Storytelling in der IT-Sicherheit: Welche Geschichten erzählen?

Erinnern Sie sich noch an You Kyung von letzter Woche?

Anders gesagt:

Man kann kaum überschätzen, wie wichtig Geschichtenerzählen als universell einsetzbare Form des Lehrens ist.

Das stellt Dr. Robert Patterson vom Air Force Research Laboratory in seinem Aufsatz „Storytelling, Archetypes and System Dynamic Modelling“ fest.

Warum?

Im Geschichtenerzählen werden wichtige Informationen vermittelt, die dann in Form einer Analogie auf neue Situationen übertragen werden können. In den Worten von Dr. Patterson:

Analoges Denken scheint eine der fundamentalsten mentalen Fähigkeiten zu sein, die Menschen besitzen.

(Für die unter uns, die bei „analog“ gleich an den Gegensatz zu „digital“ denken: Hier ist es im Sinne von „Analogien finden“ und „Vergleiche anstellen“ gemeint.)

Laut seinem Kollegen Dee H. Andrews, ebenfalls von der US Air Force, gibt es folgende Arten von Geschichten, die in der Sensibilisierung und Weiterbildung von Mitarbeitern nützlich sind:

  • Erzählungen
  • Fallstudien
  • Szenarien
  • Problembasiertes Lernen

Unsplash Jeremy Bishop StorytellingEine Erzählung ist eine Geschichte, in dem der Leserin oder Zuhörer sich emotional mit der Hauptperson der Geschichte identifizieren kann und somit die Ereignisse mit durchlebt. Eine Erzählung kann der Leserin das Ausmaß eines Problems und die Folgen für die verschiedenen Beteiligten klar machen – sie taugt eher weniger dazu, um das Finden von Lösungen zu trainieren.

Ein Beispiel für eine Erzählung aus dem Bereich Informationssicherheit ist der Film „Snowden“ von Oliver Stone: Die Zuschauerin wird mit auf eine Reise durch die Welt der Geheimdienste genommen und fühlt mit den Protagonisten des Films mit. Emotional wird klar, warum Verschlüsselung und vertrauliche Kommunikation wichtige gesellschaftliche Werte schützen – aber konkrete Anleitung liefert der Film kaum, denn die wenigsten von uns werden sich jemals in Snowdens Rolle – oder einer vergleichbaren – wiederfinden.

Fallstudien sind Beispiele für authentische Situationen, die sich entweder in der Vergangenheit genau so zugetragen haben oder sich so zugetragen haben könnten. Sie sind also weniger auf die emotionale Wirkung hin optimiert als Erzählungen, sondern eher auf ihren Realismus hin.

Eine Fallstudie wäre beispielsweise eine Rekonstruktion der Ransomware-Infektion des Lukaskrankenhauses in Neuss. Es handelt sich um einen historischen Fall mit bekanntem Ausgang. Nicht ausgeschlossen, dass Krankenhaus-Mitarbeiter, die von diesem Fall hören, sich irgendwann in einer ähnlichen Situation befinden. Der Fall könnte dann also direkt auf eine aktuelle Situation übertragen werden. Doch Vorsicht: Bei einem historischen Fall ist kaum zu beweisen, ob eine bestimmte Handlung günstig oder weniger günstig für den Ausgang war, da sich der Fall nicht zum Test wiederholen lässt. So lässt sich etwa im Nachhinein nicht mehr feststellen, ob das Krankenhaus seine Daten sofort wiedererhalten hätte, wenn es das Lösegeld gezahlt hätte.

Ähnliches gilt für das Szenario. Dieses hat aber, anders als die Fallstudie, kein festgelegtes Ende. Der Teilnehmer (denn hier handelt es sich nicht um einen passiven Leser oder Zuhörer) soll eine Situation selbständig beurteilen und unter verschiedenen vorgegebenen Lösungsmöglichkeiten wählen.

Vorteil des Szenarios gegenüber einer reinen Fallstudie: Es können Alternativen zum historischen Verlauf diskutiert und gegeneinander abgewogen werden. Was hätte beispielsweise passieren können, wenn das Krankenhaus das Lösegeld bezahlt hätte? (Eine ungewisse Chance, die Daten wiederzubekommen, steht der Ermutigung für zukünftige Erpresser gegenüber.) Was wäre gewesen, wenn das Krankenhaus mit dem Vorfall nicht an die Öffentlichkeit gegangen wäre? (So sind viele andere betroffene Krankenhäuser vorgegangen…)

Unsplash Clark Young StorytellingBeim problembasierten Lernen (oder problemorientierten Lernen) bearbeiten die Teilnehmer, ähnlich wie im Szenario, selbständig eine reale oder erfundene Situation. Der Unterschied: Im Szenario – bei allen Wahlmöglichkeiten, die die Teilnehmer haben – behält die Kursleiterin die Oberhand, bewertet die Lösungsansätze der Teilnehmer und präsentiert zum Abschluss eine Auflösung oder eine Auswahl akzeptabler Lösungen. Beim problembasierten Lernen müssen Teilnehmer damit klarkommen – wie im wahren Leben auch – das auf manche Fragen keine Antworten verfügbar sind, und dass oft nicht klar wird, ob der gewählte Lösungsweg der optimale war. Hier konzentriert sich das Lernen also nicht darauf, die beste Lösung für eine definierte Situation zu finden, sondern darauf, Herangehensweise zu trainieren, die auf unterschiedlichste Situationen übertragbar sind.

Anhand von problembasiertem Lernen lassen sich die Herausforderungen, denen man im beruflichen Alltag gegenübersteht, am besten modellieren: Im wahren Leben müssen ständig Entscheidungen aufgrund von unvollständiger Information getroffen werden, und wenn man ein Problem oder ein Projekt (ist in manchen Fällen ja das Gleiche) abgeschlossen hat, wird man in den seltensten Fällen von einem Kursleiter empfangen, der einen darüber informiert, ob man richtig oder falsch gehandelt hat. Mitarbeiter könnten im problembasierten Lernen – gerne in Gruppen – etwa vor das Problem gestellt werden, dass eine Sicherheitslücke in einem bestimmten medizintechnischen Gerät öffentlich gemacht wird. Was tun? Das Gerät aus dem Verkehr ziehen, einen Patch der Sicherheitslücke versuchen, das Problem ignorieren? Wenn mehrere Handlungen gewählt werden, wie ordnet man sie nach Wichtigkeit?

Fazit: Auf dem Weg vom Laien, der ein Thema gerade erst kennenlernt bis hin zum Experten, der sich im beruflichen Alltag mit einem Thema auseinandersetzt, helfen in jeder Stufe der Weiterbildung die hier vorgestellten Techniken des Storytelling – von der Erzählung (Sensibilisierung und Awareness) bis hin zum problembasierten Lernen (Training von Entscheidungsfindung mit unvollständiger Information).

Welche dieser Arten des Geschichtenerzählens haben Sie schon eingesetzt?