Serious Games
Spielerisch Cybersicherheit vermitteln
In einer zunehmend digitalisierten Welt ist Cybersicherheit längst keine rein technische Domäne mehr – sie betrifft alle Mitarbeitenden, quer durch Branchen und Hierarchien. Gleichzeitig wächst der Druck auf Organisationen, eine nachhaltige Sicherheitskultur zu etablieren. Klassische Schulungsformate stoßen hier schnell an Grenzen: Sie erklären, aber sie verändern selten Verhalten. Genau an diesem Punkt setzen Serious Games an.
Diese Lernformate verknüpfen fundierte Didaktik mit spielerischen Mechaniken – vom Escape Room über Karten- und Brettspiele bis hin zu app- oder browserbasierten Simulationen. Die Teilnehmenden übernehmen Rollen, treffen sicherheitsrelevante Entscheidungen unter Zeitdruck und erleben die Folgen ihres Handelns unmittelbar. Dabei werden nicht nur Fakten vermittelt, sondern kognitive, emotionale und soziale Lernprozesse angestoßen. So entsteht ein lebendiges, motivierendes Training, das langfristig wirkt – und sich nahtlos in Awareness-Kampagnen, Onboarding-Prozesse oder Schulungstage integrieren lässt.
Unsere Plattform bietet eine strukturierte Übersicht über Serious Games zur IT-Sicherheit – mit besonderem Fokus auf den deutschsprachigen Raum, aber auch unter Einbezug ausgewählter internationaler Formate, sofern sie für Organisationen hierzulande relevant und einsetzbar sind. Dabei berücksichtigen wir sowohl Spiele öffentlicher Institutionen als auch privatwirtschaftlicher Anbieter. Jede Spielbeschreibung enthält praxisnah aufbereitete Informationen zu Zielgruppen, Lernzielen, Spielinhalten sowie zu Format, Plattform und Spielmechanik. Auch organisatorische Eckdaten wie Gruppengröße, Spieldauer und Moderationsaufwand sind enthalten. Zusätzlich erfassen wir Lizenzmodelle (kostenfrei, SaaS, offen lizenziert etc.), die Möglichkeit zur eigenständigen Nutzung (DIY) und ob das Spiel ein Train-the-Trainer-Konzept unterstützt. Herkunftsland, Einsatzkontext und besondere Merkmale wie mobile Umsetzbarkeit oder Anpassungsoptionen ergänzen das Bild.
Öffentliche Träger, wie etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder die Transferstelle Cybersicherheit, entwickeln ihre Spiele auf Basis aktueller Normen und stellen Materialien oft kostenfrei zur Verfügung. Sie bieten hohe rechtliche Verlässlichkeit, modulare Anpassbarkeit und eine offene Lizenzstruktur, die es Organisationen erlaubt, Spiele selbstständig umzusetzen und weiterzuentwickeln – ideal für kleinere Unternehmen, Bildungsträger oder interne Trainer:innen.
Private Anbieter – darunter EdTech-Start-ups, Sicherheitsdienstleister oder interdisziplinäre Entwicklungsstudios – bringen modernes Design, agiles Storytelling und branchenspezifische Szenarien ein. Ob als SaaS-Lösung, Escape-Truck, hybrides Brettspiel oder Web-Erlebnis: Sie ermöglichen maßgeschneiderte Awareness-Maßnahmen, die sich in unterschiedliche Budgets und Trainingsstrategien integrieren lassen. Viele Formate enthalten Analytics-Dashboards, Custom-Content-Optionen oder White-Label-Funktionen und lassen sich vollständig an CI-Richtlinien und Compliance-Vorgaben anpassen.
Mit dieser Sammlung möchten wir Entscheidungsträger:innen aus IT-Sicherheit, Personalentwicklung, Schulung und Compliance eine verlässliche Entscheidungsgrundlage bieten – für ein wirksames, zielgruppengerechtes Security-Awareness-Training.
Sie haben Fragen zum:
Struktur und Erläuterungen zu den Spieleinträgen
Trainingszirkel: IT-Sicherheit interaktiv erleben: Didaktisch strukturierter Zirkel aus Warm-Up und vier Cybersicherheits-Stationen. Teilnehmende erleben typische Vorfallsituationen praxisnah. Zwei Varianten mit wechselnden Inhalten möglich.
