Making Games Report - Sicherheit in Online-Spielen

Online-Spielwelten werden nicht nur von Monstern bedroht, sondern manchmal auch von den Spielern selbst. Darüber hat CipSoft mit Tibia in den vergangenen 13 Jahren viel gelernt – teilweise auch sehr schmerzhaft.

von Yassin Chakhchoukh,
22.01.2011 11:12 Uhr

Stephan Börzsönyi, Mitgründer und Geschäftsführer von CipSoft: »Während der Fußball-Europameisterschaft 2004 in Portugal erhielt der Online-Wettanbieter mybet.com folgende E-Mail: »Hi! Wir werden bald einen Angriff gegen eure Seite starten. Unser Team braucht Geld. Eure Webseite bringt hohe Einnahmen. Wir wollen, dass ihr uns bezahlt. Wir denken, dass 15.000 US-Dollar ein angemessener Betrag für euch wäre. Wenn ihr nicht bezahlt, werden wir Eure Webseite für eine lange Zeit angreifen.«

Zuerst hielt man die E-Mail für einen schlechten Scherz. Doch kurz vor Anpfiff wurde die Webseite mit einer Distributed-Denial-of-Service-Attacke von einem Bot-Netz aus tausenden mit Trojanern infizierten Windows-Rechnern überzogen. Die Webseite war für die Kunden nicht mehr erreichbar, und es konnten keine Wetteinsätze für das Spiel platziert werden. Dem Betreiber entstanden hohe Umsatzeinbußen.

Obwohl derart kriminelle Aktionen zum Glück eine Ausnahme darstellen, zeigt das Beispiel doch, wie verletzlich Internet-Geschäftsmodelle sind. Im Folgenden werden typische Angriffsszenarien vorgestellt, aber auch einige Gegenmaßnahmen präsentiert, wie wir sie im Laufe der Jahre beim Betrieb unseres Online-Rollenspiels Tibia entwickelt haben.

Sicherheitsaspekte

Aber was ist überhaupt unter dem Begriff »Sicherheit« zu verstehen? Zum einen muss ein System sicher für den Benutzer sein. Er muss es ohne Gefahr für seine Gesundheit oder gar sein Leben verwenden können. Dazu gehören im Bereich der Computerspiele beispielsweise die Ergonomie (gute Les- und Bedienbarkeit) oder die Vermeidung schneller Farb- oder Hell-Dunkel-Wechsel, um keine epileptischen Anfälle hervorzurufen. Außerdem vertraut der Benutzer darauf, dass ein System robust ist, also bei Fehlbedienung nicht abstürzt, und dass seine eingegebenen Daten dauerhaft erhalten bleiben. Besondere Relevanz hat in letzter Zeit das Thema Datenschutz gewonnen: Persönliche Daten des Benutzers sollen nur für den von ihm beabsichtigten Zweck verwendet und nicht an Dritte weitergegeben werden.

Dieser Bereich soll hier aber nicht weiter vertieft werden. Vielmehr geht es um den zweiten Aspekt von Sicherheit, nämlich die Sicherheit vor dem Benutzer. Ein ehrlicher Spieler erwartet von einem Online-Spiel, dass sich alle Mitspieler an die Regeln halten (Fairness), dass nur er seinen Spielzugang verwenden kann (Zugangskontrolle), dass seine Daten nicht verfälscht werden (Integrität) und dass er den Dienst jederzeit nutzen kann (Verfügbarkeit). Diese Ziele werden aber durch böswillige Spieler gefährdet.

So nutzen einige User Spielschwächen aus und verschaffen sich dadurch einen unfairen Vorteil (Cheating). Andere Spieler versuchen, die Verfügungsmacht über fremde Spielzugänge oder gar den gesamten Dienst zu bekommen (Account- bzw. System-Hacking). Wieder andere stören den Dienst und machen ihn so unbrauchbar (Denial of Service).

