Die IAG Group steht hinter vielen der führenden Versicherungsunternehmen im asiatisch-pazifischen Raum und zeichnet Policen für Millionen von Kunden mit einem jährlichen Prämienvolumen von rund 11,4 Mrd. AUD. Bianca Wirth ist die Corporate Security Education & AwarenessManagerin der IAG Group. Sie war sich der Notwendigkeit eines ausgeprägten Sicherheitsbewusstseins und -praktiken innerhalb des Entwicklungsteams bewusst und machte sich daran, ein wirklich innovatives, optimales Umfeld zu schaffen, in dem das Team wichtige sichere Codierungstechniken erlernen konnte.

ENTER: Spiel der Codes

Die Herausforderung

Entwickler stehen oft unter Zeitdruck, da sie eine Vielzahl von Aufgaben und Projekten zu bewältigen haben. Dennoch ist es für jedes Unternehmen von größter Bedeutung, sich über die besten Sicherheitsverfahren auf dem Laufenden zu halten, ganz zu schweigen von einem Unternehmen, das Millionen von sensiblen Kundendatenprofilen vor Hackern schützen muss. Bianca und ihr Team setzten sich klare Ziele auf dem Weg, ihre Cybersicherheitsinitiativen robuster zu machen. Sie legten fest, dass die Minimierung der Angriffsfläche in den vonIAG entwickelten Anwendungen oberste Priorität hat und dass sie dies durch die Schulung von Entwicklern erreichen wollen, um kritische und risikoreiche Schwachstellen zu identifizieren und zu beheben. Langwierige Schulungen zur sicheren Programmierung courses gibt es zwar, aber sie können mühsam und langwierig sein und wichtige Mitarbeiter von Entwicklungsprojekten mit strengen Lieferfristen ablenken, was im gesamten Unternehmen Druck erzeugt. Die Notwendigkeit, das Entwicklungsteam schnell und mit minimalen Auswirkungen auf die Arbeitsbelastung und den Betrieb zu schulen, wurde offensichtlich. Und mit Entwicklern in Australien und Neuseeland, die an unterschiedlichen Systemen arbeiteten, war dies keine leichte Aufgabe.

"Dieses Jahr habe ich eine Änderung an unserem Quellcode vorgenommen, die eine SQL-Injection-Schwachstelle beseitigt hat. Dass sie das erkannt haben, verdanke ich Game of Codes. Es ist schon hilfreich, wenn man sich die sichere Programmierung vor Augen hält. Der Wettbewerb ist eine gute Möglichkeit, die Leute dazu zu bringen, ihr Bestes zu geben... denn seien wir mal ehrlich, Sicherheit ist nicht jedermanns Lieblingsthema, also ist dies eine gute Möglichkeit, die Leute zu motivieren." R, IAG-Entwickler

Die Umsetzung

Bianca entwickelte eine Strategie für die Einführung einer spielerischen Schulungserfahrung und arbeitete mit ihrem Team und Secure Code Warrior an der Umsetzung von tournaments und Schulungen zur Förderung der Fähigkeiten der internen Entwickler. Dabei war es wichtig, eine solide Kommunikationsstrategie zu entwickeln und auf die unterschiedlichen Motivationen und Persönlichkeiten der Mitarbeiter einzugehen, die eine völlig neue Plattform annehmen und ihr volles Potenzial nutzen wollen:

"Wir haben einen Kommunikationsplan entwickelt, der festlegt, wie wir den Mitarbeitern und den wichtigsten Stakeholdern die wichtigsten Punkte und Botschaften vermitteln und welche Anreize wir ihnen bieten, damit sie auch darauf reagieren. Die meisten Menschen genießen die spielerische Erfahrung wirklich. Es hängt nur von ihrer Persönlichkeit, ihrer Motivation und ihrem Antrieb ab. Deshalb versuchen wir, eine ganze Reihe von Motivationen der Menschen zu berücksichtigen. Manche lieben die Preise, für andere ist der Leistungsaspekt an sich schon ein wichtiger Faktor" , sagte sie.