Rollenspiel: Spionage durch Social Engineering mit dem Versuch eines CEO-Fraud:Realitätsnahes Rollenspiel zum Erkennen von Social-Engineering-Angriffen in Unternehmen. Teilnehmende übernehmen Rollen aus dem Arbeitsalltag und erleben live ein CEO-Fraud-Szenario.
PROTECT & HACK:Strategisches Brettspiel zu typischen Cyberangriffen und Schutzmaßnahmen. Teilnehmende übernehmen Rollen als Angreifende und Verteidigende. Ziel: Risiken erkennen, Maßnahmen abwägen.
Kartenspiel Tutorium.Interaktives Lernspiel zur Vorfallbearbeitung gemäß CSN-Leitfaden. Spielende begleiten IT-Störungen und Sicherheitsvorfälle durch Gesprächs- und Quizkarten in realistischen Szenarien.
Escape Games des Cyber-Sicherheitsnetzwerks BAKSecure Lernspiele – Security Cards & Threat Attack: Zwei spielerische Formate – Kartendeck und Webspiel – speziell für kleine und mittlere Unternehmen, auch im KRITIS-Bereich. Fokus: IT-Risiken erkennen und begründet priorisieren.
Cyber Escape Room – PwC: Virtuelles Hacking-Erlebnis mit Storytelling und Gamification. Teams übernehmen die Rolle von Angreifenden und lernen typische Schwachstellen kennen.
Cyber Security Awareness Escape Room – Oneconsult AG: Mobiler Escape Room für Unternehmen: Phishing, schwache Passwörter und Social Engineering werden in interaktiven Rätseln mit realem Bezug vermittelt. The Honeypot – Mobiler Escape Room für Informationssicherheit: Mobiler Escape Room im Truckformat: Mitarbeitende erleben typische Sicherheitsrisiken realitätsnah und reflektieren anschließend ihr Verhalten gemeinsam mit Fachleuten. ALSO Cybersecurity Escape Room: Mobiler Escape Room mit Einstiegsszenario für Cybersicherheit. Simulation typischer Angriffspfade (Social Engineering, schwache Passwörter) mit anschließender Reflexion – ideal für Awareness-Wochen und Messen. Cyber Security Escape Room Online: Modulare Escape-Szenarien zu typischen Sicherheitsvorfällen wie Phishing oder Ransomware. Teilnehmende lösen unter Zeitdruck kooperativ Aufgaben und erleben Vorfallreaktion als Gruppendynamik.
The Weakest Link: A User Security Game Simuliertes Arbeitsmonat-Spiel mit 30 Entscheidungsszenen zu sicherheitsrelevantem Verhalten. Vermittelt alltägliche Risiken durch interaktive Entscheidungen mit direktem Feedback Backdoors & Breaches – Incident Response Card Game: Kartenspiel zur Simulation von Cyberangriffen und Incident Response. Teams spielen den gesamten Ablauf eines Sicherheitsvorfalls nach – von Erstzugriff bis Datenexfiltration. What the Hack! Dynamisches Drei-Phasen-Spiel (Quiz, Verteidigung, Angreiferjagd) mit hybrider Nutzung (Brettspiel oder Online). Vermittelt Sicherheitskompetenz durch Gamification, KI-gesteuerte Gegner und Realtime-Debriefing. Data & Disasters: Realitätsnahe Simulation eines Cybervorfalls in zwei Varianten: Fokus-Rollenspiel für Spezialisten und Gruppenübung für Awareness. Dynamisch anpassbar durch flexible Szenarien.
Rollenspiel: Spionage durch Social Engineering mit dem Versuch eines CEO-Fraud:Realitätsnahes Rollenspiel zum Erkennen von Social-Engineering-Angriffen in Unternehmen. Teilnehmende übernehmen Rollen aus dem Arbeitsalltag und erleben live ein CEO-Fraud-Szenario.
PROTECT & HACK:Strategisches Brettspiel zu typischen Cyberangriffen und Schutzmaßnahmen. Teilnehmende übernehmen Rollen als Angreifende und Verteidigende. Ziel: Risiken erkennen, Maßnahmen abwägen.
