jeder seine speziellen Fähigkeiten und Perspektiven einbringen konnte. Gleichzeitig führte dies aber auch dazu, dass wir teils grundlegende Entscheidungen, insbesondere in Bezug auf die Story, überdenken und anpassen mussten. Es gab Momente, in denen wir merkten, dass bestimmte Ideen nicht so funktionierten, wie wir uns das vorgestellt hatten. Dies führte wiederum dazu, dass wir Ideen und Ansätze wieder über den Haufen werfen und neu planen mussten.

Trotz dessen war die Motivation im Team durchweg sehr hoch. Das mag aber vor allem daran gelegen haben, dass wir als Team sehr gut harmonierten und jeder von uns eine gewisse Begeisterung für das Projekt mitbrachte. Diese positive Dynamik half uns, immer wieder neue Energie zu finden, auch in den wenigen schwierigen Phasen. Die Freude und das Engagement, die jede:r Einzelne in das Projekt einbrachte, sind in meinen Augen auch ein Grund, warum dieses letztendlich erfolgreich umgesetzt wurde.

Danke für das Gespräch, Isabelle Fischer.

Meike Tarabori, Chefredaktorin cmm360

Meike Tarabori

Im Januar 2019 übernahm Meike Tarabori die Position als Chefredakteurin des cmm360, das renommierte Schweizer Magazin für Customer Relations Stars und Service Champions. Als erfahrene Expertin für Marketing und Kommunikation mit Abschlüssen in Business, Marketing und deutscher Literatur hat sie wertvolle Erfahrungen unter anderem bei Unternehmen wie KUKA Robotics und zuletzt beim Cybathlon ETH Zürich gesammelt. Im Rahmen eines umfangreichen Rebranding-Projekts verlieh sie dem cmm360 seine aktuelle, moderne Ausrichtung. Seitdem hat sie nicht nur die Onlinepräsenz des Magazins erfolgreich etabliert, sondern kontinuierlich neue Formate wie die Podcasts «Nice To Meet You», «Meike's Raumzeit» und «ICT Talk» entwickelt. Darüber hinaus fungiert sie als Organisatorin des Schweizer Customer Relations Awards, eine Plattform, die innovative Projekte zur Gestaltung nachhaltiger Kundenbeziehungen und einzigartiger Kundeninteraktionen würdigt und auszeichnet.

Mehr zu Cybersecurity

Diskussion

Das könnte Sie auch interessieren