Security Awareness Kampagne als

Element aktiven Lernens – ein

Erfahrungsbericht

Marietta Spangenberg

9. DFN-Forum Kommunikationstechnologien

1.6.2016

2

• Vorstellung Hochschule und Fachbereich

• Herausforderung Informatikausbildung

• Aktive Lehr- und Lernformen

• Modul IT - Sicherheitsmanagement

• Projekt „Security Awareness Kampagne“

• Elemente der Kampagne unter dem Aspekt aktiven Lernens

• Projektauswertung

• Fazit und Ausblick

Gliederung

Hochschule Zittau/Görlitz

3

Fakultät Elektrotechnik/Informatik mit Fachbereich Informatik am Standort Görlitz

Vorstellung Hochschule und Fachbereich

4

Informatik als Hilfswissenschaft

Spannungsfeld Informatik als neue

Universalwissenschaft

Big Data

Industrie 4.0

IoT

Cloud

Ungeheure Dynamik der Entwicklung der

Informatik rasch verfallendes aktuelles

Wissen

Herausforderung Informatikausbildung

Schlagwörter? Grundlagen?

Kompetenzen? WIE?

5

Aktives Lernen

Lehrendenzentrierung

Inhaltsorientiert

Passiv (Zuhören)

Informationsweitergabe

Problemorientiert, Projektorientiert

Aktiv (lesen, schreiben, diskutieren, analysieren, …)

Entwicklung von Fertigkeiten und Kompetenzen

Studierendenzentrierung

6

Lernen

Erfahrungs-lernen

Handlungs-orientiertes Lernen

Problem-orientiertes Lernen

Projekt-orientiertes Lernen

…

Forschendes Lernen

Aktives Lernen

Quelle: Prof. J. Wildt, Shift from Teaching to

Learning

Projektorientiertes Lernen (POL)/Project-Based Learning (PBL):

• Aufgabe aus Berufsfeld

• Eigenständige Bearbeitung durch Projektgruppe

• Verknüpfung von Wissen bzw. Anwendung von Methoden aus unterschiedlichen Bereichen

7

Modul IT - Sicherheitsmanagement

Fachkompetenzen

• wissenschaftliches Arbeiten

• juristische und wirtschaftliche Grundkompetenz

• Methoden IT-Sicherheits- bzw. Risikomanagement

• Methodik des IT-Grundschutzes

• ISMS für Unternehmen initiieren und aktiv etablieren

• Praktisches Umsetzen und Anwenden von Wissen im Rahmen von Projekten

8

Fachunabhängige Kompetenzen

• Problemlösefähigkeit

• Planungs- und Entscheidungstechniken, Umsetzungskompetenz

• Kommunikationsfähigkeit

• Teamfähigkeit, Eigeninitiative

• Kreativität

• Leistungsbereitschaft

• Übernahme von Verantwortung

• Präsentationstechniken

Modul IT - Sicherheitsmanagement

inhaltsorientiert

projektorientiert

9

„Entwicklung von IT-Sicherheitsbewusstsein an der Hochschule Zittau/Görlitz“

… Mit diesem Projekt sollen Aktivitäten im Bereich IT-Sicherheitsbewusstsein und Schulung zu IT-Sicherheitsfragen initiiert werden. Zur Durchsetzung dieser Aktivitäten ist ein Konzept zu entwickeln, das durch konkrete Teilprojekte zu untersetzen ist. Dafür sind Projektvorschläge zu formulieren und umzusetzen …

Projekt „Security Awareness Kampagne“

10

Projektablauf

11

Teams 2-4 Studierende

Meeting 1x pro Woche für alle

Sonst in Teams

Kommunikation

E-Mail, Wiki

Kommunikation mit Mitarbeitern,

HRZ, Studierenden

Begleitend: Dokumentation,

Webseite, Evaluation

Projektbearbeitung

12

Projektergebnisse

13

Projektergebnisse

14

Projektergebnisse

Workshops mit Mitarbeitern

und Studierenden

15

Projektergebnisse

16

Projektergebnisse

17

Eigene Ideen, eigene Konzepte, Kreativität

Praktische Anwendung von Wissen

Anwendung eigener Erfahrungen

Integration unterschiedlicher Fachgebiete

Programmierkenntnisse

Inhalte

Organisation

Datenschutz

Inhalte

Story

Schauspielerakquise

Videoschnitt

Produktion

Kampagne unter dem Aspekt aktiven Lernens

18

Inhalt

Design

Produktion

Verteilung

Inhalt

Organisation

Kommunikation mit Nichtinformatikern

Evaluation

Inhalt

Präsentation

Einladung

Anmeldung

Organisation

Kampagne unter dem Aspekt aktiven Lernens

19

Sicht „Auftraggeber“ - Feedback zum Phishingangriff • „Das ist ganz schön gemein, aber ein kleiner Denkanstoß. “

• „der war gut :) “

• „War das der Versuch, die Logins abzugreifen? ;-) “

• „geile Idee...weiter so... “

• „okay ich muss sagen, das war ziemlich fies. Allerdings auch wirkungsvoll und gut gemacht. DANKE! “