Kartenspiel Tutorium.Interaktives Lernspiel zur Vorfallbearbeitung gemäß CSN-Leitfaden. Spielende begleiten IT-Störungen und Sicherheitsvorfälle durch Gesprächs- und Quizkarten in realistischen Szenarien.
Escape Games des Cyber-Sicherheitsnetzwerks BAKSecure Lernspiele – Security Cards & Threat Attack: Zwei spielerische Formate – Kartendeck und Webspiel – speziell für kleine und mittlere Unternehmen, auch im KRITIS-Bereich. Fokus: IT-Risiken erkennen und begründet priorisieren.
Cyber Escape Room – PwC: Virtuelles Hacking-Erlebnis mit Storytelling und Gamification. Teams übernehmen die Rolle von Angreifenden und lernen typische Schwachstellen kennen.
Cyber Security Awareness Escape Room – Oneconsult AG: Mobiler Escape Room für Unternehmen: Phishing, schwache Passwörter und Social Engineering werden in interaktiven Rätseln mit realem Bezug vermittelt. The Honeypot – Mobiler Escape Room für Informationssicherheit: Mobiler Escape Room im Truckformat: Mitarbeitende erleben typische Sicherheitsrisiken realitätsnah und reflektieren anschließend ihr Verhalten gemeinsam mit Fachleuten. ALSO Cybersecurity Escape Room: Mobiler Escape Room mit Einstiegsszenario für Cybersicherheit. Simulation typischer Angriffspfade (Social Engineering, schwache Passwörter) mit anschließender Reflexion – ideal für Awareness-Wochen und Messen. Cyber Security Escape Room Online: Modulare Escape-Szenarien zu typischen Sicherheitsvorfällen wie Phishing oder Ransomware. Teilnehmende lösen unter Zeitdruck kooperativ Aufgaben und erleben Vorfallreaktion als Gruppendynamik.
The Weakest Link: A User Security Game Simuliertes Arbeitsmonat-Spiel mit 30 Entscheidungsszenen zu sicherheitsrelevantem Verhalten. Vermittelt alltägliche Risiken durch interaktive Entscheidungen mit direktem Feedback Backdoors & Breaches – Incident Response Card Game: Kartenspiel zur Simulation von Cyberangriffen und Incident Response. Teams spielen den gesamten Ablauf eines Sicherheitsvorfalls nach – von Erstzugriff bis Datenexfiltration. What the Hack! Dynamisches Drei-Phasen-Spiel (Quiz, Verteidigung, Angreiferjagd) mit hybrider Nutzung (Brettspiel oder Online). Vermittelt Sicherheitskompetenz durch Gamification, KI-gesteuerte Gegner und Realtime-Debriefing. Data & Disasters: Realitätsnahe Simulation eines Cybervorfalls in zwei Varianten: Fokus-Rollenspiel für Spezialisten und Gruppenübung für Awareness. Dynamisch anpassbar durch flexible Szenarien.
