Zurück zur Startseite

Sicherheit in der Spieleentwicklung: Bewusste Vernachlässigung einer kritischen Side Quest

Veröffentlicht am 6. April 2026 · Lesezeit ca. 5 Minuten

Dr. Alexander Krause
Dr. Alexander Krause IT-Sicherheitsberater & Forscher am CISPA Helmholtz-Zentrum

Spieleentwicklung und IT-Sicherheit — zwei Welten, die sich kaum berühren. So zumindest der Eindruck, den eine qualitative Studie am CISPA Helmholtz-Zentrum für Informationssicherheit zeichnet. Für die auf der ACM CCS 2024 vorgestellte Arbeit „Skipping the Security Side Quests" (Klostermeyer et al., 2024) führte das Forschungsteam 20 semi-strukturierte Interviews mit professionellen Spieleentwicklern aus 15 Ländern. Das Ergebnis ist ernüchternd.

Warum behandelt die Spielebranche Sicherheit als Nebenmission?

Der Titel der Studie trifft es präzise. In Videospielen sind Side Quests optional — nett, aber nicht nötig für den Abschluss. Genauso behandeln viele Studios das Thema Sicherheit.

Die Befragten bekleideten unterschiedlichste Rollen: Entwickler, Manager, Publisher, Security-Experten, Produzenten, Freelancer. Quer durch alle Positionen kristallisierte sich ein Muster heraus: Das Bewusstsein für Sicherheitsprobleme ist da. Die Bereitschaft, Ressourcen dafür freizugeben, nicht. Philip Klostermeyer, Erstautor der Studie, bringt es auf den Punkt: „Die Spieleindustrie agiert beim Thema Sicherheit sehr sprunghaft."

Fünf Sicherheitsfelder, ein gemeinsames Problem

Die Studie identifiziert fünf sicherheitsrelevante Bereiche in der Spieleentwicklung:

  • Anti-Cheat: Maßnahmen gegen Betrug in Multiplayer-Spielen
  • Asset-Sicherheit: Schutz von geistigem Eigentum wie Spielgrafiken, Quellcode und unveröffentlichten Inhalten
  • Netzwerksicherheit: Absicherung der Kommunikation zwischen Client und Server
  • Software-Stabilität: Schutz vor Crashes, Exploits und Manipulationen der Spiellogik
  • Schutz von Nutzerdaten: Verantwortungsvoller Umgang mit Spieler-Accounts, Zahlungsinformationen und personenbezogenen Daten

Allen fünf Bereichen gemein: Budget, Zeit und Wissen fehlen. Die Interviews zeigen, dass Sicherheitsmaßnahmen fast immer dem Feature-Druck und engen Deadlines weichen müssen.

Warum dient Anti-Cheat dem Umsatz statt dem Spielerschutz?

Anti-Cheat dominiert die Sicherheitsdiskussion in der Branche. Kein Wunder — Cheater vertreiben zahlende Spieler, und das kostet direkt Umsatz. Studios investieren hier am ehesten.

Aber die Motivation ist aufschlussreich. Es geht nicht um die Sicherheit der Spieler, sondern um den Schutz des Geschäftsmodells. Solange Cheating den Umsatz nicht bedroht, bleibt das Thema liegen.

Kernel-Level Anti-Cheat-Systeme verschärfen das Problem zusätzlich. Diese Software läuft mit den höchsten Systemprivilegien auf den Rechnern der Spieler — und schafft damit neue Angriffsflächen. Ein konkretes Beispiel liefert Genshin Impact: 2022 wurde eine Schwachstelle im Anti-Cheat-Treiber des Spiels entdeckt, die Angreifer für Ransomware-Attacken missbrauchten. Schutz vor Cheatern schuf also eine Sicherheitslücke für alle Spieler, unabhängig davon, ob sie das Spiel überhaupt noch installiert hatten.

