Thema: [Empfehlt mir] Spiele, die Hacking unterhaltsam/gut hinbekommen

[pharyon]

Hallo liebe Tanelornis,

In futuristischen Settings spielt das Erlangen von Informationen, die jemand vor unbefugtem Zugriff schützen möchte, oft genug eine wichtige Rolle. Was derlei betrifft, bin mit meinem Erfahrungsschatz ziemlich eindeutig Laie. Da ich in einer Spielrunde aber leite, würde ich mein Wissen dazu gerne erweitern. Meine Rollenspiel-Erfahrung mit Hackern beschränkt sich auf Shadowrun 5. Mir hat daran gefallen, dass es für diese Tätigkeit einen Satz besonderer Regeln gibt, allerdings fand ich die Regeln teilweise... umständlich.

Könnt ihr mir weiterhelfen?
Welche Rollenspiele haben gute Hacking-Regeln (entweder in dem Sinne, dass sie am Spieltisch in der Anwendung Spaß machen, oder in dem Sinne, dass sie Hacking realistisch/plausibel simulieren)?
Welche Rollenspiele/Artikel/Texte bieten damit unerfahrenen SL eine nützliche Hilfestellung?

Ich hoffe, ihr könnt mir weiterhelfen. Vielen Dank schon mal vorab.

p^^

[First Orko]

Verstehe ich das richtig: Du willst hier nicht nur wissen, welche RPG-Regeln sich gut eignen sondern auch, wie Hacken in der Realität verläuft?
Dazu kann ich meiner Erfahrung nach leider erstmal sagen: Beides geht meist nicht gut zusammen 
Das Grundproblem ist dabei, dass die Vorstellung von "Hacking" (der Begriff ist streng genommen schon schwierig, aber ich für die Kommunikation darüber halt am Besten etabliert) für Laien geprägt wurde durch Medien, die das Ganze sehr grob vereinfacht und oft dazu auch noch verfälscht darstellen.
Zuallererst: Der erste Zugriff findet selten auf dem System direkt statt, auf dem eingebrochen wird!
Damit meine ich die typische Szene, wo ein·e "Hacker·in" in der Passwortabfrage ein "magisches" Texteingabefenster (= Konsole) öffnet und sich dort per mehr oder weniger ominösen Befehlen Adminrechte vergibt.

Realistischer - und auch oft dargestellt- ist da schon, dass man direkt das Passwort errät - denn Hacking läuft realistischerweise erst einmal auf sozialer Ebene. Sei es, indem man möglichst viel über Personen herausfindet, die kritische Passwörter haben und dann versuchte, mittels psychologischen Profilings, Wahrscheinlichkeiten und Listen von oft verwendeten Passwörter, diese zu erraten. Da gibt es echte Experten, die da verdammt gut drin sind. Dagegen helfen neuere Sicherheitsverfahren wie 2-Faktor-Authentifizierung.

In Unternehmen, die ihre Systeme entsprechend absichern, muss man sich direkten Zugriff in die Firma verschafft, indem man sich als Mitarbeiter der Firma selbst oder Dienstleistern (Reinigung, Sicherheit, Gebäudeverwaltung) beschafft. Das ermöglicht einem, spezielle Minirechner (sowas wie Arduino, Rapsberry Pi oder gleich irgendwelche Eigenbauten) an einer unauffälligen Stelle im Netzt zu instalieren, der einem dann einen Zugriff von außen IN das interne Netzwerk der Firma verschafft.
Sodann wird das ganze interne Netzwerk, die benutzten Systeme (Betriebssysteme, Server, Datenbanken) untersucht und auf Lücken geprüft. Das kann u.U. WOCHEN dauern!
Dann geht es mit Zero-Day-Exploits weiter: Sicherheitslücken, die noch nicht öffentlich bekannt sind und in entsprechenden Kreisen online gehandelt werden - nicht nur gegen Geld sondern auch gegen Wissen oder vorhandene Zugänge zu anderen Opfern!

Damit wird ein Angriffsraster aufgebaut: Eine Software mit Explotit als Sprungpunkt, von da aus immer mehr Zugriff auf Systeme, die einem immer mehr Rechte erlauben - bis man sich irgendwann einen User mit ausreichend hohen Berechtigungen für das Zielsystem erstellen kann.

