Résumé WS SIA-Cybersicherheitsspiel Engineers’Day FHNW Muttenz © 2025 Urs Wiederkehr Peter Vonesch SIA. Alle Rechte vorbehalten.

Was war das übergeordnete Ziel des Workshops?

Das Ziel ist, einen Beitrag für die Sensibilisierung, Schulung und Prävention bezüglich der Cybersicherheit und Cyberresilienz und dem entsprechenden Risikobewusstsein zu leisten und so unsere neuen Assets, die elektronischen Daten, in der heutigen digital vernetzten Welt zu schützen. Zudem soll gezeigt werden, wie mit einfachen Mitteln und ohne Computer das Thema ins Tagesgeschäft von KMU integriert werden kann, insbesondere im Umfeld von Ingenieurinnen und Ingenieuren, aber nicht nur. Der Workshop vermittelte die Botschaft, dass Cybersicherheit nicht an den IT- oder Sicherheitsverantwortlichen delegiert werden kann, sondern Chefsache ist und jeden betrifft. So muss diese Sicherheit in der Unternehmenskultur integriert sein, denn nur so können sich die Mitarbeitenden umsichtig verhalten und so zum Schutz vor möglichen Bedrohungen beitragen.

Welche Themen wurden behandelt?

Nach einer kurzen Einführung zur Bedeutung der Cybersicherheit im Allgemeinen, und nicht nur im Sektor Bau und der Lebensmittelversorgung, sowie den wichtigsten Grundlagen zum Erkennen und zur Abwehr, ist das SIA-Cybersicherheitsspiel im neuentwickelten Szenario «Angriff auf die Lieferkette der Lebensmittelverteilung» gespielt worden. Das Spiel ist so konzipiert, dass es sowohl firmen- wie auch themenspezifisch angepasst werden kann.

Welche Fragestellungen standen im Fokus?

Die Angreifergruppe musste sich die Angriffsvektoren (Attacken) überlegen und die Opfer, wo sie empfindlich sind und welche Massnahmen sie für eine Abwehr vorsehen. Dann sind Angriffe und Verteidigungsmassnahmen gegenübergestellt und diskutiert worden. Unsere Expertinnen und Experten aus dem SIA und aus dem BACS, Bundesamt für Cybersicherheit, haben die Massnahmen kommentiert, in den Kontext gestellt und passend ergänzt. Ein gemeinsame Schlussdiskussion rundete den Anlass ab.

Zentrale Thesen oder Erkenntnisse aus dem Workshop

Dass das Spiel ohne elektronische Hilfsmittel auf eine einfache, aber sehr wirkungsvolle Art, auf allen Wissensebenen gespielt werden kann, wird sehr begrüsst. Schon kleine Massnahmen wirken, aber man muss es tun.

Wesentliche Diskussionspunkte und unterschiedliche Sichtweisen

Das Thema wird oft zu theoretisch angegangen. Einigen Personen ist klar geworden, dass das nicht genügt und sie sich intensiver und praxisnaher damit beschäftigen müssen. Mit der Spielidee, wo nichts passieren, aber viel ausprobiert werden kann, ist nach Meinung vieler Teilnehmenden das Ziel gut erreichbar. Zuerst herrschte ein grosses Staunen, als wir bekanntgaben, ohne PC zu spielen. Später ist das aber lobend hervorgehoben worden.

Besondere Herausforderungen oder offene Fragen

Eine besondere Herausforderung stellt die Aktivierung des Know-hows der Teilnehmenden dar. So brauchte es bei der Opfergruppe die Initiative eines Teilnehmenden, dass auf dem Flip-Chart alle betroffenen Systeme und Angriffspunkte aufgelistet worden sind. Anschliessend konnten daraus entsprechende Massnahmen spielend abgeleitet werden. Bei der Angreifergruppe braucht es den Mut und die Bereitschaft jedes einzelnen in die Täterrolle zu schlüpfen sowie den Willen die Opfergruppe massiv zu schädigen. Durch das begleitende Coaching und Motivieren spielt die Gruppendynamik gut, das «Eis» wird gebrochen und die Herausforderungen können erfolgreich gelöst werden. Dies führte in der Schlussdiskussion zu lehrreichen Erkenntnissen und jeder Teilnehmende konnte für sich seinen Teil für die Cybersicherheit in seinem Umfeld mitnehmen.

Welche konkreten Ideen oder Lösungsansätze wurden erarbeitet?

