Achtung: Hackerangriff!
Fans von Escape Rooms werden sich freuen: Ein Forschungsteam der Fachhochschule Nordwestschweiz FHNW hat einen digitalen Escape Room entwickelt. Das Schöne dabei: Er macht nicht nur Spass, sondern schult die Spieler*innen gleichzeitig in Datensicherheit.
«Wir verraten aber nicht alles», sagt Bettina Schneider und schliesst den Bildschirm, «sonst ist der Reiz des Spiels weg.» Ein Klick, und schon sind Monitor, Tastatur und Notizblock verschwunden – so leicht will es die Forscherin der Journalistin doch nicht machen. «Escape Rooms kennt man eher aus dem Privaten, es gibt sie in vielen Städten», sagt Schneider. «Dabei trifft man sich mit Freunden, wird in einem Raum ‹eingesperrt› und löst gemeinsam Rätsel, um sich aus diesem Raum zu befreien oder um ein vermeintliches Verbrechen aufzuklären.»
Anders funktioniert das in einem digitalen Escape-Room, wie ihn Schneider und ihr Teamkollege Emanuel Löffler vom Kompetenzzentrum Cyber Security & Resilienz des Instituts für Wirtschaftsinformatik entwickelt haben. In ihrem digitalen Escape Room treffen sich die Teilnehmenden in Teams aus etwa drei Personen in einer Videokonferenz. Gleich von Anfang an finden sie sich mitten in einem fiktiven Kriminalfall wieder: Marvin bittet sie um Hilfe. Marvin ist der ziemlich verzweifelte Besitzer eines KMUs, der sich in punkto Digitalisierung ganz auf seine pfiffige Mitarbeiterin Anne verlassen hat. Anne ist ein digitaler Tausendsassa, die sowohl die Kontoführung als auch die Werbung auf den sozialen Medien für die Firma übernommen hat. Doch seit sie sich mit ihrem Chef wegen ihrer Urlaubswünsche gestritten hat, ist sie einfach nicht mehr zur Arbeit erschienen. Und das Schlimmste ist: Seitdem verschwindet jeden Tag Geld vom Firmenkonto. «Die Aufgabe der Spielerinnen und Spieler ist es nun, sich Zugang zu Annes Computer und zum E-Banking zu verschaffen, um die Zahlungen zu stoppen», erläutert Löffler. «Und sie müssen Anne finden. Dafür haben sie vierzig Minuten Zeit.»
Perspektivwechsel
Diese Aufgaben stellen die Spielenden vor ungewohnte Herausforderungen: Was sind häufig benutzte Passwörter? Finden sich an Annes Arbeitsplatz Hinweise, mit denen man die Login-Daten erraten kann? Und wie könnte man herausfinden, wo Anne nun ist? Die Spieler*innen befinden sich plötzlich in der Rolle eines «Hackers», der sich möglichst schnell Zugang zum System verschaffen möchte. Nachdem sie das Spiel mehr oder weniger erfolgreich gemeistert haben, besprechen die Teilnehmenden, welche Fehler von Anne es ihnen ermöglicht haben, in das Firmennetzwerk einzudringen. Dazu gehört zum Beispiel ein verstecktes Passwort, um nur einen zu nennen. Mehr verrät Löffler, der das Spiel programmiert hat, nicht, sagt aber: «Bei Annes Fehlern kann sich jeder an die eigene Nase fassen, das macht den Lerneffekt nachhaltig.»
Das «Privacy Paradox»
Die Sicherheit im Netz ist ein Thema, das jeder theoretisch kennt. Trotzdem nehmen es viele nicht ernst. Dieses als «Privacy Paradox» bekannte Phänomen ist der Grund für viele unabsichtlich geteilte oder gar geraubte Privatdaten in sozialen Medien oder im E-Mail-Verkehr. Doch was im Privaten ärgerlich ist, kann bei kleinen und mittelständischen Unternehmen, den KMUs, die Existenz bedrohen. Ohne eine spezialisierte IT-Abteilung sind sie in Digitalisierungsfragen oft auf die Expertise ihrer administrativen Mitarbeitenden angewiesen. Da immer mehr netzwerkfähige Endgeräte nicht nur in der Verwaltung, sondern vermehrt auch in der Produktion eingesetzt werden, können solche Datenlecks ein grosses Risiko darstellen.
Weiterbildung einmal anders
Ihren digitalen Escape Room haben die FHNW-Forschenden für einen Kurs zu Cybersicherheit konzipiert, der beispielsweise von KMUs absolviert werden kann. Üblicherweise stehen in solchen Kursen mit technischen Details gespickte Folien im Vordergrund. Beim digitalen Escape Room nähern sich die Teilnehmenden dem Thema Cybersicherheit hingegen auf spielerische Weise – und spüren gleich den Zeitdruck, der im Falle einer Cyberattacke auch im realen Leben herrscht. «Wir geben Starthilfe in dieses komplizierte Thema», sagt Löffler. «Die praktische Bearbeitung des Themas und ein gemeinsames Auswertungsgespräch sorgen am Ende dafür, dass das Gelernte auch in Erinnerung bleibt.»
Durch die digitale Gestaltung des Kurses in Form einer Videokonferenz ist die Organisation einfach und die Teilnehmer*innenzahl offen. Schneider erklärt: «In einer Videokonferenz können wir die Bearbeitung der Aufgaben auf beliebig viele Kleingruppen verteilen. Das wäre in einem physischen Escape Room schwieriger.» Entscheidend für den Erfolg im Spiel ist nicht so sehr das technische Vorwissen, sondern eher die Zusammenarbeit im Team. Die bisherige Erfahrung zeigt: Je mehr die Teilnehmenden miteinander diskutieren und versuchen, die Aufgaben gemeinsam zu lösen, desto schneller sind sie am Ziel. So schweisst der Cybersicherheits-Kurs ganz nebenbei auch noch das Team zusammen.
Freiwillige Testpersonen gesucht
Für die Entwicklung des Kurses ist die FHNW mit ihrer interdisziplinären Aufstellung das ideale Umfeld: «Die Grafiken und Videos für den Kurs haben wir zusammen mit Mitarbeitenden der Pädagogischen Hochschule FHNW entwickelt», freut sich Schneider. So ist es dem Forschungsteam nach einer Anschubfinanzierung durch das FHNW Projekt Hochschullehre 2025 auch gelungen, Projektgelder der EU im Rahmen von Horizon 2020 zu gewinnen: In dem EU Projekt GEIGER ist der Escape Room nun Teil eines grösseren Konzeptes. KMUs können sich hier anmelden, um mehr über die Cybersicherheit ihrer Geräte zu erfahren. Wenn sich in der eigens für diesen Test entwickelten App ein Zeiger im roten Bereich befindet, bekommen sie technische Hilfsmittel zum Schutz ihrer Daten sowie Schulungen wie den Escape Room angeboten. Schneider sagt: «Das GEIGER-Projekt ist schon in drei Pilotländern angelaufen, der Schweiz, den Niederlanden und Rumänien. Interessierte KMUs sind herzlich eingeladen, sich am Projekt zu beteiligen und ihre Infrastruktur mithilfe der GEIGER-App auf mögliche Schwachstellen der Cybersicherheit zu testen.»