| Titel | Anbieter | Herkunftsland | Kurzbeschreibung | Kategorie | Plattform | Zielgruppe | Spielerzahl | Spieldauer | Eignung für große Gruppenformate | Technikbedarf | Lernziele | Besonderheiten | Moderation notwendig | Train-the-Trainer möglich | Eigenumsetzung möglich |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Trainingszirkel: IT-Sicherheit interaktiv erleben | Bundesamt für Sicherheit in der Informationstechnik (BSI) | DE | Didaktisch strukturierter Zirkel aus Warm-Up und vier Cybersicherheits-Stationen. Teilnehmende erleben typische Vorfallsituationen praxisnah. Zwei Varianten mit wechselnden Inhalten möglich. | Simulation, Rollenspiel | Präsenz | Fachfremde, IT-Anwendende, Trainer | 4–20 | 240 Minuten | Ja | ohne Technik, Tische, Raum | Ganzheitliches Erleben zentraler Cybersicherheitsthemen. Vorbereitung auf Vorfälle, Förderung der Zusammenarbeit. | Modular einsetzbar. Gamification-Elemente (Punktewertung). Materialien frei verfügbar. Ideal für Inhouse-Trainings und Events. | Ja | Ja | Ja |
| Rollenspiel: Spionage durch Social Engineering mit dem Versuch eines CEO-Fraud | Bundesamt für Sicherheit in der Informationstechnik (BSI) | DE | Realitätsnahes Rollenspiel zum Erkennen von Social-Engineering-Angriffen in Unternehmen. Teilnehmende übernehmen Rollen aus dem Arbeitsalltag und erleben live ein CEO-Fraud-Szenario. | Rollenspiel | Präsenz | Fachfremde, Führungskräfte | 5–8 | 30–60 Minuten | Ja | Raum, Beamer | Erkennen und Einordnen von Social Engineering, CEO-Fraud und Profiling. Reflexion psychologischer Angriffstechniken. | Hoher Realismusgrad, starker Emotionaldruck. Materialien frei verfügbar. Ideal für Workshops mit Reflexion. | Ja | Ja | Ja |
| PROTECT & HACK | Bundesamt für Sicherheit in der Informationstechnik (BSI) | DE | Strategisches Brettspiel zu typischen Cyberangriffen und Schutzmaßnahmen. Teilnehmende übernehmen Rollen als Angreifende und Verteidigende. Ziel: Risiken erkennen, Maßnahmen abwägen. | Brettspiel | Präsenz | Fachfremde, IT-Anwendende, Trainer | 2–6 | 60–90 Minuten | Ja | Spielmaterial | Verständnis für Cyberbedrohungen und Reaktionen. Förderung von Awareness durch Rollenwechsel zwischen Angriff und Verteidigung. | Print-&-Play-Spiel. Ohne IT-Kenntnisse spielbar. Einsetzbar bei Messen, in Workshops oder zur Vertiefung von Schulungsthemen. | Nein | Ja | Ja |
| Kartenspiel Tutorium | Bundesamt für Sicherheit in der Informationstechnik (BSI) | DE | Interaktives Lernspiel zur Vorfallbearbeitung gemäß CSN-Leitfaden. Spielende begleiten IT-Störungen und Sicherheitsvorfälle durch Gesprächs- und Quizkarten in realistischen Szenarien. | Kartenspiel | Präsenz, Remote | IT-Anwendende, Sicherheitsverantwortliche, Trainer | 2–7 | 60–90 Minuten | Ja | Spielmaterial | Differenzierung von IT-Störung und Sicherheitsvorfall. Einüben praxisnaher Reaktionen. Stärkung der Ersthilfe-Kompetenz in IT-Notlagen. | Kartenbasiert, auftrags- und gesprächsorientiert. Spielfeld modular aufbaubar. Ideal für Training von Digitalen Ersthelfer:innen. Online spielbar. | Ja | Ja | Ja |
| Escape Games des Cyber-Sicherheitsnetzwerks | Bundesamt für Sicherheit in der Informationstechnik (BSI) / Cyber-Sicherheitsnetzwerk (CSN) | DE | Modulare Escape-Szenarien zu typischen Sicherheitsvorfällen wie Phishing oder Ransomware. Teilnehmende lösen unter Zeitdruck kooperativ Aufgaben und erleben Vorfallreaktion als Gruppendynamik. | Escape Room, Rollenspiel | Präsenz | Sicherheitsverantwortliche, IT-Anwendende, Trainer | 4–12 | 60–90 Minuten | Ja | Spielmaterial, Raum | Einübung realistischer IT-Reaktionswege unter Stress. Förderung von Kommunikation, Rollenbewusstsein und Prioritätensetzung. | Vier unabhängig spielbare Module. Kombination aus Escape-Room-Mechanik und Schulungsinhalten. Ideal für Awareness-Workshops und Trainingsreihen. | Ja | Ja | Ja |
