Backdoors & Breaches – Vorfalltraining am Kartentisch
Backdoors & Breaches (B&B) überträgt klassische Tabletop-Incident-Response-Übungen in ein kompaktes Kartenspiel, das ohne Laptops, Simulatoren oder aufwendige Infrastruktur auskommt. Entwickelt wurde das Set von Black Hills Information Security (BHIS) in Kooperation mit Active Countermeasures – zwei Anbietern, die selbst täglich mit echten Sicherheitsvorfällen arbeiten. Ihr Ziel war, die oft trockene Methodik einer Vorfallanalyse in ein Format zu gießen, das Teams sofort in den Bann zieht, aber dennoch den vollständigen Lebenszyklus eines Angriffs abbildet.
Aufbau des Spiels
Das Deck besteht aus 52 Karten, aufgeteilt in vier Angriffsphasen und eine Vielzahl von Ermittlungs- und Maßnahmenkarten. Zu Beginn wählt die Spielleitung – eine Coach oder Ausbilderin – je eine Angriffskarte pro Phase:
- Initial Compromise
- Pivot & Escalate
- Persistence
- C2 & Exfiltration
Vier Karten genügen, um einen vollständigen – und oft erschreckend realistischen – Angriffspfad zu definieren. Schon hier zeigt sich die Variabilität: Je nach Kombination entstehen hunderte möglicher Szenarien, vom einfachen Phishing-Einbruch bis zum verschachtelten APT-Befall.
Das Verteidiger-Team (Blue Team) erhält Ermittlungs- und Reaktionskarten wie „Firewall-Logs prüfen“, „Memory Dump ziehen“ oder „E-Mail-Header analysieren“. In jeder Runde wählt die Gruppe genau eine Karte, diskutiert, wie sie anzuwenden ist, und würfelt anschließend mit einem zwanzigseitigen Würfel (W20) auf Erfolg. Bei einem Treffer deckt die Spielleitung die nächste Angriffskarte auf; klappt der Wurf nicht, rückt ein Marker auf einer Zeitleisten-Matte nach vorn. Diese Leiste symbolisiert das Fortschreiten der Attacke – wer zu viele Fehlversuche sammelt, muss zusehen, wie Daten abfließen oder Systeme ausfallen, bevor die Ursache identifiziert wurde.
Die Mechanik bildet erstaunlich präzise ab, was in realen Incidents passiert: Jeder Schritt kostet Zeit, Informationen sind lückenhaft, priorisieren ist schwer. Und genauso wie in echten Einsätzen entscheidet Kommunikation – nicht Würfelglück allein. Dass das Team nur eine Maßnahme pro Runde spielen darf, zwingt zur Konzentration auf jene Aktionen, die den größten Erkenntnisgewinn versprechen.
Lernziele und Mehrwert
- Phasenverständnis vertiefen – Die vier Angriffskarten machen transparent, welche Taktik wann zum Einsatz kommt.
- Analyse- und Reaktionsfähigkeiten schärfen – Die Diskussionsrunde vor jedem Würfelwurf spiegelt den Bedarf an Hypothesenbildung und Datensichtung.
- Teamkommunikation üben – Unter Zeitdruck müssen Aufgaben verteilt, Ergebnisse zusammengelegt und Prioritäten rasch neu bewertet werden.
- Gerade dieser soziale Aspekt kommt in reinen Folien-Trainings oft zu kurz; hier steht er im Mittelpunkt.
Flexibilität in Schulung und Alltag
B&B funktioniert mit zwei bis sechs Personen ideal, lässt sich aber für größere Gruppen anpassen: Entweder rotieren Teams nacheinander durch das gleiche Szenario oder agieren parallel in mehreren „Tischen“. Ein Durchlauf dauert rund 60 bis 90 Minuten, inklusive Debriefing, in dem die Spielleitung den Angriffspfad offenlegt, Heuristiken erklärt oder alternative Maßnahmen diskutiert.
Das Basisset kann durch optionale Zusatzdecks erweitert werden – etwa für Cloud-Szenarien oder industrielle Steuersysteme (ICS/OT) – und unterstützt sowohl kooperative als auch, bei Bedarf, kompetitive Modi. Außerdem existiert eine digitale Version, sodass verteilte SOC-Teams auch remote üben können.