Entwicklung

Sicherheit in Online-Spielen

Stephan Börzsönyi   //   Januar 20, 2011   //   0 Kommentare


Online-Spielwelten werden nicht nur von Monstern bedroht, sondern manchmal auch von den Spielern selbst. Darüber hat CipSoft mit Tibia in den vergangenen 13 Jahren viel gelernt – teilweise auch sehr schmerzhaft.

 

Während der Fußball-Europameisterschaft 2004 in Portugal erhielt der Online-Wettanbieter mybet.com folgende E-Mail: »Hi! Wir werden bald einen Angriff gegen eure Seite starten. Unser Team braucht Geld. Eure Webseite bringt hohe Einnahmen. Wir wollen, dass ihr uns bezahlt. Wir denken, dass 15.000 US-Dollar ein angemessener Betrag für euch wäre. Wenn ihr nicht bezahlt, werden wir Eure Webseite für eine lange Zeit angreifen.«
Zuerst hielt man die E-Mail für einen schlechten Scherz. Doch kurz vor Anpfiff wurde die Webseite mit einer Distributed-Denial-of-Service-Attacke von einem Bot-Netz aus tausenden mit Trojanern infizierten Windows-Rechnern überzogen. Die Webseite war für die Kunden nicht mehr erreichbar, und es konnten keine Wetteinsätze für das Spiel platziert werden. Dem Betreiber entstanden hohe Umsatzeinbußen.
Obwohl derart kriminelle Aktionen zum Glück eine Ausnahme darstellen, zeigt das Beispiel doch, wie verletzlich Internet-Geschäftsmodelle sind. Im Folgenden werden typische Angriffsszenarien vorgestellt, aber auch einige Gegenmaßnahmen präsentiert, wie wir sie im Laufe der Jahre beim Betrieb unseres Online-Rollenspiels Tibia entwickelt haben.

Sicherheitsaspekte
Aber was ist überhaupt unter dem Begriff »Sicherheit« zu verstehen? Zum einen muss ein System sicher für den Benutzer sein. Er muss es ohne Gefahr für seine Gesundheit oder gar sein Leben verwenden können. Dazu gehören im Bereich der Computerspiele beispielsweise die Ergonomie (gute Les- und Bedienbarkeit) oder die Vermeidung schneller Farb- oder Hell-Dunkel-Wechsel, um keine epileptischen Anfälle hervorzurufen. Außerdem vertraut der Benutzer darauf, dass ein System robust ist, also bei Fehlbedienung nicht abstürzt, und dass seine eingegebenen Daten dauerhaft erhalten bleiben. Besondere Relevanz hat in letzter Zeit das Thema Datenschutz gewonnen: Persönliche Daten des Benutzers sollen nur für den von ihm beabsichtigten Zweck verwendet und nicht an Dritte weitergegeben werden.
Dieser Bereich soll hier aber nicht weiter vertieft werden. Vielmehr geht es um den zweiten Aspekt von Sicherheit, nämlich die Sicherheit vor dem Benutzer. Ein ehrlicher Spieler erwartet von einem Online-Spiel, dass sich alle Mitspieler an die Regeln halten (Fairness), dass nur er seinen Spielzugang verwenden kann (Zugangskontrolle), dass seine Daten nicht verfälscht werden (Integrität) und dass er den Dienst jederzeit nutzen kann (Verfügbarkeit). Diese Ziele werden aber durch böswillige Spieler gefährdet.
So nutzen einige User Spielschwächen aus und verschaffen sich dadurch einen unfairen Vorteil (Cheating). Andere Spieler versuchen, die Verfügungsmacht über fremde Spielzugänge oder gar den gesamten Dienst zu bekommen (Account- bzw. System-Hacking). Wieder andere stören den Dienst und machen ihn so unbrauchbar (Denial of Service).

Tabelle 1: Motive der böswilligen Spieler

Motive
Was treibt Spieler zu derartig destruktivem Verhalten? Hierfür gibt es vielfältige Motive (siehe Tabelle 1):

  • Langwierige oder schwierige Aufgaben können angenehmer auf nicht vorgesehenen Wegen gelöst werden.
  • Die unfair erworbenen Vorteile können gewinnbringend im Wettstreit mit anderen Spielern eingesetzt oder gegen bares Geld verkauft werden.
  • Die Überlistung des Systems befriedigt die Neugier, reizt als technische Herausforderung und schafft Ansehen bei den Mitspielern. (Entdeckte Schwachstellen anschließend bitte beim Betreiber melden!)
  • Die Zerstörung der Errungenschaften oder des Spielspaßes anderer Spieler erfolgt aus Neid, Rache oder zur Erpressung.

 

<< erste Seite  nächste Seite >

Kommentare

Einen Kommentar hinterlassen

Um einen Kommentar hinterlassen zu können, müssen Sie sich zuerst anmelden oder registrieren.

» zur Anmeldung
» zur Registrierung