Bis man da ist, können schonmal ein paar Monate ins Land gehen. Da das aber rollenspielerisch in den meisten Settings nicht so spannend auch auch selten opportun ist (da viele Szenarios zeitlich auf wenige Ingame-Tage begrenzt sind und so lange Vorplanzeit gar nicht gedacht), vereinfacht man das Ganze oft auf den letzten, technischen Aspekt.

Viele Systeme nutzen dafür Task Resolution mittels einer einfachen Skillprobe. Soll Hacking mehr Raum einnehmen und gamistisch interessant aber nicht zu zeitintensiv am Spieltisch sein, würde ich zu Savage Worlds in der Kombination mit Sprawlrunners raten.

[Dreamdealer]

In Cyberpunk 2020 war das Hacking katastrophal, Cyberpunk Red macht es nur marginal besser.

Das coolste Hacker Feeling hatte ich bisher nur beim Kartenspiel Netrunner, das ist aber leider ein sehr komplexes Spiel, wo man nicht mal einzelne Bereiche fürs Rollenspiel nutzen kann. Einen Blick ist es aber auf jeden Fall wert.

[aikar]

"Realistisches" Hacking und futuristisches/Cyberpunk-Setting schließt sich meiner Meinung nach aus.
Die Technologie in 50 Jahren wird so unterschiedlich von der heutigen sein, dass jede Übertragung/Anwendung heutiger Methoden (technischer Methoden, social Hacking wird wahrscheinlich noch sehr lange funktionieren) Unsinn ist.

Ansonsten: Was First Orko sagt.

d.h. ich würde auch primär darauf achten, dass die Anwendung im Spiel Spaß macht. Da haben bei mir Der Sprawl und ShadowCore gut funktioniert.

[pharyon]

Hallo und danke für die bisherigen Tipps.

Zur Klarstellung: Ich gebe mich mit Regeln zufrieden, die "nur" Spaß machen, aber nicht "realistisch" sind, Regeln, die realistisch sind, aber keinen Spaß machen oder sowohl als auch. Für "Sowohl als auch" habe ich aber vermutet, dass es diese Kombination kaum geben wird. Daher nehme ich gerne Empfehlungen aus den anderen beiden Bereichen entgegen.

p^^

[First Orko]

In Cyberpunk 2020 war das Hacking katastrophal, Cyberpunk Red macht es nur marginal besser.

Das coolste Hacker Feeling hatte ich bisher nur beim Kartenspiel Netrunner, das ist aber leider ein sehr komplexes Spiel, wo man nicht mal einzelne Bereiche fürs Rollenspiel nutzen kann. Einen Blick ist es aber auf jeden Fall wert.

Fun fact: Ich habe Karten von Netrunner für das Hacking mit Sprawlrunner genutzt, indem ich verdeckt aus einem vorbereiteten Stapel ICE-Karten gezogen habe, die dann für das ICE standen, mitdem der SC sich gerade beschäftigen musste! Hat sehr gut harmoniert.
Sprawlrunner bildet den Prozess auch ganz ähnlich ab, imho.

[Colgrevance]

Ich mag die Regeln aus Genesys: Shadow of the Beanstalk. Diese orientieren sich an klassischen Cyberpunk-Tropes und sind daher definitiv nicht realistisch, funktionierten für uns am Spieltisch aber sehr gut. Es gibt dort zwei Möglichkeiten, Hacking abzubilden:

1. Eher unwichtige Angriffe, die nur zur reinen Informationsbeschaffung o.ä. dienen, werden durch eine Standard-Fertigkeitsprobe abgehandelt, so dass sie das Spiel nicht lange aufhalten.
2. Storyrelevante Hacking-Attacken können über ein Minigame abgehandelt werden, das sich ein paar Dinge (z. B. die "Netzwerkarchitektur") vom Kartenspiel Android: Netrunner abgeschaut hat. Man kann sogar die Karten zur Visualisierung der Server verwenden. Hierbei sind mehrere Fertigkeitsproben notwendig, um ICE zu überwinden, Datenbanken zu durchsuchen etc.; dabei besteht immer das Risiko, dass (üblicherweise menschliche) SysOps auf das Eindringen aufmerksam werden und einen hinauswerfen oder in der realen Welt ausfindig machen.

