Perspektivenwechsel können bei einer komplexen Aufgabe helfen, neue Erkenntnisse zu gewinnen. Eine solche Aufgabe kann die Bedrohungsanalyse eines Unternehmens sein. Hier hilft es in die Perspektive von Angreifenden zu wechseln, sämtliche möglichen Angriffswege zu sammeln und zu gruppieren. Anschließend können Gegenmaßnahmen ermittelt werden und bezüglich ihrer Effektivität bewertet werden.
Genau diesen Perspektivenwechsel greifen wir vom Projekt BAK Game mit unserem neuesten Spiel “Threat Attack” auf. Während sich die bisherigen Spiele auf die Perspektive von Mitarbeitenden in einer Firma fokussieren, erlaubt “Threat Attack” einen Einblick in die Perspektive Angreifender.
Das Spiel soll aufzeigen wie Angreifer vorgehen, um ihre Ziele zu erreichen und dabei den Blick insbesondere auf das Zusammenspiel mehrerer, oft abstrakter, Bedrohungen legen. Bedrohungen beschränken sich hierbei nicht nur auf Handlungen von Angreifenden, sondern beziehen sich beispielsweise auch auf Ereignisse wie einen Internetausfall, der ohne zutun von Angreifenden auftreten kann. Wenn Bedrohungen ohne ausreichende Präventions- oder Gegenmaßnahmen existieren, führt dies zu Schwachstellen im System. Neben des Wissens um die Existenz von Schwachstellen soll auch aufgezeigt werden, dass viele IT-Sicherheitsvorfälle eine wiederkehrende Ursache haben. So können beispielsweise Sicherheitslücken in veralteter Software für eine Vielzahl von Angriffen eingesetzt werden. Weiterhin soll den Spielenden klarer werden wie Angreifende Bedrohungen ausnutzen können, um ihre Ziele zu erreichen. Somit können Gegenmaßnahmen an den richtigen Stellen weittragende Verbesserungen für die IT- Sicherheit bedeuten.
Um das komplexe Thema der Bedrohungsanalyse insbesondere fachfremden Spielenden niederschwellig näherzubringen wird die eigentliche Suche nach Bedrohungen mithilfe von stark gamifizierten Spielelementen aufgelockert. So können die Spielenden sich vollständig auf die Verknüpfung von Bedrohungen mit Angriffsszenarien fokussieren.
Zusätzlich zu Szenarien wie Phishing-E-Mails und Passwort-Diebstahl, die bereits aus vorherigen Spielen bekannt sind, werden neue und komplexe Angriffsszenarien abgebildet. Werden etwa persönliche Informationen aus sozialen Netzwerken mit Verschleierungstechniken wie gefälschten E-Mail Absendern kombiniert, entsteht eine sehr persönliche Phishing-E-Mail, die selbst von wachsamen Mitarbeitenden übersehen werden kann. Neben dem besseren Verständnis für Bedrohungen gewährt das Spiel auch die Möglichkeit die Funktionalität von Sicherheitsmechanismen nachzuvollziehen, da viele der durch die Spielenden im Spiel ausgenutzten Angriffe nur durch mangelhafte oder fehlende Vorkehrungen möglich sind. Somit bekommen Spielende die Möglichkeit alltägliche digitale Systeme und Vorgänge in einem völlig neuen Licht zu betrachten.
Unsere Spiele sind kostenfrei, browserbasiert und werden auf Basis von Feedback ständig weiterentwickelt. Wir freuen uns über Ihren Besuch: https://www.bakgame.de/spiele/
