Advanced Persistent Training

Jordan Schroeder
Advanced Persistent Training – Take Your Security Awareness Program to the Next Level

apress, 2017
XIX + 92 Seiten, € 16,04
ISBN 978-1-4842-2834-0

Von der Kunst, der Versuchung zu widerstehen, eine unbekannte Mail zu öffnen. – Dieser Satz beschreibt natürlich nicht Schroeders Buch, deutet jedoch an, worum es sich handelt. Es geht darum, andere Personen zu sensibilisieren und ihnen ein Gefühl für gelebte Sicherheit zu vermitteln.

Dabei startet Schroeder sein Buch mit einer typischen Beobachtung: Sicherheitstrainer fragen sich, warum sie den Kunden zum wiederholten Male erklären müssen, wie Kennwörter richtig eingesetzt werden, die Teilnehmer fragen sich, warum sie sich schon wieder etwas über Kennwörter anhören sollen, und die Manager schließlich, warum denn Kennwörter immer noch falsch genutzt werden. Das Resultat ist Frustration auf allen Ebenen. Das müsse nicht sein, und der Schlüssel dazu liege im richtigen Trainingsprogramm. Doch dies sei kein leichter Weg.

Um das Training für alle Seiten erfolgreich zu gestalten, reicht auf Seiten des Trainer ein noch so exzellentes Fachwissen allein nicht aus. Vielmehr komme es darauf an, wie dieses Wissen vermittelt wird. Das Zauberwort, so der Autor, sei Gamification. Doch das habe in Unternehmen einen schlechten Ruf. Von daher umschreibt er dies im weiteren Verlauf als "aktives Feedback".

Gamification wirkt tatsächlich – und das nicht nur bei jungen Leuten. Im Büro jedoch arbeiten die meisten vermutlich nicht mit Spielen. Punktgewinn- oder verlust, das ist genau das aktive Feedback, das Schroeder beschreibt. Nur dass es bei Sicherheitstrainings keine Punkte gibt, sondern eine andere Form der Belobigung, zum Beispiel öffentliche Anerkennung schneller Lernerfolge. Es geht also darum, die Mechanismen eines Spiels in einer Nicht-Spiel-Umgebung zu nutzen.

Die Gamification mittels aktivem Feedback ist nur ein Schlüsselelement zum Erfolg. Es geht ebenso darum, das Verhalten der Teilnehmer zu ändern und gleichzeitig dafür zu sorgen, dass Angreifer keine Verhaltensänderung erzielen. Auch auf das eigentliche Training, etwa mit simulierten Phishingmails und sonstigen Praxiserfahrungen, geht des Autor ein. Die Themen, bei denen Teilnehmer Schwächen zeigen, sind in immer größer werdenden Abständen zu wiederholen und zu vertiefen. Und für ihn ebenfalls wichtig, Kennzahlen, die den nachhaltigen Erfolg der Schulungen objektivierbar machen. Letztlich geht es darum, im Unternehmen eine funktionierende Sicherheitskultur einzuführen. Im Anhang schließlich lässt Jordan diverse Firmen, welche Sicherheitstrainings anbieten, mit ihren Erfahrungen zu Wort kommen.

Sieht man von den Stellen ab, an denen der Autor speziell auf das Thema Sicherheit eingeht, beschreibt das Buch ganz allgemein das Thema "Trainings erfolgreich durchführen". Auch für den Leser mit Schulungserfahrung ergeben sich einige Aha-Momente, sodass das Buch trotz oder vielleicht auch wegen seiner Kompaktheit eine echte Bereicherung darstellen kann.

Michael Müller
ist als Bereichsleiter Softwareentwicklung der InEK GmbH verantwortlich für Projekte im Web-, Java- und .NET-Umfeld. Daneben betätigt er sich als freier Autor und verfasst Fachartikel zu diversen Entwicklungsthemen sowie Buchrezensionen. (ane)