Wichtig ist noch, dass Hacking nicht zwingend eine virtuelle Realität erfordert, so dass der Hacker nicht völlig wehr- und bewegungslos ist. Ohne VR werden die Proben aber etwas schwieriger.

[Outsider]

Ich fand zum Hacking die Regeln von Milleniums End immer recht interessant und einfach. Sie waren schnell, einfach Proben gegen Knotenpunkte in einem Netzwerk um rein zu kommen und Proben um Informationen in dem Teil des Netzwerks zu finden in dem man gerade war. Es hieß also nicht "alles oder nichts" sondern gab meistens Abstufungen. Hilfreich war dabei, dass der Skill "Computer Operations" Unterfertigkeiten wie Civil Systems, Programming, Network und Security hatte. Damit konnte man Hacking variantenreich gestalten, so dass Spieler mit Punkten darauf nicht das Gefühl hatten es wird alles in einem Wurf erledigt und gut ist, sondern man konnte sich auch dort ein wenig ausleben. Gleichzeitig ging es aber schnell genug damit der Rest am Tisch nicht lange zusehen musste.

Das "Passwort raten" was First Orko beschreibt ist glaube ich auch nur ein Film- und Buchmythos. Warum ewig Zeit mit dem Ausforschen der Zielperson verschwenden, wenn 2FA oder zufällig generiertem Passworte einem am Ende eh den Tag vermiesen.

Das social Engineering was er beschreibt zielt darauf ab, den (menschlichen) Punkt in der Sicherheit zu finden und die gefundenen Informationen so gegen diesen zu verwenden, dass er möglichst unachtsam ist und Dinge tut die er normalerweise nie getan hätte. Klassiker, den viel gerühmten Link in der E-Mail anzuklicken, oder einem Fremden zu erlauben seine auf dem USB Stick befindlichen Bewerbungsunterlagen noch mal auszudrucken weil ihm kurz vor dem Termin noch ein Fehler aufgefallen ist, natürlich am PC der Vorzimmerdame oder sonst wem den man als leichtes Ziel identifiziert hat usw.

Das menschliche Gehirn lässt sich durch Vertrauen und eine zu erwartende Belohnung sehr gut in einen Zustand der Unachtsamkeit versetzen. Soziale Medien haben dazu geführt, dass wir dafür belohnt werden (likes, Follower etc.) Informationen über uns preiszugeben die wir Fremden normalerweise nie erzählen würden, weil wir anderen Profilen / Netzwerken vertrauen.

Und diesen Umstand macht sie das soziale Hacking zu nutzen, es werden Informationen gesammelt damit man über „Gemeinsamkeiten“ eine vertraute Situation aufbaut und eine Belohnung suggeriert. Im obigen „kann ich meine Bewerbungsunterlagen noch mal ausdrucken“ kann das Wissen über die Person die das Auswahlverfahren führt die Gemeinsamkeit sein und „der herzliche Dank“ die Unterlagen ausdrucken zu dürfen die Belohnung.

Ganz grob vereinfacht gesprochen.     

[Boba Fett]

In Cyberpunk 2020 war das Hacking katastrophal, Cyberpunk Red macht es nur marginal besser.

Das kann ich nur zu 50% unterstützen, nämlich den ersten Halbsatz.
Die Hackingregeln von Cyberpunk Red empfand ich als durchaus brauchbar.
Wir haben es getestet, ich hatte den Hacker/Netrunner Charakter und das Hacking fand während eines Feuergefechtes statt.
Neben dem Hacking hat der Netrunner sogar 1-2 Runden die Pistole genommen und seine Mitstreiter unterstützt...

10aufmW30 hat zu den Regeln mal ein Youtube Video erstellt.
Ich empfehle, es anzusehen und sich seine eigene Meinung zu bilden.

Aber: Mit dem realistischen Hacken der echten Welt haben die Spielregeln in Rollenspielsystemen so viel geimeinsam,, wie der alte Film "Hackers" - nämlich überhaupt rein gar nichts...

[YY]

Zur Klarstellung: Ich gebe mich mit Regeln zufrieden, die "nur" Spaß machen, aber nicht "realistisch" sind, Regeln, die realistisch sind, aber keinen Spaß machen oder sowohl als auch. Für "Sowohl als auch" habe ich aber vermutet, dass es diese Kombination kaum geben wird. Daher nehme ich gerne Empfehlungen aus den anderen beiden Bereichen entgegen.

