Gamified Hacking Offence Simulation-based Training (GHOST)

IT-Sicherheit ist eine Thematik, die längst nicht mehr nur IT-Anbieter betrifft. Nahezu alle Unternehmen, Behörden oder öffentlichen Institutionen sind auf den Betrieb von IT-Systemen und damit auf die reibungslose Funktion von IT angewiesen. Dies betrifft längst nicht mehr nur Computerarbeitsplätze, sondern auch Telefone, Mobiltelefone etc. Neben der reibungslosen Funktion dieser Geräte ist ein zweiter Aspekt gleichbedeutend wichtig: Die Datensicherheit. Patente, geheime Verträge, Blaupausen, Mischungsverhältnisse, Operationsplanungen, Prozesse – all das wird überwiegend in digitaler Form gespeichert. Damit liegen Informationen, welche hochsensibel oder für den operativen Betrieb zwingend notwendig sind, auf den Computern der Mitarbeiterinnen und Mitarbeitern.

Gerade die Medienberichterstattung der letzten Monate, in der man um die Schlagzeile „Erpressungs-Trojaner“ kaum herumkam, führte ein weiteres Mal die Bedrohung dieser Systeme vor Augen. Solche und ähnliche Schadsoftware gelangt dabei häufig durch Anwendungsfehler des Büropersonals auf die Computer (z. B. durch eine Phishing-Email). Diese Fälle zeigten ein weiteres Mal, dass gerade bei der Mitarbeitersensibilisierung in Bezug auf IT-Risikofaktoren großer Nachhochbedarf besteht. Genau an dieser Stelle setzt das Forschungsprojekt „Gamified Hacking Offence Simulation-based Training“ (kurz GHOST) an.

Warum heutige Schulungen kaum Wirkung entfalten

Bislang wird in Schulungen, die eine Sensibilität für IT-Sicherheitsrisiken und den Umgang mit derartigen Risiken lehren möchten, auf klassische Verfahren zurückgegriffen. Eine solche Schulung ist üblicherweise als ein- oder zweitägiges Seminar organisiert, bei der Informationen weitgehend frontal vermittelt werden. Neben diesem klassischen Frontalunterricht werden auch Diskussionen unter den Teilnehmern angeregt. 

Alternativ erfreuen sich E-Learning-Kurse wachsender Beliebtheit. Sie sind kostengünstiger und vermitteln die Informationen letztendlich in einer ähnlichen frontalen Art. Obwohl es für beide Schulungsmethoden sinnvolle Anwendungsfälle gibt, werden sie von den Zuhörenden oftmals als langatmig empfunden. Dadurch leidet die Motivation, und folglich werden die Schulungserfolge geschmälert. Unabhängig von Motivation oder Demotivation der Schulungsteilnehmer bieten weder Seminare noch E-Learning-Kurse die Möglichkeit, das erlernte Wissen auszuprobieren. 

Dies ist gerade im Kontext des IT-Security-Umfeldes ein erheblicher Nachteil, denn weder „Wissen“ noch „Verstehen“ der Schulungsinhalte ist ausreichend. Die Mitarbeiter müssen das Gelernte „anwenden“ können. Dies begründet sich gerade im hohen Entwicklungstempo der IT und der dazugehörigen Systeme, bei dem auch die Entwickler der Schadsoftware mithalten können. 

Genau in diesem Punkt versagen viele der heutigen Schulungen zur Sensibilisierung von IT-Sicherheitsrisiken. Mangels praktischer Erprobungsmöglichkeiten wird oftmals nur „Wissen“ geschult. Ein echter Kompetenzerwerb erfolgt somit nicht. Diese Ausbildungspraxis lässt sich mit einer Excel-Schulung vergleichen, in der die Schulungsteilnehmer zu keinem Zeitpunkt selbst Excel benutzen. Welcher Chef würde eine solche Schulung für seine Mitarbeiter buchen?

Ein neues Konzept ist gefragt

Das Projekt GHOST verfolgt deshalb den Ansatz, den Prototypen eines gleichnamigen Spiels zu entwickeln, das sowohl die ­Möglichkeit der Wissensvermittlung als auch der praktischen Erprobung bietet. Dabei wird erstmalig ein sogenanntes „Competence Developing Game“ (kurz CDG) entwickelt. CDG ist ein Überbegriff für alle Arten von Spielen mit ernsten Intentionen, wobei es sich sowohl um Brettspiele als auch um Videospiele handeln kann. Klassische Beispiele sind Serious Games, Edutainment-Titel oder auch Planspiele. 

Ein CDG kann dabei beispielsweise ein reines Serious Game oder ein reines Planspiel, ein reiner Edutainment-Titel oder ähnliches sein. Es kann diese und weitere Konzepte aber auch kombinieren. Letzteres wird bei dem Prototyp des Spiels GHOST der Fall sein.

Effektiv schulen, um das Entstehen einer Krise zu verhindern

Das Spielszenario des GHOST-Prototypen: Planet Erde im Jahr 2050. Ein Meteorit stürzt über der hoch technisierten Erde glühend zu Boden. Ein Team von Wissenschaftlern entdeckt seine Überreste und analysiert diese. Dabei wird ein bisher unbekanntes Element mit einem bis dahin unvorstellbar hohen Energiepotenzial entdeckt: Industrium. Wenige Kilo würden ausreichen, um den Energiebedarf der Erde für viele Jahre zu decken, aber nur wenige Gramm stehen zur Verfügung. Ein faszinierendes und gleichermaßen gefährliches Element. 