Für das Szenario der Lebensmittelindustrie ist der Angriff erfolgreich durch die Opfer abgewendet worden. Insbesondere die Vorsorge, dass alle Daten auch auf Papier vorgehalten worden sind, hat dazu geführt, dass keine leeren Gestelle beim Endverteiler aufgetreten sind.

Gibt es innovative Ansätze oder bewährte Methoden, die hervorgehoben wurden?

Die Idee das Thema der Cybersicherheit in dieser Form zu spielen (Gamification). Ein innovativer Ansatz, den viele so nicht kannten.

Wurden spezifische Handlungsempfehlungen abgeleitet?

Wir haben darauf hingewiesen, dass der SIA und das BACS, teilweise getrennt, teilweise zusammen, die spezifischen Themen der Cybersicherheit weiterentwickeln werden. Insbesondere der Schutz der Lieferkette ist ein Hauptthema. Diese spielt auch im Bauwesen eine grosse Rolle.

Was sind die wichtigsten Learnings für die Teilnehmenden?

• Cybersicherheit ist Chefsache und muss Teil der Organisationskultur werden.

• Cybersicherheit kann nicht delegiert werden.

• Cybersicherheit muss von jedem Einzelnen in seinem Umfeld und Einflussbereich umgesetzt werden. Jeder muss es tun!

• Cybersicherheit ist nie fertig, sondern muss immer wieder erneut gefordert werden.

Risikobasierte Sensibilisierung und Prävention in der Cybersicherheit lohnt sich immer!

Welche Impulse oder Folgeaktivitäten wurden angeregt?

Es wurde angeregt, dieses firmen- und themenspezifisch konzipierte SIA-Cybersicherheits- Rollenspiel als Dienstleistung Dritten zugänglich zu machen.

Gibt es geplante Anschlussmaßnahmen oder weiterführende Treffen?

Es treffen laufend neue Anfragen für Vorträge und Teilnahmen ein, wie auch Anfragen zum Spielen des SIA-Cybersicherheitsspiels mit entsprechend angepassten Spielszenarien. Wir werden das Spiel im Rahmen der Fortsetzung der SIA-Sensibilisierungsinitiative zur Cybersicherheit und Cyberresilienz weiterentwickeln, weitere Spielelemente einbauen, zusätzliche Spielkarten vorhalten und das Spiel als Dienstleistung für Dritte anbieten.

Kurzes persönliches oder allgemeines Fazit

Der Workshop mit dem SIA-Cybersicherheitsspiel an der FHNW Muttenz hat einmal mehr gezeigt, dass es absolut notwendig ist, die Sensibilisierung und Prävention der Cybersicherheit in den Organisationen und speziell bei der Organisationskultur voranzutreiben. Wir sind diesbezüglich mit dem SIA-Cybersicherheits-Rollenspiel auf dem richtigen Weg, das Spiel als Dienstleistung für Dritte so anzubieten, dass auch Dritte als Experten walten können.

Der SIA, Urs Wiederkehr und Peter Vonesch danken dem Organisationsteam des Netzwerkanlasses des Engineer’s Day 2025 für die Möglichkeit das SIA-Cybersicherheitsspiel durchzuführen. Danke für die gute Vorbereitung des Netzwerkanlasses und die sehr gute Infrastruktur für den Workshop. Dies ermöglichte einen erfolgreichen Workshop.

Wie wurde der Workshop von den Teilnehmenden wahrgenommen?

Sehr positiv: Einige haben den lockeren Zugang zum Thema gelobt, insbesondere, dass sie nun verstehen, worum es geht und die Cybersicherheit nicht etwas Spezielles und Unbekanntes mehr ist. Zudem ist festgestellt worden, wie schon kleine Massnahmen Wirkung zeigen können. Auch auf LinkedIn konnten wir zum Thema zu Fremd-Beiträgen motivieren.

Welche Aspekte haben besonders gut funktioniert, welche könnten optimiert werden?

Gut funktioniert hat die praktische Umsetzung in Angreifer und Opfer. Optimierungspotential besteht darin, die Teilnehmenden dazu zu motivieren, noch ambitiöser ins Spiel einzutauchen um sich noch stärker mit dem Spiel zu identifizieren, damit die gezielten Attacken und Abwehrmassnahmen noch besser erlebbar werden.

 

Weiterführende Links:
- Cyberthema beim SIA: https://www.sia.ch/de/cms/themen/digitaletransformation#3157
- Bundesamt für Cybersicherheit BACS: https://www.ncsc.admin.ch"

Februar 2025: Urs Wiederkehr / Peter Vonesch