Es wurde ja schon genannt: Schau mal in Millennium's End ab S. 79
Wie so vieles in dem System ist es "nur" eine solide Grundlage, um mit etwas angelesenem Hintergrundwissen eine recht realistische Abhandlung zu ermöglichen.
Spaß am Tisch macht das mMn eher so mittelmäßig. Es funktioniert, ist aber kein ausgeklügeltes Minispiel o.Ä. und explizit nicht cyberpunkig im Sinne von Matrix/VR, ICE & Co.


MMn tun sich viele Systeme keinen Gefallen damit, einerseits explizit nicht realistisch zu sein und andererseits dann doch einen technischen Prozess "sauber" abbilden zu wollen - das betrifft z.B. SR4 und 5.
Dann abstrahiert man lieber noch einen Schritt weiter und hat z.B. nur noch eine einfache und eine erweiterte Probe(nreihe) mit den jeweiligen Anwendungsgebieten.

Und zuallererst sollte die Frage stehen, welchen Stellenwert Hacking im Spiel überhaupt haben soll. Wenn es eher Nebensache ist, sind Regeln vom Umfang wie in SR oder CP schon viel zu viel (was man auch daran sieht, dass der Bereich dort traditionell per Handwedeln abgefrühstückt wird) und wenn es zentral ist, reichen diese Ansätze schon nicht mehr, weil sie wie erwähnt nur auf den letzten technischen Schritt schauen und nicht auf Vorbereitung und Drumherum.
Diese "klassischen" Methoden sitzen also mMn recht undankbar zwischen den Stühlen und kaum einer kann so wirklich was damit anfangen.

[KyoshiroKami]

In Tokyo: Otherscape, dem neuen Cyberpunk-Spiel auf Basis von City of Mist, nimmt der Hacker die Gruppe mittels Harnessing mit in eine VR-Umgebung. Dort können alle mithelfen und agieren, die Programme (z.B. ICE) könnten dann etwa durch Kreaturen und Strukturen (Firewall, Server, etc.) durch Gebäude und so dargestellt werden. Das Hacking entspricht dann eher einem Dungeon-Run für die ganze Gruppe. Schaden wird 1:1 übertragen und der eigene Tod in der VR-Welt beendet auch das Leben draußen (wie in der Matrix).

[Skeeve]

Das social Engineering was er beschreibt zielt darauf ab, den (menschlichen) Punkt in der Sicherheit zu finden und die gefundenen Informationen so gegen diesen zu verwenden, dass er möglichst unachtsam ist und Dinge tut die er normalerweise nie getan hätte. Klassiker, den viel gerühmten Link in der E-Mail anzuklicken, oder einem Fremden zu erlauben seine auf dem USB Stick befindlichen Bewerbungsunterlagen noch mal auszudrucken weil ihm kurz vor dem Termin noch ein Fehler aufgefallen ist, natürlich am PC der Vorzimmerdame oder sonst wem den man als leichtes Ziel identifiziert hat usw.

Wobei so kann man auch ohne VR mindestens einen Teil der Gruppe "mitnehmen". Während der Hacker in hoffentlich sicherer Entfernung sitzt, begibt sich ein Teil der Gruppe in die Höhle des Löwen um den USB-Stick  mit den Bewerbungsunterlagen oder das Hacking-Device unauffällig an passender Stelle anzuschließen. Man muss dann nur auch noch irgendwie unauffällig mit dem Hacker kommunizieren...

Aber vermutlich ist das eh Standard bei den verschiedenen Regelwerken.... Cyberpunk hatte ich leider nie gespielt, Shadowrun nur einmal für ca. 2-3 Stunden (bei der anfänglichen Flucht auf Motorrädern hatten sich dieselben um plötzlich im Weg stehende Straßenlaternen gewickelt, den Abflug hatte die Gruppe (oder ein größerer Teil der Gruppe) nicht überlebt und im RealLife wollten wir alle am nächsten Morgen früh hoch um rüber zur Spiel in Essen zu gehen. Daher hatten wir die Showrun-Runde dann abgebrochen. Später wieder zurück in Hamburg ist es dann jahrelang bei den üblichen Fantasy-Runden geblieben.)

