Chaotic Week – Entwicklung, Anwendung und Auswertung eines RPGs für das Awareness-Training

Master-Studiengang Information Security

Dipl.-Ing. Gregor Schramm, BSc

Betreuer: Dipl.-Ing. Robert Luh, BSc

Ausgangslage

Heutzutage existieren viele Angriffe auf Computersysteme, die auf der Unwissenheit oder Gutgläubigkeit ihrer Anwender aufbauen. Anstatt gut implementierte Schutzmechanismen zu umgehen, überlisten Angreifer oft direkt die BenutzerInnen, damit diese ihnen unwissentlich Zugang zu den entsprechenden Diensten verschaffen. Dadurch eröffnen sich sowohl bei Privatpersonen als auch in Unternehmen Sicherheitslücken, die häufig den initialen Angriffsvektor von APT-Kampagnen darstellen.

Aus diesem Grund ist es wichtig, Anwender über aktuelle Angriffe und Bedrohungen aufzuklären. Dies gelingt durch gezielte Schulungen oder Trainingsprogramme, welche Bewusstsein für Informationssicherheit schaffen sollen.

Ziel

Diese Arbeit handelt von der Entwicklung, Implementierung und Evaluierung des Spiels „Chaotic Week“, welches AnwenderInnen mit dem Thema IT-Security vertraut macht und konkrete Angriffe in spielerischem Umfeld aufarbeitet. Im Zuge dessen übernehmen die SpielerInnen die Kontrolle über eine/n MitarbeiterIn eines virtuellen Unternehmens. Die im Laufe des Spiels getroffenen Entscheidungen haben Auswirkung auf die erzählte Handlung und werden abschließend aus Angreiferperspektive aufgearbeitet.

Ergebnis

Zur Evaluierung von „Chaotic Week“ als Awareness-förderndes Werkzeug wurden 20 Testpersonen vor und nach dem Spiel zu ihrem Wissen und ihren Fähigkeiten rund um das Thema IT-Sicherheit befragt. Im anschließenden Vergleich wurde festgestellt, dass sich der Wissensstand der TeilnehmerInnen durch das Spiel deutlich verbessert hat.

Die vorliegende Arbeit zeigt, dass der Ansatz der spielerischen, narrativgesteuerten Lehre gute Ergebnisse liefert. Die konkrete Implementierung von „Chaotic Week“ wurde von allen Testpersonen als wertvolles Werkzeug für die Unterstützung von Awareness-Programmen eingestuft und bietet gute Erweiterbarkeit für zukünftige Szenarien.