Wenn Unternehmen an die Erhöhung der OT-Sicherheit denken, dann ist ein möglicher Ansatz der Einsatz von Normen wie etwa der IEC 62443 oder dem IT-Grundschutzkompendium. Die kontinuierliche Erfüllung und Überprüfung der Anforderungen sind für die Sicherheit eine wichtige Voraussetzung. Das Sicherheitsbewusstseins der Mitarbeiter zu erhöhen ist dabei immer ein wichtiger Bestandteil einer solchen holistischen Sicherheitsstrategie. Dies kann etwa durch Spielelemente geschehen.
Spielerisch lernen
Das primäre Ziel von Schulungen ist die Wissensvermittlung. Die Grundbedingung dafür sind interessierte und motivierte Teilnehmer. Darauf hat wiederum die Art und Weise Einfluss, wie die Inhalte verpackt werden. Durch einen Gamification-Ansatz, also dem Anreichern des Lernstoffes mit spielerischen Elemente, können sogenannte Serious Games entstehen. Durch Elemente wie etwa gesammelte Punkte, dem Einnehmen von Spielrollen oder interaktiven Szenarien setzen sich Teilnehmer bewusster mit dem Lerninhalt auseinander. Beliebte Medien sind Kartenspiele, Brettspiele und auch Videospiele. Ein solches Spiel kann auch als Teambuilding-Event dienen, etwa wenn die Spieler gemeinsam ein Problem lösen müssen. Ein Anwendungsfall von Serious Games ist etwa die Simulation von Szenarien, die – würden sie unter realen Bedingungen stattfinden – sehr teuer oder zeitintensiv wären. Ein Beispiel ist die Pilotenausbildung: In Flugsimulationen machen sich Piloten interaktiv mit Flugzeugen und potenziellen Problemen vertraut.
Eine etablierte Methode
Ein weiteres bekanntestes Beispiel für Managementschulungen ist das Beer Distribution Game. Es soll die Entstehung von Lieferengpässen aufzeigen. Aber auch in Bereichen wie dem Threat Modelling gibt es Serious Games. So hat der Threatmodeling-Experte Adam Shostack das Kartenspiel ‚Elevation of Privilege‘ entwickelt. Darin können Teilnehmer Punkte sammeln, indem sie Bedrohungen in Softwaresystemen erkennen. Dafür spielen die Teilnehmer Karten aus, die eine typische Bedrohung darstellen, wie etwa die Nutzung von Standardpasswörtern oder der Einsatz von fremden USB-Sticks. Ist die Bedrohung für das System relevant und existieren keine Schutzmechanismen, erhalten die Teilnehmer einen Punkt. Im Anschluss müssen die Bedrohungen behoben werden, beispielsweise indem Tickets erstellt und zugewiesen werden. Das Primärziel ist somit in diesem Fall nicht primär das Sammeln von möglichst vielen Punkten, sondern das Erkennen und anschließende Beheben von Schwachstellen.
Awareness schaffen
In Industrieumgebungen müssen insbesondere heutige Anlagen, gespickt mit Sensoren und IT-Schnittstellen, gegenüber Cyber-Bedrohungen abgesichert werden. Gerade für Angriffe über unscheinbare Angriffsvektoren ist das Sicherheitsbewusstsein der Mitarbeiter eine der wichtigsten Eintrittsbarrieren für Angreifer. Serious Games können dabei helfen, Mitarbeiter auf diese Szenarien und Bedrohungen aufmerksam zu machen. Auch die Diskussion der eingesetzten Schutzmechanismen ist ein Teil des Spiels. Dazu werden verschiedene Fragen der IT-/OT-Security gestellt. Die Karten lenken das Augenmerk der Spieler auf häufig vorkommende Probleme und verhindern gleichzeitig, dass weniger bekannte Bedrohungen außen vor bleiben. Die Erhöhung der Sicherheit von Systemen steht am Ende als Ziel im Vordergrund.