(openPR) Videospiele faszinieren Philip Klostermeyer, CISPA-Forscher und Doktorand am CISPA-Standort in Hannover, schon lange. Und dies nicht nur aus der Perspektive des Spielers. „Im Bachelorstudium musste ich ein Spiel schreiben. Da habe ich zum ersten Mal gemerkt, wie viele verschiedene Elemente selbst ein simples Spiel hat“, erzählt er im Gespräch. „Ich verstand plötzlich, wie die verschiedenen Software-Arten da zusammenspielen.“ Denn im Prinzip ist ein Videospiel nichts anderes als eine sehr komplexe Software, erklärt Klostermeyer: „Im Hintergrund haben wir Quellcode und Daten. Auf der Benutzeroberfläche kommen dann eine komplexe grafische Gestaltung und Elemente wie Audio hinzu. Ergänzt wird dies durch die jeweilige Spiellogik. Bei Onlinespielen kommt dann noch die Anbindung an Server hinzu, die die Spielelogik steuern, klassische Sicherheitsthemen wie Login und Authentifizierung managen, aber auch Werbeeinspielungen ermöglichen. Das zeigt, dass fast alle Themen, die in der Computersicherheit wichtig sind, für Videospiele Relevanz haben.“
Studienziel: Überblick verschaffen
Die Komplexität des Prozesses der Videospielentwicklung und die Bedeutung des Sicherheitsthemas machten diesen für Klostermeyer und seine Kolleg:innen zu einem interessanten Forschungsobjekt. „Wir haben uns entschieden, das Thema Sicherheit in der Videospielentwicklung mit Hilfe einer qualitativen Interviewstudie zu untersuchen“, erklärt der CISPA-Forscher. „Die Methode eignet sich gut, um sich einen Überblick über ein Themenfeld zu verschaffen. Denn, was es bisher schon relativ viel gibt, sind Paper, die einzelne Themen aus der Spieleindustrie gut beschreiben. Gefehlt hat bisher eine zusammenhängende Übersicht über das ganze Feld.“ Aber noch ein weiterer Aspekt war Klostermeyer wichtig: „Unser Ziel war, Erkenntnisse in die Industrie zu übertragen. Deswegen war uns wichtig, dass wir die Probleme dieser Zielgruppe in den Fokus unserer Studie stellen.“
Konkret befragt wurden für die Studie 20 Personen aus 15 Ländern, die in unterschiedlichen Positionen in der Spieleindustrie tätig sind. „Wir haben geschaut, wer die Stakeholder sind, die bei einer Spieleproduktion dabei sind und dann systematisch unsere Gesprächspartner:innen gesucht“, erklärt Klostermeyer. „Dazu gehörten etwa Spieleentwickler:innen, Manager:innen, Publisher von Spieleplattformen aber auch Sicherheitsexpert:innen. Damit wollten wir verschiedene Perspektiven auf das Thema Sicherheit bekommen. Ziel war, über die Interviews Erfahrungen aus erster Hand über das Bewusstsein, die Prioritäten, das Wissen und die Praktiken in Bezug auf die Sicherheit in der Branche zu bekommen.“
Sicherheit als nachgelagerter Faktor, der von vielen Aspekten abhängt
Über die Analyse der Interviews destillierten die CISPA-Forschenden zwei zentrale Bereiche heraus, die für das Thema Sicherheit in der Videospielentwicklung von zentraler Bedeutung sind. Das sind zum einen die besonderen Umstände in der Spieleindustrie, die die Spielentwicklung und damit die Sicherheit beeinflussen. „Hier sind Faktoren wie die Schnelllebigkeit der Industrie, unterschiedliche Sicherheitsstandards, Zeit- und Budgetrestriktionen sowie fehlende Beratung zu Sicherheitsthemen zu nennen“, erläutert Klostermeyer. Zum anderen konnten die Forscher:innen fünf sicherheitsrelevante Bereiche im Prozess der Spieleentwicklung identifizieren. „Konkret sind dies Maßnahmen zur Verhinderung von Betrug im Spiel, die Sicherheit von sogenannten Assets wie Sourcecode oder Grafiken, die Netzwerksicherheit, die Software-Stabilität sowie der Schutz von Benutzer:innendaten“, fährt er fort. Die Bedeutung der einzelnen Bereiche hängt dabei immer vom jeweiligen Spieltyp ab. „Dies bedeutet etwa, dass das Thema Netzwerksicherheit für Spiele, die nicht online gespielt werden, nur wenig Relevanz hat“, so der CISPA-Forscher.
Bezogen auf die Frage, ob und wie die Studios das Thema Sicherheit in den Prozess der Videospielentwicklung integrieren, konnte die Studie Zeit, Budget und Teamgröße als die wichtigsten Faktoren identifizieren. Externe Akteure wie Publisher liefern zwar sicherheitsrelevanten Input, priorisieren die Sicherheit aber hauptsächlich, um die Einnahmen ihrer Unternehmen oder deren öffentliches Image zu schützen. Während große Unternehmen eigene Sicherheitsspezialist:innen rekrutieren, fehlt kleinen Studios dafür meist das Budget. Und selbst wenn es bei Entwickler:innen ein Bewusstsein über Sicherheitsprobleme gibt, kann es sein, dass dies von Managementseite als weniger prioritär eingestuft wird als etwa die Spielbarkeit eines Produkts. „Ganz grundsätzlich lässt sich sagen, dass die Spieleindustrie beim Thema Sicherheit sehr sprunghaft agiert“, so Klostermeyer. „So verhindert die Schnelllebigkeit der Industrie, dass Entwickler:innen tiefgreifende Sicherheitsmaßnahmen ergreifen und Bedrohungsmodelle für Videospiele entwickeln, die von Beginn der Spielentwicklung an implementiert werden.“
Ausblick
Für Klostermeyer und seine Kolleg:innen aus der Usable-Security-Forschungsgruppe in Hannover war die aktuelle Interviewstudie nur der Aufschlag, um tiefer in die Materie einzusteigen. „Das Schöne an der Studie ist, dass wir diese fünf sicherheitsrelevanten Bereiche im Prozess der Spieleentwicklung identifizieren konnten. Mit dem Wissen können wir anfangen, Vorschläge für Guidelines zu entwickeln.“ Aber bereits jetzt gibt es einige konkrete Empfehlungen für die Branche, die Klostermeyer aus den Ergebnissen der Studie ableitet. Kernpunkt ist, den Aspekt der Sicherheit möglichst früh in die Spielentwicklung zu integrieren und auf allen Ebenen mitzudenken. Hilfreich sind dabei Richtlinien, die jedes Entwicklerstudio ausgehend von den jeweiligen Anforderungen angepasst auf die eigenen Produkte selbst entwickeln sollte. „Das ist eine wichtige Querschnittsaufgabe, die jedes Studio ernst nehmen sollte“, zeigt sich Klostermeyer überzeugt.
Originalpublikation: Philip Klostermeyer, Sabrina Klivan, Sandra Höltervennhoff, Alexander Krause, Niklas Busch, and Sascha Fahl. 2024. Skipping the Security Side Quests: A Qualitative Study on Security Practices and Challenges in Game Development. In Proceedings of the 2024 on ACM SIGSAC Conference on Computer and Communications Security (CCS ’24). Association for Computing Machinery, New York, NY, USA, 2651–2665. https://doi.org/10.1145/3658644.3690190