Es werden zwei bis dahin undenkbare Raumschiffantriebe konstruiert, welche das vorhandene Industrium als Treibstoff nutzen. Das Raumschiff GHOST und ihr Schwesterschiff SPIRIT starten kurz darauf in die eiskalten, lebensfeindlichen Tiefen des Raums, um die Spuren des Industriums zu verfolgen und dessen Quelle zu finden. Doch schnell sieht sich die Crew einer weiteren Gefahr ausgesetzt: Permanente Angriffe auf die Informationssysteme des Schiffs gefährden die Mission und müssen präventiv und reaktiv abgewehrt werden. Doch wer steckt dahinter und was steht auf dem Spiel, wenn die Crew scheitert?

Der Prototyp des Spiels GHOST wird ein rundenbasiertes Tablet-­Game sein, in dem Serious-Game- und Planspiel-Aspekte kombiniert werden. Acht Spieler verteilt auf zwei Teams können sich dabei sowohl in Singleplayer- als auch in Multiplayerrunden bewehren. Eine interessante Hintergrundgeschichte gepaart mit einer zugänglichen Spielmechanik bilden dabei die Grundlage für Motivation. 

Zudem werden die Steuerungsmöglichkeiten minimalistisch gehalten. Dies ermöglicht es auch Spielern, die über wenig oder keine Erfahrung mit Computerspielen verfügen, das Spiel ohne Problem zu steuern. Mit diesen simplen Mechanismen wird der breiten Zielgruppe (im Prinzip alle Berufstätigen im Büroumfeld) ein angenehmes Spielerlebnis ermöglicht. Zudem wird es ein Begleitheft zum Tablet-Spiel geben. Dieses Heft wird in die Spielstory integriert sein und während des Spiels immer mal wieder benötigt werden. Es dient als Raum für Notizen und steht im Anschluss des Spiels als Nachschlagewerk zur Verfügung. 

Die Spieler werden in den Singleplayerrunden mit verschiedenen IT-Security-Szenarien konfrontiert, die sie durch korrektes Verhalten lösen können. 

Das im Singleplayermodus gelernte Wissen wird in den Multiplayerrunden dann unter Zeitdruck wiederholt und damit nochmal vertieft. Jeder im Team trägt so ein Stück zum Erfolg oder Misserfolg bei. Neben den IT-Security-Problemen müssen die Spieler auch das Raumschiff betreiben. Diese zusätzlichen Aufgaben erhöhen den Stressfaktor und bilden den Stresslevel von realen Arbeits- bzw. Krisensituationen nach. Auch in solchen hochanstrengenden Arbeitsphasen sollen die Spielteilnehmer in der Lage sein, IT-Sicherheitsrisiken in ihrem Arbeitsumfeld zu erkennen und durch korrektes Verhalten zu minimieren.

Weit mehr als nur ein Competence ­Developing Game

Eines der Ziele des Forschungsprojektes GHOST ist die Implementierung sowohl eines Szenario- als auch eines Level-Editors. Mit diesen Editoren soll es ohne größere Programmierkenntnisse möglich sein, Spielszenarien zu gestalten. Die vordefinierten IT-Security-Szenarien, die im Spiel vorkommen sollen, werden bereits während der Entwicklung in den Editoren hinterlegt und sind dann bei der Editornutzung leicht zugreifbar. 

Auf Basis dieser vordefinierten IT-Security-Szenarien können mit den Editoren Spielrunden mit individueller Grafik und individuellem Storytelling gestaltet werden. Eine Vielzahl von Spielrunden ergibt dann ein vollständiges Spiel. Der Level-Editor dient in diesem Kontext der Erzeugung der Spielumgebung (der Map). Der Szenarien-Editor dient dazu, Spielmechanik, Interaktionsmöglichkeiten, gescriptete Events und das Storytelling (innerhalb der Spielumgebung) zu definieren. 

Mit GHOST soll es also möglich sein, Spiele mit einer anderen Story und in einer andersartigen Spielumgebung zu entwickeln. So könnte das Training beispielsweise auf eine Kriegsschiffflotte, eine Feuerwehrwache oder ein militärisches Feldlager übertragen werden. In der ersten Version des GHOST-Prototypen soll allerdings das oben beschriebene Raumschiff-Szenario umgesetzt werden, weil zunächst der Fokus auf der Ausbildung von Büroangestellten liegt. Auf diese Weise wird vermieden, dass Büroangestellte mit ihrem digitalen Abbild ein Büroszenario spielen, während sich selbst in der realen Welt ebenfalls in ihrem Büro befinden. Dies würde sich negativ auf den Motivationslevel der Spielenden auswirken. 

Für spezielle Bereiche wie z.B. das Militär oder den Brand-, Katastrophen- und Zivilschutz könnte eine realistischere Darstellung der virtuellen Arbeitsumgebung allerdings sinnvoll sein. Auch in solchen Fällen setzt GHOST auf eine starke Abstrahierung der Realität. Dies macht bei realitätsnahen Spielkarten (zusammen mit der Story) den Unterschied zwischen einer Simulation und einem Spiel aus. Damit stellt GHOST auch in diesem Anwendungsfall das extra Quäntchen (spielerische) Motivation für die Spielenden sicher. 

Machen Sie mit!

Das Forschungsprojekt GHOST, an dem auch Unternehmen und öffentliche Einrichtungen beteiligt sind, wird vom Bundesministerium für Bildung und Forschung gefördert. Möchten Sie sich am GHOST-Projekt beteiligen? Zum Beispiel zur Entwicklung neuer Anwendungsszenarien oder als Beta-Tester des Prototyps? Dann wenden Sie sich an die unten stehenden Kontaktdaten. Im Frühling 2017 soll eine erste Version des Prototyps von GHOST zur Verfügung stehen.