| BAKSecure Lernspiele – Security Cards & Threat Attack | Transferstelle Cybersicherheit im Mittelstand (BMWK) | DE | Zwei spielerische Formate – Kartendeck und Webspiel – speziell für kleine und mittlere Unternehmen, auch im KRITIS-Bereich. Fokus: IT-Risiken erkennen und begründet priorisieren. | Kartenspiel, Online-Spiel | Online, Präsenz | Fachfremde, IT-Anwendende | 1–12 | 20–60 Minuten | Ja | Browser | Verständnis typischer Bedrohungsszenarien. Priorisieren von Schutzmaßnahmen unter Ressourcenknappheit. Förderung von Teamkommunikation. | Physisches Kartenspiel und webbasiertes Planspiel. Auch ohne Vorkenntnisse sofort einsetzbar. Beispiele aus KRITIS-Praxis. Kostenlos und anpassbar. | Nein | Nein | Ja |
| Cyber Escape Room - PwC | PwC Deutschland | DE | Virtuelles Hacking-Erlebnis mit Storytelling und Gamification. Teams übernehmen die Rolle von Angreifenden und lernen typische Schwachstellen kennen. | Escape Room | Vor Ort | IT-Anwendende, Sicherheitsverantwortliche, Führungskräfte | 10–20 | 90 Minuten | Ja | Bildschirm, Beamer | Sensibilisierung für reale IT-Sicherheitsrisiken. Vermittlung typischer Angriffsszenarien. Förderung von technischem Verständnis und Reaktionskompetenz. | Keine Vorinstallation. Realistische Szenarien aus Angreiferperspektive. Debriefing durch Cybersicherheitsexperten. Zweisprachig (DE/EN). | Ja | Nein | Nein |
| Cyber Security Awareness Escape Room - Oneconsult AG | Oneconsult AG | CH | Mobiler Escape Room für Unternehmen: Phishing, schwache Passwörter und Social Engineering werden in interaktiven Rätseln mit realem Bezug vermittelt. | Escape Room | Präsenz | Fachfremde, IT-Anwendende | 2–14 | 45–90 Minuten | Ja | Bildschirm, Beamer | Sensibilisierung für Phishing, Vishing, Smishing. Förderung von Problemlösung, Teamarbeit und kritischem Denken unter Zeitdruck. | Zwei Formate (kompakt & erweiterbar). Reale Vorfallbezüge. Mobile Durchführung durch Anbieter. Keine Technikkenntnisse erforderlich. | Ja | Nein | Nein |
| The Honeypot – Mobiler Escape Room für Informationssicherheit | HIDDEN Awareness GmbH | DE | Mobiler Escape Room im Truckformat: Mitarbeitende erleben typische Sicherheitsrisiken realitätsnah und reflektieren anschließend ihr Verhalten gemeinsam mit Fachleuten. | Escape Room | Präsenz | Fachfremde, IT-Anwendende | 4–6 | 30 Minuten | Ja | ohne Technik | Bewusstsein für Phishing, Passwortsicherheit und physische IT-Risiken stärken. Förderung von Teamfähigkeit, Kommunikation und Verhalten unter Stress. | Vollständig mobil. Durchführung durch erfahrene Fachkräfte. Kompaktformat ideal für Events und Awareness-Kampagnen. | Ja | Nein | Nein |
| ALSO Cybersecurity Escape Room | ALSO Schweiz AG | CH | Mobiler Escape Room mit Einstiegsszenario für Cybersicherheit. Simulation typischer Angriffspfade (Social Engineering, schwache Passwörter) mit anschließender Reflexion – ideal für Awareness-Wochen und Messen. | Escape Room | Präsenz | Fachfremde, IT-Anwendende | 2–4 | 30 Minuten | Ja | ohne Technik | Sensibilisierung für gängige Schwachstellen. Förderung von Teamarbeit, Kommunikation und Problemlösung unter Zeitdruck. Ableitung konkreter Schutzmaßnahmen. | Herstellerneutral. Ideal für Awareness-Events oder Messen. Kompaktformat mit moderierter Nachbesprechung. Keine Vorkenntnisse erforderlich. | Ja | Nein | Nein |
