Ich weiss nicht ob es euch auch so ging, aber in den letzten Monaten flog das Thema Serious Games vom Projekt CONTAIN immer wieder mal an mir vorbei - ich hatte bis vor kurzem aber nur so vage Vorstellungen davon, was sich dahinter verbirgt.
Die Tage hatte ich dann doch endlich mal die Gelegenheit mir die aktuelle Version „Eine Frage der Sicherheit“ anzusehen und sogar mitzuspielen.
Die Kurzfassung - eine Spielleitung übergibt den Teilnehmenden ein Szenario… in diesem Falle das unser Privathandy, dass wir aber auch beruflich nutzen würden, anzeigt dass es sowohl kompromittiert, verschlüsselt und unbenutzbar geworden ist.
In mehreren Runden werden die Teilnehmenden dann aufgefordert anzugeben welche Schritte sie nun tun würden, welche Maßnahmen sie ergreifen, wen sie wie kontaktieren… bis man am Ende quasi wieder in einen Normalzustand zurückfinden kann - Punkte gibt es dafür dass man vom Spiel vorgedachte Punkte beachtet, aber auch wenn man Punkte beachtet die nicht vorgedacht waren. Wenn es das private Handy ist, so sollte man vielleicht auch erwägen Freunde und Familie zu informieren, oder wie sieht es eigentlich mit Backups von privat genutzten 2FA-Apps, Onlinebanking oder den eingerichteten Emailadressen aus? Wie informiere ich nun eigentlich die IT-Abteilung ohne ein Handy zu haben?
Aktuell tourt Judith Strußenberg, die dem einen oder der anderen noch aus ihrer vorherigen Tätigkeit beim IT-Sicherheitscluster bekannt sein könnte, mit diesem Projekt durch verschiedene Länder, und bietet da Spielrunden an. Wer Interesse daran hat mehr zu erfahren, kann sie ja mal direkt kontaktieren, wie sie mir mitteilte.
Was mir dabei übrigens auch durch den Kopf ging - ich habe ja einen langjährigen Pen & Paper Rollenspielhintergrund, und trage mich jetzt schon eine Weile mit dem Gedanken schwanger dass man die ganzen Erfahrungen mal in ein Konzept für Notfallübungen übertragen könnte.
Wer bisher noch nicht mit Rollenspielen zu tun hatte - es ist im Prinzip nicht unähnlich zu dem Projekt da oben… man bereitet eine Spielsitzung beliebig detailliert vor und lässt Leute dann in die Handlung springen. Oft hat man dafür dann eine Handlung niedergeschrieben… mit Dingen die auf der Handlungsebene passieren… zeitabhängig oder ereignisabhängig… manchmal gibt es vorbereitete Handouts für die Spielenden… Briefe… Emails… Fotos… Karten… in einigen seltenen Fällen kamen vorgefertigte Rollenspielabenteuer auch mit Audiodateien daher… abgefangenen Funkspüchen, Telefonaten oder auch nur atmosphärische Musik oder Soundkulissen.
Irgendwie hätte ich ja schon Lust sowas mal ernsthaft aufzuziehen… mit detailliertem Material, vielleicht ein paar Gastsprechern als Rollen… und dann können Organisationen mal ihr eigenes Notfallmanagement dagegen werfen und gucken wie gut es funktioniert… damit man mal ein wenig wegkommt von der grauen Theorie am Schreibtisch.
Ich hab die letzten Tage auch ein bisschen in Gedanken darauf rumgekaut wie man das geschickterweise aufziehen könnte… und es gibt mehrere Möglichkeiten, aber ich halte den Rollenspielansatz mit einer Spielleitung für die beste Herangehensweise.
Wäre ja praktisch prädestiniert dafür so Szenarien wie „Und jetzt nehmen wir Kontakt mit den Angreifern auf… im DARKNET™“
„Wir kontaktieren externe Hilfe“ - „Naja, hat euer Notfallplan dafür Kontaktdaten? Sonst verliert ihr jetzt 90 Minuten bei der Suche“.