[Banjo the Clown]

Na gut, dann empfehle ich etwas: Cryptomancer. Leider weiß ich im Wesentlichen auch nur, was in der Beschreibung steht und, dass die Rezensenten es für gut befinden. Aber es gibt nicht viele Rollenspiele, die behaupten von Hackern für Hacker zu sein.

[Skeeve]

Ach verdammt... ich bin hier doch eigentlich ein völlig Unbeteiligter Nur-Mitleser.
Aber das klingt hier so schräg...

Explore a rich fantasy setting connected by the Shardscape, the magical equivalent of the Internet

Kill all the orcs, hack all the things!

(Klicke zum Anzeigen/Verstecken)

Kann mir irgendwer verraten wie der alte Fantasy-Roman heißt, bei dem Orks Zugriff auf Panzer und Kampfhubschrauber bekommen? Der liegt hier irgendwo rum und war gut zu lesen...
Laut internet dürfte es "Die Orks" von Stan Nicholls sein

So, auf der Wishlist steht das Teil schon mal...

[nobody@home]

Wenn ich mir so anschaue, wie verschiedene Fate-Settings Hacken angehen, dann wird das sehr schnell spielweltabhängig. Im einfachsten Fall (wie bei Fate Core "in nackt" oder auch im Fall von Bulldogs!) gibt's gar keine eigenen Spezialregeln, sondern man hat einfach eine passende "handwerkliche" Fertigkeit, mit der man sich in geeignete Systeme -- an die man vermutlich auch erst einmal physisch herankommen muß -- potentiell hineinhacken kann, und benutzt die bei passender Gelegenheit für normale Fate-Aktionen und -Abläufe wie (Hindernis) Überwinden, Vorteil erschaffen, als Teil einer Herausforderung und was solcher Dinge mehr sind, ohne daß das Spiel dabei groß ins Detail geht. Mit entsprechenden anderen Fertigkeiten (Kontakte, Empathie, Charisma, Täuschen...) läßt sich auch gleich das "Social Engineering" mit abdecken.

Auf der anderen Seite habe ich dann wieder Settings wie Interface Zero (Cyberpunk im Jahr 2090) oder Mindjammer (Mischung aus Weltraumabenteuer, Transhumanismus, und Auseinandersetzungen zwischen verschiedenen Kulturen), in denen es normal ist, daß die Welt mehr oder weniger komplett "online" ist und Leute mit Implantaten im Körper herumlaufen, die ihnen jederzeitigen Zugriff darauf und Interaktionen damit ermöglichen. Da ist Hacken dann im Prinzip etwas, an dem sich jeder einfach mit körpereigenen Mitteln (oder schlimmstenfalls mit ein paar nur für Befugte gedachten Spezialchips) versuchen kann und für das man andererseits auch selber anfällig ist, solange man seine Alltagsverbindung nicht gerade komplett herunterfährt und dadurch auf ihre normalen Vorteile -- IZ: Zugriff auf die "Hyperrealität", MJ: Zugriff auf die "Mindscape" und den persönlichen "Halo" an kleinen externen Spielsachen -- verzichtet. Grundsätzlich bleibt es regeltechnisch immer noch Fate mit Standardaktionen, Fate-Fraktal ("alles kann als Charakter behandelt werden") und allem, aber die Spiele liefern hier mehr settingspezifischen Kontext dazu, der dann wohl auch mehr Regeldetail rechtfertigt und es auf jeden Fall liefert.

(Ein Stück weit mag da auch hineinspielen, daß beide "eigentlich" Konvertierungen sind. Interface Zero hat wohl mal als D20-Produkt angefangen und ist seitdem auch noch für mindestens Savage Worlds herausgekommen, und Mindjammer war ursprünglich mal ein Setting für Starblazer Adventures, das noch eine frühere und durchaus crunchigere Version von Fate verwendet hat. In beiden Fällen merkt man die Herkunft hier und da durchaus noch, aber die Umsetzungen sind mMn trotzdem recht benutzbar -- mein Hut hat meinen Kopf beim Lesen jedenfalls nicht verlassen, auch wenn hier und da eine Augenbraue hochgegangen sein mag. )

