René Röpke

 

Extending Game-based Anti-Phishing Education using Personalization

Design and Implementation of a Framework for Personalized Learning Game Content in Anti-Phishing Learning Games

Phishing stellt eine unmittelbare und weitreichende Bedrohung für Internetnutzer auf der ganzen Welt dar, bei der Angreifer durch Täuschung ihre Opfer dazu verleiten, Informationen preiszugeben. Aktuelle Berichte berichten über eine Vielzahl von Phishing-Angriffen, und bislang konnten die technischen Lösungen die Bedrohung nicht vollständig aufhalten. Als komplementärer Ansatz wird die Schulung der Nutzerinnen und Nutzer mit Hilfe von Anti-Phishing-Lernspielen untersucht, um diese zu sensibilisieren und ihnen die notwendigen Kenntnisse und Fähigkeiten zu vermitteln, Phishing-Angriffe zu erkennen und sich davor zu schützen.

Eine gängige Spielmechanik in existierenden Spielen fordert von Lernenden, dass sie URLs in einem binären Entscheidungsschema entweder als legitim oder als Phishing klassifizieren. Hierbei kann ein Problem auftreten, wenn die Lernenden den Dienst einer gegebenen URL nicht kennen und mangels Referenz nicht in der Lage sind, die URL zu klassifizieren. So können die Lernenden auf Raten ausweichen, was das Übungspotenzial des Spiels schmälert, da Lernende keine Verknüpfung zwischen richtigen Klassifizierungen und dem angewandten Wissen schaffen können. Darüber hinaus sind die Möglichkeiten für Feedback begrenzt, da die binäre Entscheidungsmechanik keinen Einblick in die Entscheidungsprozesse und möglichen Fehlvorstellungen der Lernenden gibt.

In dieser Dissertation werden die Limitationen für Feedback sowie das Problem der Klassifizierung unbekannter URLs in Anti-Phishing-Lernspielen wie folgt adressiert: Zunächst wird ein Überblick über existierende Lernspiele erarbeitet, der Einblicke in deren Design und die behandelten Lerninhalte gibt. Die Erkenntnisse dienen der Gestaltung und Implementierung von zwei neuen Spielprototypen. Hier erweitert das erste Spiel die zuvor erwähnte binäre Entscheidungsmechanik und verlangt von den Lernenden, URLs in eine von mehreren Kategorien einzuordnen, je nachdem, welche Manipulationstechnik auf einen bestimmten Teil der URL angewendet wurde. Beim zweiten Spiel müssen Lernende verschiedene Manipulationstechniken anwenden und mithilfe einer Puzzlemechanik ihre eigenen bösartigen URLs erstellen. Als nächstes werden die Möglichkeiten zur Personalisierung von Anti-Phishing-Lernspielen betrachtet und eine Personalisierung-Pipeline entwickelt. Durch die Berücksichtigung der Bekanntheit der Lernenden mit unterschiedlichen Diensten und der dynamischen Erstellung von gutartigen und Phishing URLs kann der Inhalt von Anti-Phishing-Lernspielen personalisiert werden.

Um die neuen Spielprototypen sowie den Einsatz der Personalisierungs-Pipeline zu evaluieren, werden zwei vergleichende Nutzerstudien in einem Between-Group-Design mit Prä-, Post- und Langzeittests durchgeführt. In der ersten Nutzerstudie mit 133 Teilnehmern werden beide Spiele bewertet und mit einer Referenzimplementierung verglichen. Während die Testpersonen der neuen Spiele nicht signifikant besser abschnitten als die Kontrollgruppe, zeigen die Ergebnisse für alle Spiele signifikante Verbesserungen in der Leistung und im Selbstvertrauen der Testpersonen zwischen Vor- und Nachtest sowie auffällige Unterschiede bei der Klassifizierung von URLs unbekannter und bekannter Dienste. In der zweiten Nutzerstudie mit 49 Testpersonen wird die Personalisierungs-Pipeline in eines der Spiele integriert, um dessen personalisierte und nicht-personalisierte Version zu vergleichen. In diesem Fall ermöglicht die Personalisierung die Steuerung der Bekanntheit der Dienste und gibt Aufschluss darüber, wie URLs von unbekannten Diensten im Spiel gehandhabt werden. Obwohl die Testpersonen des personalisierten Spiels nicht besser abschnitten als die Teilnehmer der nicht-personalisierten Version, bietet die Auswertung des Spielverhaltens Einblicke in die Entscheidungsprozesse der Lernenden und mögliche Probleme oder Fehlvorstellungen. Darüber hinaus zeigen die Ergebnisse einer Langzeitevaluation aller Spielprototypen und -versionen, dass das Wissen erhalten bleibt, da die Testpersonen immer noch deutlich besser abschneiden als im Prätest.

Insgesamt stellt diese Dissertation erste Ansätze und Forschungsergebnisse im Bereich der personalisierten Anti-Phishing-Lernspiele vor. Zukünftige Arbeiten könnten die Neugestaltung von Anti-Phishing-Lernspielen umfassen, um weitere Möglichkeiten der Personalisierung einzubeziehen und um zu verstehen, wie die Lernereigenschaften in Anti-Phishing Lernspielen berücksichtigt werden können.