Security-Gamification zum Mitmachen – hierfür hat CycleSEC als Ergänzung für Vorträge, Messen und Security-Awareness-Veranstaltungen einen Lockpicking-Stand entwickelt. Am 16. März wurde das Konzept auf der Security Awareness-Konferenz TakeAware 2017 in Neuss vorgestellt.
Gamification als Kommunikationsbeschleuniger
Einen Vortrag über Sicherheit zu hören ist das eine – Sicherheit bzw. Unsicherheit im Wortsinne spielerisch zu „begreifen“ und selbst auszuprobieren, etwas Anderes. Die Anwendung spieltypischer Elemente in einem spielfremden Kontext wird als Gamification bezeichnet und soll vor allem eine Motivationssteigerung bewirken.
Am Lockpicking-Stand geht es darum, sich spielerisch Security-Know-how anzueignen und mit anderen Teilnehmerinnen und Teilnehmern in Wettstreit zu treten: Wer kann zuerst das Vorhängeschloss knacken oder wer zieht im verwundbaren Webshop zuerst die Kundendatenbank ab? Das begeistert schon eher als ein trockener Vortrag zur neuen Security-Policy.“
— Sebastian Klipper, Initiator und CycleSEC CEO
Auf der TakeAware 2017 wurde dem Konzept für den CycleSEC-Lockpicking-Stand zum ersten Mal Leben eingehaucht. Corporate-Security.TV hat von der Konferenz berichtet:
Security „begreifen“
Lockpicking ist das sportlich motivierte Öffnen von Schlössern. Je mehr man über die Schwachstellen eines Schlosses weiß, desto schneller kann man es knacken. Neben den vermittelten Kenntnissen ist der Lockpicking-Stand aber vor allem eins: ein Kommunikationsbeschleuniger zwischen Teilnehmern und den moderierenden Security-Experten. Auf der TakeAware 2017 zeigten der CycleSEC Senior Consultant Christian Dresen und der Bachelorand Tobias Kappert mit welchen Methoden Angreifer Schwachstellen finden und Sicherheitsmaßnahmen überwinden.
„Analog „begreifen“ und auf die digitale Welt übertragen“…
…so lautet das Motto des Lockpicking-Stands. Anhand der Schwachstellen der analogen Welt können die Angriffsmuster in der digitalen Welt erklärt und „begriffen“ werden. Dazu ist der Stand mit mehreren „Stationen“ ausgestattet.
Zunächst werden spezielle Übungsschlösser unter Anleitung mit einem Dietrich geöffnet und die Teilnehmer lernen, wie Implementierungsfehler in den Schlössern Schwachstellen verursachen und die eigentliche Wirkung einer Sicherungsmaßnahme zerstören. Diese Methode wird an den Folgestationen des Lockpicking-Stands in die digitale Welt übertragen. An eigens hierfür konfigurierten Arbeitsplatzstationen können mit Hackertools Implementierungsfehler und Schwachstellen an einem verwundbaren Web-Shop gesucht und ausgenutzt werden. Die Stationen sind dabei so konfiguriert, dass immer nur ein Angriffstool genutzt werden kann – so sind für die Teilnahme keinerlei Vorkenntnisse nötig. Erfahrungen beim Umgang mit Webseiten sind völlig ausreichend, um in die Rolle des Angreifers zu schlüpfen. Der damit verbundene Perspektivwechsel regt dazu an, das eigene Verhalten in einer digitalen Welt zu hinterfragen und sich für wirksame Schutzmaßnahmen zu interessieren.
Setup
Der Lockpicking-Stand ist mit duzenden Übungsschlössern verschiedenster Hersteller und mehreren Arbeitsplatzstationen ausgestattet und wird von den CycleSEC-Experten betreut. Roll-ups erklären das Lockpicking und die anderen Angriffsmuster. Die Roll-ups können bei Bedarf auch im firmeneigenen Design gestaltet werden*. Die Übungsschlösser eignen sich mit einem Aufkleber als spannendes Give-away*.
Der Stand kann aus einer Station bestehen und mit bis zu vier Stationen konfiguriert werden. Die namensgebende Lockpicking-Station ist immer mit dabei. Zur TakeAware wurde sie ergänzt durch eine zweite Station, an der man mit dem Hacker-Tool sqlmap SQL-Injections in einem Web-Shop finden und ausnutzen konnte.
(*Preis für Material und Herstellungskosten jeweils auf Anfrage)
Sie interessieren sich für den Lockpicking Stand und andere Awareness-Tools?
Falls Sie weitere Informationen oder ein unverbindliches Angebot wünschen, können Sie das folgende Kontakt-Formular nutzen:
Kontaktformular
Senden Sie uns vertrauliche Informationen bitte ausschließlich als verschlüsselte E-Mail und nicht mit diesem Formular. Sie können beim Ausfüllen des Formulars Pseudonyme verwenden. Bitte nutzen Sie alle mit * gekennzeichneten Felder.