• „ der gestrige Phishingversuch ist bei den Kollegen in aller Munde und hat mit Sicherheit eine Wirkung hinterlassen. Die Idee finde ich übrigens richtig gut „

• „ herzlichen Dank für Ihren kleinen Test, der das Bewusstsein für die IT-Sicherheit wieder wach ruft.“

• „… Insofern ist es ganz schön, mal so ein simuliertes Phishing-Erlebnis gehabt zu haben, auch wenn es ärgerlich ist, darauf hereingefallen zu sein - besonders nach Vorwarnung. Aber wirklich ein tolles Projekt, was Sie da gemacht haben!“

• … „auch ich bin "reingefallen" und möchte mich für Ihre Initiative bedanken. Es ist die eine Seite, sich abstrakt z.B. für Phishing zu sensibilisieren und die andere Seite, sich im Selbstversuch zu erleben. … habe ohne zu prüfen blind vertraut. Das war eine - hoffentlich - nachhaltige Selbsterfahrung. …Ich dachte, mir kann das nie passieren ... „

Projektauswertung

20

Große Aufmerksamkeit

Heiße Diskussionen

Aufgeschlossenheit gegenüber dem

Thema Nachhaltigkeit

Projektauswertung

Richtiger Phishingangriff Ende 2014 wirkungslos

21

Aufwand

• Projektdauer: ca. 2 Monate

• Projektteam: 19 Studierende + 1 Professorin + Mitarbeit und Unterstützung durch HRZ

• Zeitaufwand für Studierende: – ca. 20 Zeitstunden innerhalb des Unterrichts

– Zusätzlicher individueller Aufwand pro Studierendem zwischen 30 und 200 Stunden

• Zeitaufwand Lehrende: – ca. 20 Zeitstunden innerhalb des Unterrichts

– Mind. 1 Stunde pro Tag während der gesamten Projektdauer

Projektauswertung

22

Aufwand für Teilnehmer der Kampagne

• Ausgewählte Bereiche Verwaltung + Matrikel: Präsenz in Workshops je 60 min

• „Teilnahme“ am Phishingangriff

• Möglichkeit der Teilnahme am Workshop – 90 min

• Informationsmöglichkeiten nach Wahl

Sehr begrenzter zeitlicher Aufwand

Mitstreiter aus dem HRZ

• Organisatorischer Aufwand

• Service

• Druck der Plakate, Flyer

Projektauswertung

23

Aus Sicht der Studierenden

– Begeisterung, Initiative, Motivation, Selbstverwirklichung, Organisation, Kooperation, Kommunikation auch mit Nichtinformatikern, Kreativität, Übernahme von Verantwortung, Verlässlichkeit

– „Beflügelung“ durch praktische Aufgabenstellung und Feedback auf die Kampagne

– Einsatz neuer Medien zur Projektbearbeitung Webseiten, Präsentationen, Online-Quiz, Video, …

– Realitätsnähe: Umsetzbarkeit von Ideen in der Praxis

• hoher Workload - wurde nicht beklagt

Projektauswertung

24

Aus Sicht der Lehrenden

– Spaß beim Erleben des studentischen Engagements

– neue Herausforderungen der Projektbegleitung

– Feedback zu Inhalten der Vorlesung

• Organisation, manchmal auch Studenten „bremsen“

• Zeitaufwand

• Umfang des Projektes schwer abschätzbar „ausufern“

Projektauswertung

Fachkompetenzen

Methoden IT-Sicherheitsmanagement bzw. Risikomanagement

IT-Sicherheitsmanagement für Unternehmen initiieren und aktiv IT-Sicherheitsmanagement etablieren

Praktisches Umsetzen und Anwenden von Wissen und Kenntnissen im Rahmen von Projekten

25

Fachunabhängige Kompetenzen

Problemlösefähigkeit

Planungs- und Entscheidungstechniken, Umsetzungskompetenz

Kommunikationsfähigkeit

Teamfähigkeit, Eigeninitiative

Kreativität

Leistungsbereitschaft

Übernahme von Verantwortung

Präsentationstechniken

Projektauswertung

inhaltsorientiert projektorientiert

• Sehr gute Eignung:

fachspezifisch und

fachunabhängig

• Sehr intensive Arbeit

• Erfahrungen einbringen,

Erfahrungen erwerben

Alle Module?

Kompetenzen

Neue Erfahrungen

Anwendung

Erfahrungen

Grundlagen

26

Fazit und Ausblick

Erfolg praxisbezogener Projektarbeit „im Großen“

Erfolgreiche Nutzung eigener Ressourcen

Sicherheitskultur kann man nicht kaufen Entwicklung „von innen“

Neuauflage Projekt Initiator Hochschule + Studierende

Nachhaltige Verbesserung des IT-Sicherheitsbewusstseins

Spaß bei Studierenden und Lehrenden

Zeitliche Aufwand

27

"Lernen ist Erfahrung. Alles andere ist einfach nur Information.“

Albert Einstein