News -
Lernszenarien im produzierenden Gewerbe – Ergebnisse des Teilprojekts der TH Wildau im Vorhaben „Mittelstand 4.0 - Kompetenzzentrum Stuttgart“
Im Projekt „Mittelstand 4.0 - Kompetenzzentrum Stuttgart“, das vom Bundesministerium für Wirtschaft und Energie (BMWi) gefördert wird, ist eines der Themenfelder die IT-Sicherheit. Im Rahmen eines kürzlich abgeschlossenen Teilprojekts der Forschungsgruppe Verwaltungsinformatik und digitale Medien/Informationssicherheit an der TH Wildau, die seit Jahren intensiv zu „IT-Sicherheit und Awareness“ forscht, wurden zwei Lernszenarien entwickelt und erprobt, die Beschäftigte von kleinen und mittleren Unternehmen (KMU) erlebnisorientiert für das Thema Informationssicherheit sensibilisieren sollen. Zu den Ergebnissen gehören unter anderem die Planspiele „Social Engineering Theater“ und „Security Risk Roulette“.
„Social Engineering Theater“ und „Security Risk Roulette“ stehen für zwei komplexe Lernszenarien, die Beschäftigte kleiner und mittlerer Unternehmen (KMU) spielerisch für das Thema Informationssicherheit aufmerksam machen sollen, denn sensibilisierte Mitarbeitende können die Unternehmen vor großen Verlusten durch Cyberangriffe bewahren. Entwickelt wurden die Planspiele von der Forschungsgruppe „Verwaltungsinformatik und digitale Medien/Informationssicherheit“ der Technischen Hochschule Wildau (TH Wildau), die von Prof. Dr. Margit Scholl geleitet wird.
IT-Sicherheit für KMU
Das Team um Prof. Scholl arbeitete dazu im Rahmen des Teilprojekts „Entwicklung von spielebasierten Lernszenarien zu Social Engineering und Security Risk Management im produzierenden Gewerbe“ mit, welches im Auftrag des FZI Forschungszentrum Informatik im Themenfeld IT-Sicherheit des Vorhabens „Mittelstand 4.0 - Kompetenzzentrum Stuttgart“ realisiert wird. Ziel des kürzlich abgeschlossenen Teilvorhabens war neben der Entwicklung der analogen und zum Teil auch digital unterstützten Szenarien, die Erprobung dieser mit der bundesweiten „Arbeitsgruppe IT-Sicherheit“ sowie weiteren Kooperationsunternehmen. Die entwickelten Materialien und Anleitungen stehen zukünftig dem FZI Forschungszentrum Informatik und dem „Mittelstand 4.0 - Kompetenzzentrum Stuttgart“ im Digitalisierungszentrum Stuttgart (DIZ) für eigene Veranstaltungen zur Verfügung. Die Dokumentation steht auf der Projektwebseite https://diz.wildau.biz/ zum Download bereit.
Was verbirgt sich hinter den spielbasierten Lernszenarien?
„Social Engineering Theater“
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) versteht Social Engineering als Methode, welche menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausnutzt, um unberechtigten Zugang zu Informationen oder IT-Systemen zu erlangen. *
Die Social Engineers nutzen ein großes Repertoire psychologischer Möglichkeiten, um Menschen zu manipulieren und an wertvolle Informationen der Unternehmen zu gelangen. Daher wurde für das „Social Engineering Theater“ der Ansatz genutzt, das Thema aus unterschiedlichen Perspektiven zu betrachten, um die Aufmerksamkeit der Beschäftigten für Informationssicherheit zu erhöhen. Der erste Akt "Sketch" ist als Rollenspiel konzipiert, das durch eine Diskussionsrunde anhand von Kartenzuordnung ergänzt wird. Der zweite Akt "Regie" ist ein digitales Videoquiz, bei dem die Teilnehmenden mit ihren Entscheidungen den Verlauf der Story beeinflussen. Anschließend versetzen sich die Teilnehmenden im dritten Akt "Backstage" in die Rolle eines Social Engineers. Anhand einer Zeitungsmeldung müssen sie die Schritte der Angreifenden nach dem Schema eines Sequenzdiagramms rekonstruieren.
