Gamification in der Ausbildung
Capture-the-Flag-Wettbewerbe finden nach wie vor kaum Platz in der Ausbildung von Cybersecurity-Fachkräften. Das sollte sich ändern. Denn in solchen Übungsanlagen können Nachwuchstalente auf spielerische Art lernen, Probleme zu lösen, Bedrohungen zu erkennen und Angriffe abzuwehren.
Gamification, also die spielerische Umsetzung in realen, spielfremden Kontexten, wird seit Jahren erfolgreich in Security Awareness Trainings eingesetzt. Unternehmen setzen auch vermehrt auf Tabletop Trainings, um im Krisenfall eine effektive Antwort auf den Vorfall spielerisch zu erproben.
In anderen Bereichen der Aus- und Weiterbildung im Bereich Cybersecurity finden sich solche spielerischen Elemente jedoch äusserst selten. Selbst die durch die Defcon-Hacking-Konferenzen bekannt gewordenen Capture-the-Flag-Wettbewerbe (kurz CTF) finden heute kaum Platz in der Ausbildung. Im Rahmen eines CTF lösen die Teilnehmenden eine Reihe von Aufgaben im Bereich der Informationssicherheit. Diese sogenannten Challenges umfassen von einer Schnitzeljagd auf Wikipedia über grundlegende Programmierübungen bis hin zum Hacken eines Servers, um Daten zu stehlen, vielfältige Techniken der Cybersecurity. Die Challenge ist gelöst, wenn der Teilnehmer ein bestimmtes Stück Text, eine sogenannte "Flagge", als Beweis einreicht; diese Flagge ist je nach Komplexitätsstufe der Challenge sogar eindeutig dem Teilnehmer beziehungsweise der Teilnehmerin zugewiesen, um ein Copycat zu unterbinden. Diese Flagge gibt auch dem Wettbewerb seine Namen.
Gründe für den zögerlichen Einsatz von CTFs in der Ausbildung gibt es einige: ein Mangel an geeigneten Inhalten, grosse Initialhürden für die Teilnehmenden sowie mangelnde Anerkennung als Bildungsmittel. Im Gegensatz zu spielerischen Phishing-Trainings benötigt ein CTF eine spezialisierte Plattform für den Wettbewerb (wie z. B. die Hacking-Lab-Plattform unseres Partners Hacking Lab) mit den entsprechenden Challenges. Die Challenges decken in der Regel aber auch eine deutlich breitere Palette von Angriffstechniken ab als eine reine Social-Engineering- respektive Phishing-Simulation. In einem ersten Schritt haben wir an der OST dazu unser Security Lab um fortgeschrittene Angriffstechniken erweitert damit wir nachvollziehbare, realistische Szenarien zur Erkennung und Abwehr von Cyberangriffen abbilden können.
Die Begeisterung aufrechterhalten
Die weitaus grössere Hürde stellt aber die "Retention" dar, also die Frage, wie wir es schaffen, die Begeisterung der Lernenden für die Challenge zu erhalten: In klassischen CTFs lösen nach unseren Auswertungen lediglich 15 Prozent aller Teilnehmenden je eine Challenge. Um die "Frustrationshürde" zu minimieren konnten wir 2021 mit der erstmaligen Durchführung eines Bootcamps an der OST junge Menschen mit neu entwickelten praktischen Trainings an die realen Challenges heranführen. Bei der Ausgabe 2022 des Bootcamps versprechen wir uns eine weitere Verbesserung der Retention, da das Bootcamp nicht mehr pandemiebedingt rein virtuell durchgeführt wird, sondern von erfahrenen CTF-Playern vor Ort in Rapperswil gecoacht wird.
Nicht zuletzt haftet dieser Form immer noch ein verruchtes Image an, weil viele von den Spielen bei Jugendlichen und Erwachsenen zur Gamesucht führen können. Doch im Gegensatz zu vielen Cyberspielen sind Cybersecurity Challenges in der Ausbildung, wie auch andere Softwareprodukte, inhaltlich getestet und die Bewertung je nach Anwendungsgebiet in der Lehre mit Noten, Punkten oder sonstigen Preisen in Bezug auf Fairness und Machbarkeit überprüft. Auch die Durchführung wird von Dozierenden und wissenschaftlichen Mitarbeitenden moderiert, um Exzesse zu verhindern, aber auch um sicherzustellen, dass die Teilnehmenden die Lernziele erreichen. Dadurch, dass wir die gleichen Methoden der Challenges sowohl in der Ausbildung der Generalisten, der Software-Ingenieure, als auch der Cybersecurity-Spezialisten einsetzen, wird auch der "Nerd"-Faktor entschärft: Mitspielen dürfen, ja müssen alle; teilweise sind die Challenges sogar nur als Team lösbar, um die Zusammenarbeit zusätzlich zu belohnen.