| Cyber Security Escape Room Online | Thice Security | NL | Rein webbasiertes Escape-Game, bei dem Spielende typische Angriffspfade wie Phishing, schwache Passwörter oder SQL-Injection nutzen, um ein simuliertes Unternehmensnetz zu kompromittieren. | Escape Room | Online | IT-Anwendende, Fachfremde, Bildungseinrichtungen | 1–10 | 30–60 Minuten | Ja | Browser | Sensibilisierung für gängige Cyberbedrohungen. Verständnis für kombinierte Schwachstellen. Stärkung von Entscheidungsfähigkeit und Problemlösungskompetenz. | Webbasiert, keine Installation nötig. Solo oder im Remote-Team spielbar. Feedback-Report am Ende. Anpassbar an CI. Mehrsprachig verfügbar. | Nein | Ja | Nein |
| The Weakest Link: A User Security Game | IS Decisions | FR | Simuliertes Arbeitsmonat-Spiel mit 30 Entscheidungsszenen zu sicherheitsrelevantem Verhalten. Vermittelt alltägliche Risiken durch interaktive Entscheidungen mit direktem Feedback. | Simulation | Online | Fachfremde, IT-Anwendende, Sicherheitsverantwortliche, Bildungseinrichtungen, Trainer | 1 | 15–30 Minuten | Ja | Browser | Verständnis für Auswirkungen individueller Entscheidungen. Förderung sicherheitsbewussten Verhaltens im Arbeitsalltag. Reflexion typischer Alltagssituationen. | 30 virtuelle Arbeitstage mit realistischen Entscheidungsfragen. Direktes Feedback, kein Fachjargon. Ideal für Onboarding, Unterricht oder Awareness-Kampagnen. | Nein | Ja | Nein |
| Backdoors & Breaches – Incident Response Card Game | Black Hills Information Security (BHIS) & Active Countermeasures | US | Kartenspiel zur Simulation von Cyberangriffen und Incident Response. Teams spielen den gesamten Ablauf eines Sicherheitsvorfalls nach – von Erstzugriff bis Datenexfiltration. | Kartenspiel, Tabletop-Simulation | Präsenz, Remote | Sicherheitsverantwortliche, Trainer, Bildungseinrichtungen | 2–6 | 60–90 Minuten | Nein | Browser | Verständnis für Angriffsphasen und Incident Response. Stärkung analytischer Fähigkeiten, Stressresistenz und Teamkommunikation. | Kombiniert realistische Angriffspfade mit spielerischem Lernen. Modular erweiterbar (z. B. Cloud/ICS). Auch digital verfügbar. | Ja | Ja | Ja |
| What the Hack! | SBG Serious Business Gaming GmbH | DE | Dynamisches Drei-Phasen-Spiel (Quiz, Verteidigung, Angreiferjagd) mit hybrider Nutzung (Brettspiel oder Online). Vermittelt Sicherheitskompetenz durch Gamification, KI-gesteuerte Gegner und Realtime-Debriefing. | Brettspiel, Online-Spiel | Hybrid, Virtuell | Fachfremde, IT-Anwendende, Sicherheitsverantwortliche, Trainer, Bildungseinrichtungen | 1–12 | 30 Minuten | Ja | Browser, Smartphone | Sensibilisierung für aktuelle Bedrohungen, Förderung strategischer Entscheidungsfähigkeit unter Ressourcenknappheit, Schulung von Teamkoordination bei IT-Notfällen. | Hybrides Format mit Brettspiel und App. Integriertes Debriefing, Custom-Content via GenAI. DSGVO-konform. Corporate-Branding möglich. | Ja | Nein | Nein |
| Data & Disasters | Cyberbüro Bothe | DE | Realitäts Sextensible simulation eines Cybervorfalls in zwei Varianten: Fokus-Rollenspiel für Spezialisten und Gruppenübung für Awareness. Dynamisch anpassbar durch flexible Szenarien. | Rollenspiel, Tabletop-Simulation | Präsenz | Fachfremde, IT-Anwendende, Sicherheitsverantwortliche, Führungskräfte, Trainer, Bildungseinrichtungen | 6–10 | 180–240 Minuten | Ja | Beamer, Bildschirm | Stärkung der Entscheidungsfähigkeit unter Zeitdruck, Förderung von Kommunikation und Krisenbewusstsein. Verständnis für Rollen, Eskalationswege und Verantwortung. Reflexion von Stressreaktionen und Teamdynamiken. | Zwei Spielmodi (fokussiert/vereinfachend), modular anpassbar. Lizenzfrei nutzbar oder als moderiertes Format buchbar. Verdeckte Rollen, Teamkonflikte und Dynamik. Wissenschaftlich fundiert. | Ja | Ja | Ja |
Gib uns Feedback:
[email protected]
[email protected]