Motive

Was treibt Spieler zu derartig destruktivem Verhalten? Hierfür gibt es vielfältige Motive (siehe Tabelle 1):

  • Langwierige oder schwierige Aufgaben können angenehmer auf nicht vorgesehenen Wegen gelöst werden.
  • Die unfair erworbenen Vorteile können gewinnbringend im Wettstreit mit anderen Spielern eingesetzt oder gegen bares Geld verkauft werden.
  • Die Überlistung des Systems befriedigt die Neugier, reizt als technische Herausforderung und schafft Ansehen bei den Mitspielern. (Entdeckte Schwachstellen anschließend bitte beim Betreiber melden!)
  • Die Zerstörung der Errungenschaften oder des Spielspaßes anderer Spieler erfolgt aus Neid, Rache oder zur Erpressung.

Motive der böswilligen SpielerMotive der böswilligen Spieler

Mittel gegen Farmbots

Gerade in Online-Rollenspielen sind viele immer wiederkehrende Aufgaben nötig, um seinen Charakter voranzubringen (Grinding). Wie schön wäre es, diese Tätigkeiten automatisiert ausführen zu lassen, statt dazu selbst vor dem Computer sitzen zu müssen! Programme, die so etwas leisten, heißen »Bots«, die Kurzform für Roboter. Ein »Farmbot« ermöglicht etwa das vollständig automatisierte Jagen, also das Sammeln von Gütern und Erfahrungspunkten. Dazu läuft er einen vorgegebenen Weg ab, greift auftauchende Monster an, sammelt Beute ein und heilt sich bei Bedarf selbst. Ja, er reagiert sogar auf Ansprache durch andere Spieler, um nicht gleich als Bot erkannt zu werden. Dass mittlerweile sowohl die Programme als auch die damit erworbenen Güter kommerziell vertrieben werden, zeigt das Ausmaß dieses Problems.

Aber warum ist es überhaupt ein Problem? Schließlich bringt sich der Betrüger zunächst selbst um seinen Spielspaß, wenn er nicht selbst spielt. Andererseits blockiert er länger als üblich Jagdgebiete, in denen auch andere Spieler unterwegs sein wollen, und zerstört so auch deren Spielspaß. Er erreicht leichter Plätze in Highscore-Listen und verzerrt dadurch den Wettbewerb. Er kann außerdem die auf unfairem Weg erhaltene Macht auch im Kampf gegen andere Spieler einsetzen. Und es gelangen übermäßig viele Güter in den Wirtschaftskreislauf, was auch die Preise für ehrlich erworbene Güter drückt.

Glücklicherweise gibt es Mittel gegen Farmbots: In Tibia mit seinen vielfältigen Interaktionsmöglichkeiten zwischen den Spielern konnte die Community zur Selbsthilfe greifen und die Bots blockieren oder töten. Nachdem diese in den sicheren Tutoriumsbereich ausgewichen waren, beschränkten wir den Geldtransfer von dort in den eigentlichen Spielbereich. Außerdem wurde das Machtmissbrauchspotenzial durch Regeln für den Kampf zwischen Spielern eingedämmt (Abbildung 1). Krasse Fälle haben wir durch Gamemaster verbannt, die im Spiel patrouillierten. Um aber das Problem möglichst flächendeckend zu lösen, arbeiten wir momentan an einer automatischen Detektion und Bestrafung von Cheatern.«



» Den vollständigen Artikel lesen Sie in einem Special auf makinggames.de

Jedes Wochenende präsentieren wir Ihnen ausgewählte Making-Of-Artikel, Reportagen sowie Interviews aus unserem Schwestermagazin Making Games und lassen Sie hinter die Kulissen der Spielebranche blicken.
Und wer könnte besser über die großen und kleinen Geheimnisse der Spieleentwicklung schreiben als die Entwickler selbst? Genau das machen sie jede Ausgabe im Making Games Magazin und jeden Tag auf makinggames.de.

Dieser Artikel erschien in Ausgabe 06/2010 des Making Games Magazins.


Kommentare(0)

Nur angemeldete Benutzer können kommentieren und bewerten.