PenQuest: Ein Cyber-Abwehr Spiel für Ausbildung und Risikobewertung IT-Security Gamification

An der Fachschule St. Pölten wurde zur Unterstützung der  Ausbildung aktueller und vor allem angehender Sicherheitsexpert/innen gemeinsam mit der Universität Wien das Lehrspiel PenQuest entwickelt.

Logo PenQuest
  Foto FH St. Pölten

Die heutigen IT- und OT-Infrastrukturen sehen sich durch eine Vielzahl von Cyberangriffen bedroht, die von Akteuren mit unterschiedlichen Motiven und Mitteln ausgeführt werden. Die Komplexität dieser gefährdeten Systeme und das ausgefeilte technische Arsenal der Angreiferinnen und Angreifer machen es dabei seitens der Unternehmen immer schwieriger, effektive Abwehrmaßnahmen zu planen und umzusetzen. Die Verbindung zwischen spezifischen Angriffen und wirksamen Abwehrmaßnahmen zu verstehen, ist eine besondere Herausforderung – ebenso wie das Verinnerlichen zugrunde liegender Konzepte der Informationssicherheit.

Um die Ausbildung aktueller und vor allem angehender Sicherheitsexpertinnen und -experten zu unterstützen, wurde an der Fachschule St. Pölten gemeinsam mit der Universität Wien das Lehrspiel PenQuest entwickelt. Bei PenQuest in seiner ersten Version handelt es sich um ein digitales Angriffs- und Verteidigungsspiel für 2 menschliche Kontrahenten, bei dem die eine Seite versucht, eine frei modellierte IT-Infrastruktur zu kompromittieren, während der Verteidiger daran arbeitet, die Bedrohung zu kontern oder den Angriff gar im Keim zu ersticken.

Es können einfache (Ransomware-Befall einer Workstation) wie komplexe Angriffe (Spionage oder Sabotage großer Infrastrukturen) durchgespielt und analysiert werden, ohne sie technisch nachstellen zu müssen. Noch wichtiger ist, dass PenQuest den Lernenden ermöglicht, geeignete Gegenmaßnahmen auf technischer, organisatorischer und menschlicher Ebene abstrahiert zu implementieren und zu sehen, wie diese gegen diverse Hacks helfen können.

Durch das Projekt sollen das Wissen und Verständnis rund um Schwachstellen, Bedrohungen und deren Gegenmaßnahmen in Industrie und Lehre gefestigt und der Lernprozess zugleich unterhaltsamer und einprägsamer gestaltet werden. Gleichzeitig zielt PenQuest darauf ab, ein Höchstmaß an Realismus beizubehalten, damit das Spiel letztendlich auch in der IT-Risikobewertung eingesetzt werden kann.

Dazu übersetzt PenQuest das "MITRE ATT&CK®" Rahmenwerk (siehe: https://attack.mitre.org/)  in Spielregeln und stellt diese Bedrohungen den Sicherheits- und Datenschutzmaßnahmen für Informationssysteme und Organisationen gegenüber, die aus dem NIST SP 800-53 Standard abgeleitet sind. Wichtige Konzepte wie die IT-Schutzziele und "Cyber Kill Chains", welche die Phasen eines Angriffs modellieren, sind ebenfalls Teil des Lehrspiels.

Erste Untersuchungen mit Bachelor-Studierenden aus dem Bereich Industrie zeigen eine deutliche Steigerung beim Lerneffekt im Vergleich zu herkömmlichen Lehrübungen. Mit dem Abschluss der aktuellen Entwicklungsphase sollen auch Szenarien für niedrigere Schulstufen zur Verfügung gestellt werden.

Zurzeit arbeitet das Team darüber hinaus an der Implementierung einer auf Reinforcement Learning basierten künstlichen Intelligenz, die die Verteidigungsmaßnahmen im Spiel selbstständig optimieren und so bei der Risikobehandlung in Unternehmen wie auch im privaten Umfeld helfen soll.

Letzte Aktualisierung: 8. September 2022

Für den Inhalt verantwortlich: FH St. Pölten, Institut für IT-Sicherheitsforschung