Bei Minute 210 berichtet die Presse über den Vorfall bei euch - es sei denn ihr habt eine entsprechende Richtlinie, die Beschäftigte davon abgehalten hat auf Social Media zu schwätzen" dann passiert das ganze erst bei Minute 400, und so weiter.
Was haben wir denn noch so Ideen, die man da unterbringen könnte?
Also Ideen im Sinne von Material/Vorbereitungen - noch ganz ohne inhaltliche Punkte… für diese würde ich vielleicht dann hier eine geschlossene Gruppe aufmachen, damit Leute nicht schon wissen was auf sie zukommt.
„Welche Mechanismen oder Medien oder Regelungen“ könnte man aufziehen?
Ich würde es auch eher als „Konzept für eine Notfallübung“ verstehen, wo man mal durchexerziert was alles passieren kann, ob man darauf vorbereitet ist, ob die bestehenden Regelungen auch praxisnah umsetzbar sind.
Ich könnte mir da zum Beispiel auch Szenarien vorstellen wie „Es ist Freitag Nachmittag, die NINA WarnApp sagt starke Regenfälle für den Standort voraus, der/die ISB oder die IT-Leitung steht vor der Frage ob man jetzt schon den Notfallplan für Extremwetter ausruft“.
Ich denke, wenn wir uns einmal ein Konzept überlegt haben, sollte es verhältnismäßig wenig Aufwand sein dann auch verschiedene „Abenteuer“ (um im Rollenspielbegriff zu bleiben) zurechtzulegen, die man dann mal durchspielen kann.
Ich könnte mir mich zum Beispiel gut als immer panischer werdenden, lokalen Radiomoderator in Audioaufnahmen vorstellen
Inhaltlich würde mir auch noch so einiges einfallen. Umsetzungstechnisch find ich kann man das mit diesen „dann verliert ihr 90 Minuten“ und „bei Minute 210 passiert X“ schon machen ohne echten Zeitdruck aufzubauen. Zeit ist dann einfach eine Spielressource die man z.B. Durch einen Schieberegler darstellen kann dann haben wir auch schon gleich Material des wir brauchen.
Um im Rollenspiel zu bleiben „Realzeit“ und „Spielzeit“ vergehen ja nicht zwingend identisch.
P.S. Dich als Radiomoderator kann ich mir auch sehr gut vorstellen
Ich würde alles regeltechnische von den „Spielenden“ so gut als möglich fern halten - zwar darauf hinweisen dass „Zeit“ hier ein Faktor ist, der bestimmt was passiert und wie es passiert, aber diese Clock nicht offen darlegen.
Notfallmanagement heißt halt auch den Mut zu haben Entscheidungen zu treffen, auch wenn die Informationslage nicht eindeutig ist. Mal war es die richtige Entscheidung abzuwarten und mehr Informationen einzuholen, mal nicht.
Gibt eine schöne Dr. House Episode, wo er angehenden Ärzten einen seiner alten Fälle zur theoretischen Diagnose und Behandlung präsentiert, und die „Studenten“ entscheiden sich erstmal eine ganze Batterie an Untersuchungen und Tests zu machen, … die so lange dauern würden dass Dr. House ihnen nur sagen kann „Der Patient ist dann leider schon tot“.
Denke dieses Element der unperfekten Informationslage wäre ein wichtiges Element.
Guter Punkt! Also was wieviel Zeit kostet sollten sie vorher sicher nicht wissen. Eine sichtbare „Doomsday Clock“ hingegen ist glaub ich Geschmackssache, gibt ja auch einige Brettspiele die mit der Mechanik arbeiten. Persönlich mag ich das, muss man aber nicht Visuell auf den Tisch stellen, könnte man aber sicherlich schon so einbauen, dass es einen Mehrwert bietet. Auf jeden Fall denke ich ist der Lern- und Erlebniseffekt mit visuellen und haptischen Materialien größer… welche das jetzt genau sind ist aber meiner Meinung nach zweitrangig… Wenn alle von einer Organisation sind könnte man ja Kopien von bestimmten Dingen wie z.B. Notfallmerkblat etc. besorgen und wenn sie dran denken, dass sie sowas haben als Handout rausgeben.