What the Hack!

Phase 1: Knowledge Harvest. In einem rasanten Quiz- und Mini-Game-Mix beantworten die Spielenden Fragen zu Phishing, Social Engineering, Passworthygiene, Netzwerksicherheit oder aktuellen Meldungen wie Supply-Chain-Angriffen. Für jede richtige Antwort erhalten sie Tokens und Sammelkarten, die später als Firewall-Upgrade, MFA-Rollout oder Incident-Playbook eingesetzt werden. Die Fragen rotieren per Zufallslogik aus einem stetig wachsenden In-Game-Pool, der über GenAI automatisch mit neuen Bedrohungsszenarien angereichert wird. So bleibt der Content auch Monate nach dem Roll-out aktuell, ohne dass Admins manuell nachpflegen müssen.

Phase 2: Defense in Depth. Das erworbene Budget wandert nahtlos in die Verteidigungsrunde. Auf einem stilisierten Netzwerk-Plan rücken Hacker-Avatare – KI-gesteuert oder von einer echten Red-Team-Gegenmannschaft – Zug um Zug auf sensible Assets wie ERP-Server oder Produktionssteuerung vor. Mit Tokens platzieren die Teams Schutzkarten (Netzsegmentierung, Zero-Trust-Architektur, Awareness-Kampagne), initiieren forensische Sofortmaßnahmen oder starten eine Krisenkommunikation. Jede Entscheidung kostet Ressourcen; wer zu früh alle Karten ausspielt, hat später wenig Puffer für Eskalationen. So lernen die Spielenden, Budgets zu priorisieren und Risiken dynamisch abzuwägen.

Phase 3: Chase the Hacker. Im Finale versuchen die Teams, den Angreifer zu identifizieren, bevor dieser Daten exfiltriert. Eine abstrahierte Netz­topografie dient als Spielfeld, auf dem Log-Files, Anomalien und OSINT-Hinweise zusammengesetzt werden. Wer Tempo machen will, setzt viele Tokens pro Zug ein – riskiert aber, dass die KI mit Zero-Day-Exploits kontert. Gelingt die Festnahme, endet das Spiel mit Jubel; scheitert das Team, präsentiert die App unmittelbare Auswirkungen wie Umsatzverlust oder Reputationsschäden.

Automatisches Debriefing. Direkt anschließend generiert die App Statistiken zu Antwortquoten, Reaktionszeiten, eingesetzten Gegenmaßnahmen und einem „Security-Reifeindex“. Die Daten lassen sich DSGVO-konform als CSV / PDF exportieren und in LMS-, SIEM- oder GRC-Systeme integrieren. Ein Moderator-Leitfaden liefert Diskussionsfragen und Transferaufgaben, damit das Erlebte in konkrete Arbeitsroutinen überführt wird.

Custom Content & GenAI-Editor. Über ein Web-Backend können Administrator*innen firmenspezifische Phishing-Templates, Richtliniendokumente oder Notfallpläne hochladen. Die integrierte GenAI schlägt passende Distraktoren vor, generiert plausible Angriffspfade und skaliert die Schwierigkeitsstufe automatisch. So entsteht in kürzester Zeit ein maßgeschneidertes Szenario – ideal für Branchen mit spezialisierten Compliance-Anforderungen.

Hybrides Setup. Für Präsenzworkshops liefert SBG ein haptisches Brettspiel-Kit mit Spielfiguren, Kartendecks und faltbarem Netzplan; die App übernimmt Regie und Datenhaltung. Remote-Teams nutzen die Browser- oder Mobile-Version, inklusive Videokonferenz-Integration und synchronisiertem Spielbrett. Dadurch eignet sich das Spiel gleichermaßen als Ice-Breaker in Kick-off-Events, als Herzstück von Awareness-Days oder als Onboarding-Modul für neue Mitarbeitende.

Lizenz & Services. Ein transparentes SaaS-Modell mit monatlich kündbaren Staffeln macht die Kosten planbar. Optional buchbar sind White-Label-Pakete für Corporate Design, Spielleitungs-Workshops sowie ein Analytics-Dashboard, das Kennzahlen bis auf Teamebene herunter­bricht. Alle Server stehen laut Anbieter in EU-Rechenzentren; Audit-Reports und DPA-Unterlagen werden auf Anfrage bereitgestellt.