"Du musst eine Entscheidung treffen, jede deiner Entscheidungen beeinflusst den Fortgang der Story. Reagierst du nicht schnell genug, ist der Cyberangriff nicht mehr zu stoppen, und die Schadsoftware hat deinen PC platt gemacht. Lass dich aber nicht unter Druck setzen, du kannst jede Entscheidung wiederholen und neue Wege versuchen."

So kommt das IT-Security-Training der Fraunhofer Academy daher, das als virtuelles Escape-Room-Spiel aufgebaut ist.

IT Security spielerisch erleben

Der Lernende schlüpft zum Beispiel in die Rolle von Luisa Parelli, die neu im Unternehmen ist und von ihrem Chef eine To-Do-Liste bekommt: Sie soll sich ein sicheres Passwort für den PC ausdenken, die Willkommensmail durchlesen und beantworten und schließlich ihr polizeiliches Führungszeugnis im Personalbüro nachreichen. Beim Passwort muss Luisa nicht lange überlegen. Dass zwei von den fünf Willkommens-Mails Spam sind, erkennt sie auch sofort, aber dann verbindet sie ihren USB-Stick mit dem PC, um das Führungszeugnis zu kopieren. Damit hat sie der Schadsoftware den Zugang zu ihrem PC-Arbeitsplatz geöffnet.

Michael Holzhüter arbeitet als wissenschaftlicher Mitarbeiter und Lehrbeauftragter für IT-Sicherheit an der Hochschule für Technik und Wirtschaft (HTW Berlin) und hat dieses Security-Training für das Fraunhofer-Institut für offene Kommunikationssysteme FOKUS entwickelt: "Das Escape-Room-Spiel ist nur ein Teil der Schulung. Insgesamt wird den Lernenden das Thema IT-Security auf unterschiedlichen Wegen nahegebracht: über Videos, Webinare, Podcasts oder Präsenzveranstaltungen und vieles mehr."

Da die Lernenden in einer fiktiven Rolle, etwa als CISO, Notfall- oder Datenschutzbeauftragte Entscheidungen treffen müssen, geht das "Escape-Room-Spiel über die reine Wissensvermittlung hinaus", sagt Holzhüter. "An dieser Stelle findet die direkte Anwendung des Wissens, aber noch in einer abgesicherten Umgebung, statt."

Natürlich sei ein Escape-Room-Spiel aufwendiger zu entwickeln als ein klassisches Webinar, aber es sei auch wirkungsvoller, unterstreicht Holzhüter, der freier Berater für IT-Infrastruktur und IT-Sicherheit tätig ist: "Das Escape-Room-Format beinhaltet mehrere Bausteine. In einem Selbst-Assessment können Teilnehmende zum Beispiel ihr Wissen in praxisnahen Stories einfach testen. Um einen Austausch zwischen den Spielern zu ermöglichen, mischen wir unsere Formate zudem mit Videokonferenzen, in denen Teams gemeinsame Lösungen in Break-Out-Sessions erarbeiten, um ein Level weiterzukommen."

Escape Room treibt Security Awareness

Raphaela Schätz ist an der Fraunhofer Academy für Didaktik und Qualitätsmanagement zuständig und dabei vor allem im Projekt Lernlabor für Cybersicherheit tätig. Sie erklärt, warum sich das Escape-Room-Konzept auch gut als digitales Lernformat eignet: "Aus der Forschung wissen wir, dass sich die intrinsische Motivation am Lernen steigern lässt, wenn dieses Wissen gleich anzuwenden ist." Vor allem die softwarelastigen Weiterbildungsthemen seien leichter in digitale Lernformate zu übertragen. "Ist Hardware im Spiel, geht das nur schwierig", schränkt Schätz ein.

In den Lernlaboren, die die Fraunhofer Academy zusammen mit Hochschulen an insgesamt 16 Standorten in Deutschland betreibt, können die Teilnehmerinnen und Teilnehmer zum Beispiel "hautnah erleben, was passiert, wenn bei einem Energieversorger das Stromnetz zusammenbricht. Diese Beklemmung im dunklen Raum ist schlecht virtuell erlebbar", so Schätz.

Aber auch die Lernlabore der Fraunhofer Academy sind seit Ausbruch der Corona-Pandemie geschlossen. Bis dort wieder Präsenztrainings erlaubt sind, werden immer mehr Trainings online angeboten. Damit diese funktionieren, müssen sie laut Raphaela Schätz für Neulinge niedrigschwellig und kompakt sein. Auch sei es wichtig, virtuelle Räume für die Vernetzung der Lernenden zu schaffen, in denen sie sich zu einem Feierabendbier oder in den Break-out-Sessions treffen können. "Wir haben immer einen synchronen Programmpunkt dabei, an dem alle Teilnehmerinnen und Teilnehmer dabei sind und sich austauschen können", sagt Schätz.

Fraunhofer Solution Days: Hier gehts zum Video zum Blackout-Szenario.

Lesen Sie auch: Fachkraft für IT-Security - Ein Berufsbild mit vielen Gesichtern