Backdoors & Breaches – Incident Response Card Game

Aufbau des Spiels
Das Deck besteht aus 52 Karten, aufgeteilt in vier Angriffs­phasen und eine Vielzahl von Ermittlungs- und Maßnahmen­karten. Zu Beginn wählt die Spielleitung – eine Coach oder Ausbilderin – je eine Angriffs­karte pro Phase:

• Initial Compromise
• Pivot & Escalate
• Persistence
• C2 & Exfiltration

Vier Karten genügen, um einen vollständigen – und oft erschreckend realistischen – Angriffspfad zu definieren. Schon hier zeigt sich die Variabilität: Je nach Kombination entstehen hunderte möglicher Szenarien, vom einfachen Phishing-Einbruch bis zum verschachtelten APT-Befall. Das Verteidiger-Team (Blue Team) erhält Ermittlungs- und Reaktions­karten wie „Firewall-Logs prüfen“, „Memory Dump ziehen“ oder „E-Mail-Header analysieren“. In jeder Runde wählt die Gruppe genau eine Karte, diskutiert, wie sie anzuwenden ist, und würfelt anschließend mit einem zwanzigseitigen Würfel (W20) auf Erfolg. Bei einem Treffer deckt die Spielleitung die nächste Angriffs­karte auf; klappt der Wurf nicht, rückt ein Marker auf einer Zeit­leisten-Matte nach vorn. Diese Leiste symbolisiert das Fortschreiten der Attacke – wer zu viele Fehlversuche sammelt, muss zusehen, wie Daten abfließen oder Systeme ausfallen, bevor die Ursache identifiziert wurde. Die Mechanik bildet erstaunlich präzise ab, was in realen Incidents passiert: Jeder Schritt kostet Zeit, Informationen sind lückenhaft, priorisieren ist schwer. Und genauso wie in echten Einsätzen entscheidet Kommunikation – nicht Würfelglück allein. Dass das Team nur eine Maßnahme pro Runde spielen darf, zwingt zur Konzentration auf jene Aktionen, die den größten Erkenntnisgewinn versprechen. Lernziele und Mehrwert

• Phasenverständnis vertiefen – Die vier Angriffs­karten machen transparent, welche Taktik wann zum Einsatz kommt.
• Analyse- und Reaktions­fähigkeiten schärfen – Die Diskussions­runde vor jedem Würfelwurf spiegelt den Bedarf an Hypothesenbildung und Daten­sichtung.
• Teamkommunikation üben – Unter Zeitdruck müssen Aufgaben verteilt, Ergebnisse zusammen­gelegt und Prioritäten rasch neu bewertet werden.
• Gerade dieser soziale Aspekt kommt in reinen Folien-Trainings oft zu kurz; hier steht er im Mittelpunkt.

Flexibilität in Schulung und Alltag B&B funktioniert mit zwei bis sechs Personen ideal, lässt sich aber für größere Gruppen anpassen: Entweder rotieren Teams nacheinander durch das gleiche Szenario oder agieren parallel in mehreren „Tischen“. Ein Durchlauf dauert rund 60 bis 90 Minuten, inklusive Debriefing, in dem die Spielleitung den Angriffspfad offenlegt, Heuristiken erklärt oder alternative Maßnahmen diskutiert. Das Basisset kann durch optionale Zusatzdecks erweitert werden – etwa für Cloud-Szenarien oder industrielle Steuer­systeme (ICS/OT) – und unterstützt sowohl kooperative als auch, bei Bedarf, kompetitive Modi. Außerdem existiert eine digitale Version, sodass verteilte SOC-Teams auch remote üben können.