BAKSecure Lernspiele – Security Cards & Threat Attack

Das physische Kartendeck besteht aus Angriffs- und Schutzkarten. Jeder Spielzug beginnt mit einem kleinen Szenario: Ein Pumpwerk meldet eine Störung, ein IoT-Gateway überträgt plötzlich unverschlüsselt Daten oder das Zutritts­system einer Klinik zeigt Fehlverhalten. Die Runde entscheidet nun, welche Schutzkarte passt – etwa „Zwei-Faktor-Authentisierung“, „Segmentiertes Netzwerk“ oder „Notfallübung“. Aber jede Maßnahme hat einen Preis in Budget, Personal oder Zeit. Schnell wird deutlich, dass selbst ein kleines KRITIS-Unternehmen nicht jede Lücke gleichzeitig schließen kann. Das Priorisieren wird so zum eigentlichen Lernmoment: Welche Bedrohung ist heute am gefährlichsten, wo können wir mit wenig Aufwand viel Wirkung erzielen, und welche Risiken müssen wir vielleicht akzeptieren, bis Mittel frei werden? Threat Attack – Web-Planspiel im Browser Wer lieber digital arbeitet oder remote trainiert, startet Threat Attack direkt im Browser – ohne Registrierung, ohne Installation. Das Team klickt sich durch ein interaktives Storyboard, in dem typische KMU-Risiken auftauchen: ein CEO-Fraud-Versuch, ein unsicher konfigurierter Remote-Access-Dienst, Sabotage durch einen verärgerten Mitarbeitenden. Zu jedem Abschnitt zeigt ein Balkendiagramm den aktuellen Bedrohungsstand. Entscheidet sich die Gruppe für eine Gegenmaßnahme, verschiebt sich die Risikobewertung in Echtzeit. So lässt sich innerhalb von 20 bis 60 Minuten durchspielen, wie unterschiedliche Maßnahmen – von Awareness-Schulungen bis hin zu Offline-Backups – wirken und was sie kosten. Warum gerade KMU profitieren

• Zeitökonomie – Beide Spiele passen in eine einstündige Teamsitzung oder sogar in die Kantinenpause.
• Niedrige Einstiegshürde – Weder tiefe IT-Kenntnisse noch Spezialsoftware sind nötig; das Kartendeck funktioniert an jedem Tisch, das Web-Spiel in jedem Browser.
• KRITIS-Bezug – Beispiele stammen aus Energie­versorgung, Gesundheitswesen oder Wasserwirtschaft und spiegeln damit genau jene Prozesse wider, die kleine Betreiber kritischer Infrastrukturen täglich sichern müssen.
• Direkter Praxistransfer – Jede Karte und jede Story-Sequenz verweist auf eine reale Maßnahme oder ein reales Angriffsmuster, sodass der Bezug zum eigenen Betrieb sofort erkennbar ist.

Lernziele im Detail

• Bedrohungen erkennen – Teilnehmende unterscheiden Phishing, Ransomware und interne Sabotage ohne Fachjargon.
• Reaktionsstrategien bewerten – Das Wechselspiel aus Kosten und Nutzen macht klar, warum Priorisierung entscheidend ist.
• Teamkommunikation fördern – Karten und Storyboards erzwingen Diskussion: Wer verteidigt welche Maßnahme, wer trägt sie?
• Risikobewusstsein schärfen – Am Ende steht nicht nur Wissen, sondern ein gemeinsames Verständnis dafür, wo das eigene Unternehmen heute wirklich angreifbar ist.

Die Materialien stehen kostenlos bereit und dürfen an Firmen­prozesse angepasst werden. Damit bieten die BAKSecure Lernspiele gerade kleineren Betrieben einen schnellen, praxisnahen Einstieg, um Cyberrisiken greifbar zu machen – ohne Budgethürden, aber mit hohem Lerneffekt.