„Security Risk Roulette“
Das Szenario „Security Risk Roulette“ soll das Management von KMU für die Bedrohungen, Schwachstellen und konkreten Gefährdungen hinsichtlich Informationssicherheit sensibilisieren. Dazu müssen die Führungskräfte die konkrete Situation und die Risiken einschätzen, d.h., Risikomanagement ist von zentraler Bedeutung und wird in diesem Planspiel trainiert. Es startet mit einer kurzen Erläuterung des Spielmaterials und der Regeln. In der ersten Phase des Spiels stellen sich die Teilnehmenden vor und identifizieren das Ausgangsrisiko. In der zweiten Phase erfolgt die Risikobewertung, bei der die Risikokategorie mit einer 4 × 4-Risikomatrix anhand der Eintrittshäufigkeit und des möglichen Schadens ähnlich zum BSI-Standard 2003 ermittelt wird. In einer dritten Phase müssen sich die Beteiligten für eine Option zur Bewältigung des Risikos entscheiden, wofür in Phase vier geeignete Maßnahmen ausgewählt werden. Ob und inwieweit ein tatsächlicher Vorfall auf Basis eines bestimmten Risikos eintritt, entscheidet sich dann in Phase 5.
Mehr Informationen:
Die Dokumentation (Serious Games für KMU im produzierenden Gewerbe: Social Engineering und Security Risk Management, ISBN 978-3-9819225-2-3) sowie eine Moderationsanleitung zu den beiden erlebnisorientierten Lernszenarien (ISBN 978-3-9819225-3-0) und weitere Ergebnisse sind auf der Projektwebseite des Teilvorhabens unter Öffentlichkeitsarbeit zu finden: https://diz.wildau.biz/. Auf der Seite finden sich zudem Verweise auf weitere Projekte der Forschungsgruppe.
Die digitale Ergänzung zum Vorhaben Social Engineering findet sich unter: https://diz.wildau.biz/set/regie/index.html
Mehr Informationen zum FZI Forschungszentrum Informatik: https://www.fzi.de
Hintergrund Mittelstand 4.0-Kompetenzzentrum Stuttgart
Das Mittelstand 4.0-Kompetenzzentrum Stuttgart gehört zu Mittelstand-Digital. Mittelstand-Digital informiert kleine und mittlere Unternehmen über die Chancen und Herausforderungen der Digitalisierung. Die geförderten Kompetenzzentren helfen mit Expertenwissen, Demonstrationszentren, Best-Practice-Beispielen sowie Netzwerken, die dem Erfahrungsaustausch dienen. Das Bundesministerium für Wirtschaft und Energie ermöglicht die kostenfreie Nutzung aller Angebote von Mittelstand-Digital. Weitere Informationen unter www.mittelstand-digital.de.
Fachliche Ansprechpersonen:
Prof. Dr. Margit Scholl
Leiterin
Forschungsgruppe Verwaltungsinformatik und
digitale Medien/Informationssicherheit
TH Wildau
Hochschulring 1, 15745 Wildau
Tel. +49 3375 508-917
E-Mail: margit.scholl@th-wildau.de
Web: https://www.th-wildau.de/margit-scholl/
Stefanie Gube
TH Wildau
Hochschulring 1, 15745 Wildau
Operative Leitung des Teilvorhabens
Tel. +49 3375 508-239
E-Mail: gube@th-wildau.de
Ansprechpersonen Externe Kommunikation TH Wildau:
Mike Lange / Mareike Rammelt
TH Wildau
Hochschulring 1, 15745 Wildau
Tel. +49 (0)3375 508 211 / -669
E-Mail: presse@th-wildau.de
*Quelle: BSI (Hrsg.). (2020). IT-Grundschutz-Kompendium. Köln, Bonn: Reguvis Bundesanzeiger Verlag, Bundesanzeiger Verlag. Abgerufen am 30. April 2020 von IT-Grundschutz-Kompendium, S. 42
Text: Mike Lange / Stefanie Gube
Foto/Grafik Stefanie Gube