Bianca und IAG präsentierten fachkundig Secure Code Warrior's gamified learning platform und verwandelten ihr tournament in ein unterhaltsames Wettkampferlebnis, das als 'Game of Codes' angekündigt wurde, mit Mitarbeitern, die in mittelalterlich gestalteten Häusern (komplett mit gebrandeten Spielerartikeln) platziert wurden und in einem Kampf gegeneinander antraten, der seinem HBO-produzierten Namensvetter würdig war.

Die Website tournament wurde sogar auf die internationale Bühne gehoben, wo demnächst ein Spiel zwischen Australien und Neuseeland stattfinden wird. Dies gibt IAG die Möglichkeit, die führenden Sicherheitschampions in beiden Ländern zu identifizieren und sicherzustellen, dass die Teams sich gemeinsam weiterbilden.

Das Ergebnis

Game of Codes ist in der Tat ein spezielles Schulungsprogramm. Seine Einführung als interaktives, unterhaltsames tournament sorgte dafür, dass die Mitarbeiter auf vielfältige Weise eingebunden wurden, aber der praktische Kern der Übung blieb bestehen: Entwicklern die Fähigkeiten zu vermitteln, die erforderlich sind, um hochriskante Schwachstellen in von der IAG entwickelten Anwendungen zu erkennen und zu umgehen.

Indem sichergestellt wird, dass sowohl die Entwickler als auch die Sicherheitsteams mit einer auf Sicherheit ausgerichteten Denkweise arbeiten und in der Lage sind, Schwachstellen nicht nur zu erkennen, sondern auch von Anfang an zu beheben, erwartet IAG eine Verringerung der kostspieligen Penetrationstests und der Belastung des Teams, das sie durchführt.

Neben der Weiterentwicklung dieser wichtigen Kompetenz trug Game of Codes auch zum Aufbau von Beziehungen bei, indem es ein Gefühl der Kameradschaft und des freundschaftlichen Wettstreits zwischen den beteiligten Teams vermittelte und gleichzeitig dazu beitrug, dass die einzelnen Teilnehmer mehr Vertrauen in ihre sicheren Programmierfähigkeiten bekamen, wenn sie diese in einer punktebasierten tournament Umgebung messen konnten.

Bianca erklärte, dass die interne Unterstützung für das Programm immens war und von der Führungsetage positiv aufgenommen wurde. Dies führte auch zu einem Botschafterprogramm, an dem sich Personen beteiligen konnten, die das Programm fördern und sich für die Sicherheit innerhalb des Unternehmens einsetzen wollten:

"Für einige Entwickler war es eine fantastische Erfahrung und eine hervorragende Förderung ihrer Fähigkeiten. Sie profitieren davon auch bei ihrer eigenen Arbeit, was sehr wichtig ist.

Game of Codes ist bei weitem nicht nur ein Spiel" oder eine angenehme Art und Weise für Abteilungsleiter, sich durch Compliance-Schulungen zu quälen. Game of Codes ist eine ansprechende Lösung, die Sicherheitsneulinge schnell zu Sicherheitsvorreitern macht, was für die Minimierung des Risikos eines groß angelegten Verstoßes von entscheidender Bedeutung ist.

Und der ultimative Rat, von Bianca selbst:

"Wenn man ein Programm einführt und erwartet, dass die Leute es einfach nutzen, wird es nicht funktionieren. Man muss ein Programm entwerfen, mit dem man Verhaltensänderungen initiiert und motiviert. Was wir aufgebaut haben, war im Wesentlichen ein Programm für das Änderungsmanagement von Entwicklern, das sich auf die Sicherheit konzentriert."

"Ich bin ein Senior Tester in einem agilen Team und diese Schulungen haben mich motiviert, mehr über Sicherheitstests zu lernen und sie als eine mögliche Spezialisierung zu betrachten." A, IAG Senior Tester

FAST FACTS 

• Neben dem spielerischen Lernen nutzt IAG Secure Code Warrior auch als Tool zum Testen von Fähigkeiten bei der Einstellung von Entwicklern.
• Das Unternehmen ist dabei, das Programm auf 100 % seines Entwicklungsteams auszuweiten, wobei 55 % bereits aktiv am System teilnehmen.  
• Sie haben eine Reihe wichtiger interner Messgrößen entwickelt, die es ihnen ermöglichen, den Erfolg des Programms bei der Risikominimierung und Kostensenkung im Laufe der Zeit zu messen.
  ‍