Was mir dabei bis jetzt noch nicht untergekommen ist, ist Hacken als ganz spezieller Einzelspielermodus für den Experten, bei dem die anderen ausgesperrt sind. Normal ist eher, daß der Hacker seine Aktionen immer noch im selben Kontext durchführt wie die anderen SC und NSC auch...was dann eben auch mal heißen kann, daß das Sicherheitspersonal schon die Tür eintritt, während er noch dabei ist, sich in seiner mehr oder weniger virtuellen Umgebung zum verbotenen Geheimwissen vorzuarbeiten, oder daß er durchaus versuchen darf, direkt im Lauf einer Verfolgungsjagd die Kontrolle über ein gegnerisches Fahrzeug oder eine Drohne zu übernehmen.

[Outsider]

Wobei so kann man auch ohne VR mindestens einen Teil der Gruppe "mitnehmen". Während der Hacker in hoffentlich sicherer Entfernung sitzt, begibt sich ein Teil der Gruppe in die Höhle des Löwen um den USB-Stick  mit den Bewerbungsunterlagen oder das Hacking-Device unauffällig an passender Stelle anzuschließen. Man muss dann nur auch noch irgendwie unauffällig mit dem Hacker kommunizieren...

Aus genau diesem Grund mag ich Regeln die aus Hacken kein Minispiel im Spiel machen oder wie bei SR ganze Parallelwelten erschaffen in denen der Spieler der den Hack ausführt sich bewegen muss (Bei PC spielen wäre das wieder etwas anderes!).

Hacken oder besser Matrixruns´s bei SR haben wir nie gespielt, da kam das weiter oben erwähnte "...ist zu kompliziert machen wir per Handauflegen..." zum Tragen. Nun sind wir aber auch nie über die 2.01d Edition hinausgekommen (außer zwei einmalige Versuche mit der 4. Edition noch mal Fußzufassen).

Bei CoC dagegen ist Hacken ja "nur" ein beliebiger Wurf auf eine Fertigkeit. Das war mir immer zu wenig. Das wäre für mich das Paradebeispiel von @YY mit "...Spaß am Tisch macht das mMn eher so mittelmäßig..."

Systeme wie ME (<- Beispielhaft nicht perfektes Vorbild) die ein wenig von beidem haben und unterschiedliche Fertigkeiten / Unterfertigkeiten ansteuern und sowas grobes wie ein Netzwerk vorgeben ohne daraus gleich ein Minispiel zu machen sind mein Favorit. Das erlaubt dann auch, dass andere Spieler an der "Szene" partizipieren können ohne gleich etwas ganz anderes zu machen (oder pausieren zu müssen). Sie beteiligen sich an der Voraufklärung, sind vielleicht diejenigen die es dem Hacker ermöglichen reinzukommen, bzw. den Zugang legen usw. Dann ist Hacken kein hermetisch abgeriegelter Prozess mehr den nur der Spezialist beherrscht und bei dem sonst keiner etwas zu tun hat. 

Und solche Würfe (wenn man denn Würfelwürfe mag) gehen schnell und sind dann nicht die riesige Pause für die anderen am Tisch.

Was mich noch zu einem Punkt führt, den ich persönlich bevorzuge. Wenn Gebiete wie Kämpfer, Heiler, Hacker usw. keine Klassen sind, sondern die Charakterentwicklung dynamisch abläuft. Dann definiert sich ein Char nicht alleine durch sein Spezialgebiet und es bedarf nicht die Nische in der er alleine glänzen kann.  Aber das geht jetzt vielleicht zu weit OT.

[Isegrim]

Ich fand die Hacking-Regeln aus dem Fate-Shadowrun-Hack ShadowCore ganz gelungen, auch wenn ich die im Spiel kaum genutzt habe (hatten nur in wenigen Sessions einen Decker-SC). Ein System hat bestimmte Werte (die man mit ein bischen Erfahrung auch improvisieren kann, oder man legt sich ein paar Standard-Systeme zu Recht), und ein Matrix-Run wird dann mit ein paar Würfen abgehandelt. Damit hat man eine solide Möglichkeit, das Thema nicht nur mit den allgemeinen Regeln zu handwedeln, auch wenn das für die wirklich simplen Dinge immer noch möglich ist, um Zeit zu sparen.