Game of Threats: Cybersecurity-Simulator für Manager

„Game of Threats“ heißt das Spiel von PwC, das seit kurzem in Österreich bei Unternehmen zum Einsatz kommt, die von PwC beraten werden. Es ist ein bisschen wie „Schifferl versenken“ nur mit Unternehmen, die von Kriminellen angegriffen werden. Konkret geht es darum, die Dynamik von Cyberangriffen spielerisch zu vermitteln. Zwei Teams treten dabei gegeneinander an. Das „Team Unternehmen“ muss mit Firewall und Intrusion Detection System gegen die gewieften Taktiken von Cyberkriminellen antreten und sich verteidigen.

Abwehrmaßnahmen

Das zwingt beide Seiten sich nicht nur mit der eigenen Perspektive, sondern auch mit der des jeweils anderen auseinanderzusetzen. Während die eine Mannschaft den nächsten Angriff plant, muss das andere die passende Abwehrmaßnahme entwickeln. Das ist für Unternehmen oft nicht einfach, da sie, wie auch bei echten Angriffen, nicht sofort wissen, was für ein Angriff dahinter steckt und diese ihre Spuren verwischen und ihre Taten geschickt verschleiern, in dem sie die Tools, die sie für die Angriffe verwenden, löschen.

Beide Seiten sind bei dem Spiel gefordert, in kürzester Zeit existenzielle Entscheidungen zu treffen – und das auf Basis begrenzter Informationen und knapper finanzieller Ressourcen. Für richtige Entscheidungen werden die Spieler belohnt, für schlechte bestraft. Hält ein Unternehmen etwa nach einem Angriff zum falschen Zeitpunkt eine Pressekonferenz ab, kann das Unternehmen mit Sätzen wie „Sie haben Ihren Kunden wesentliche Informationen vorenthalten“ bestraft werden. Für beide Seiten macht das Spiel gleichermaßen Spaß und man lernt auch etwas dabei.

Vorteile für Angreifer

„Angreifer sind bei gleichen Ressourcen immer im Vorteil. Als Verteidiger kann man immer nur reagieren“, erklärt Dieter Harreither von PwC im Gespräch mit der futurezone. „Vielen Unternehmen ist nicht bewusst, dass es zu spät ist, aufzurüsten, wenn bereits ein Angriff erfolgt ist.“ Dieses Szenario kommt im Spiel ebenfalls vor und je länger ein Angriff aktiv ist und dauert, desto schneller gewinnen die Angreifer und Cyberkriminellen im Spiel. Nach spätestens zwölf Runden ist das Spiel automatisch zu Ende.

In den USA gibt es das Cybersecurity-Spiel „Game of Threats“ bereits seit einem halben Jahr. „Es geht darum, bei der Führungsetage oder mittleren Management-Ebene Bewusstsein zu schaffen und ein besseres Verständnis für den Umgang mit Cyberbedrohungen“, erklärt Harreither. Die Spiele-Teilnehmer werden im Laufe des Workshops außerdem für potentielle Angriffsszenarien sensibilisiert und gewinnen hilfreiches Wissen, wie mit den heutigen Gefährdungslagen umzugehen ist.

PwC hat in Österreich rund 20 Personen im Einsatz, die sich mit IT-Sicherheit beschäftigen. International sind es zirka 2800. Die Wirtschaftsprüfungsgesellschaft berät andere Unternehmen, bietet aber selbst keine Produkte im Bereich Cyber-Defense an.