Planspiel zur Verteidigung der Klinik-IT Seit 2015 ist „Operation Digitale Schlange“ als spielerischer, zweitägiger Workshop mit IT-Sicherheitsfachleuten im Einsatz – bei ganz unterschiedlichen Organisationen und Firmen im Gesundheitssektor. Schulungen gab es bereits für Mitarbeiter des Universitätsklinikums Schleswig-Holstein, der Medizinischen Hochschule Hannover, der Kliniken des Bezirks Oberbayern sowie für Beschäftigte diverser Hersteller von medizinischen Geräte. Ziel des Planspiels ist es, die IT-Security Awareness in den Dimensionen Wahrnehmung, Wissen und Verhalten zu steigern. Dafür verwendet das Spiel ausschließlich nicht-digitale, konventionelle Materialien, um der Kreativität freien Lauf zu lassen.

Das Spielmodell umfasst die IT-Infrastruktur eines fiktiven Krankenhauses, das verschiedene Netzwerke wie beispielsweise der Radiologie, Operationssäle und der Verwaltung abbildet. Innerhalb dieser Netzwerke muss sich ein Team („Team Blau“) im Rahmen ihres IT-Sicherheits-konzepts verschiedenen Herausforderungen stellen. Dazu zählen etwa der Umgang mit lokalen und Internet-basierten Wartungsarbeiten der IT-Geräte, der Umgang mit einem veralteten Betriebssystem im MRT oder die sichere Weitergabe von Patientendaten an andere medizinische Leistungserbringer im Rahmen des Entlassmanagements. Zudem beinhaltet der Netzplan klassische IT-Geräte wie mobile Clients, WLAN-Router, Server, Datenbanken und Drucker.

Team Blau gegen Team Rot

Das primäre Ziel des blauen Teams ist, die IT-Infrastruktur des fiktiven Krankenhauses zu verteidigen. Zum Nachteil des Teams beinhaltet das oben genannte Spielmodell zu Beginn jedoch keinerlei IT-Sicherheitsmaßnahmen. Daher muss das blaue Team ein IT-Sicherheitskonzept entwickeln, das neben technischen Aspekten ebenso organisatorische, infrastrukturelle und personelle Maßnahmen mit berücksichtigt, um den Cyberangriffen des Gegnerteams („Team Rot“) standzuhalten.

Unbegrenzte Angriffsmöglichkeiten Das Spiel wird mit einer Gruppe von 8 bis 20 Personen gespielt. Die Spielteilnehmer arbeiten jeweils in Teams von bis zu fünf Personen und verfolgen je nach Spielerrolle unterschiedliche Ziele. So nimmt „Team Rot“ die Sicht eines Hackers ein und soll einen Angriffspfad entwickeln, der für diese Rolle hinsichtlich Absichten, Ressourcen und Methoden typisch ist. Dieser Angriffspfad besteht aus voneinander abhängigen und ggf. alternativen Angriffsvektoren.

Cyberkriminelle, Geheimdienste, Hacktivists oder Script Kiddies

Das rote Team hat zu Beginn des Spiels unterschiedliche Rollen zur Auswahl: Cyberkriminelle, Angriffe von Geheimdiensten („Nation States“), politisch oder ideologisch motivierte Angriffe („Hacktivists“), jugendliche Hacker („Script Kiddies“) oder Mitarbeiter aus dem eigenen Haus. Im Hinblick auf die ausgewählte Spielerrolle haben die Angreifer nahezu unbegrenzte Möglichkeiten, Angriffsziele und Angriffsmethoden zu entwickeln. „Team Rot“ könnte sich in der Rolle von Cyberkriminellen für die Erpressung von Geld entscheiden. Ebenso wäre aber auch die Manipulation von Daten in der Datenbank als Rachefeldzug eines gekündigten Mitarbeiters denkbar – der Phantasie sind im Spiel keine Grenzen gesetzt, es limitieren lediglich die Spielzeit sowie die Plausibilität.