Große Studios vs. Indie-Entwickler

Die Kluft zwischen großen und kleinen Studios ist enorm.

Große Publisher und AAA-Studios beschäftigen dedizierte Security-Teams, führen Penetrationstests durch und haben Budgets für externe Audits. Kleine und mittlere Studios — und davon gibt es in der Spielebranche sehr viele — stehen vor einer anderen Realität. Ein Indie-Team mit fünf Leuten hat schlicht keine Kapazität, jemanden für Sicherheit abzustellen. Die Entwickler sind gleichzeitig Designer, Tester, Community-Manager und DevOps-Ingenieure. Sicherheit fällt unter den Tisch, weil niemand sie aufhebt.

Die Studie zeigt: Teamgröße und Budget korrelieren direkt mit dem Sicherheitsniveau. Das ist wenig überraschend, macht die Situation für kleine Studios aber nicht weniger gefährlich.

Warum gibt es keine Sicherheitsstandards in der Spielebranche?

Was die Forschung besonders alarmierend findet: Es gibt keine branchenweiten Sicherheitsstandards für die Spieleentwicklung. Während in der Finanzbranche PCI DSS, im Gesundheitswesen HIPAA und in der allgemeinen Softwareentwicklung OWASP als Referenzpunkte dienen, existiert für Games nichts Vergleichbares.

Die Mehrheit der interviewten Entwickler hatte nie an einer Sicherheitsschulung teilgenommen. Sicherheitswissen wurde — wenn überhaupt — informell weitergegeben oder anlassbezogen gegoogelt. Systematische Weiterbildung? Fehlanzeige.

Das führt zu einer Wissenslücke, die sich selbst verstärkt. Wer nicht weiß, welche Bedrohungen existieren, kann den Aufwand für Gegenmaßnahmen nicht einschätzen. Und wer den Aufwand nicht einschätzen kann, stellt kein Budget dafür bereit.

Das Dilemma der bewussten Vernachlässigung

Der vielleicht beunruhigendste Befund der Studie: Die Spielebranche leidet nicht primär an Unwissenheit. Die Befragten wissen, dass Sicherheit ein Problem ist. Sie wissen, dass ihre Spiele Schwachstellen haben. Und sie wissen, dass Nutzerdaten gefährdet sein könnten.

Trotzdem passiert wenig. Geld, Zeit und Know-how — diese drei Faktoren bilden ein Dreieck der Handlungsunfähigkeit. Studios müssten gleichzeitig investieren, Entwicklungszeit abzweigen und Expertise aufbauen. In einer Branche, die von Crunch-Phasen und knappen Margins geprägt ist, bleibt Sicherheit die Side Quest, die übersprungen wird.

Was sich ändern muss

Die Studie formuliert keine fertige Lösung — dafür ist das Problem zu vielschichtig. Aber die Richtung ist klar.

Erstens braucht die Spielebranche eigene Sicherheitsstandards. Nicht eine Kopie von OWASP, sondern auf die spezifischen Herausforderungen der Spieleentwicklung zugeschnittene Leitfäden — von Anti-Cheat über Asset-Schutz bis zum Umgang mit Spielerdaten.

Zweitens fehlt es an zugänglichen Schulungsangeboten. Sicherheitstrainings, die auf die Arbeitsrealität kleiner Studios zugeschnitten sind, könnten die Wissenslücke schließen, ohne unrealistische Ressourcen zu fordern.

Drittens müssen Plattformbetreiber und Publisher Verantwortung übernehmen. Wer Spiele veröffentlicht und vertreibt, hat die Marktmacht, Sicherheitsanforderungen verbindlich zu machen — ähnlich wie App Stores Mindestanforderungen an Datenschutz durchsetzen.

Fazit

Die Spieleindustrie hat ein Sicherheitsproblem, das sie kennt, aber nicht löst. Die qualitative Studie von Klostermeyer et al. liefert dafür den empirischen Beleg: 20 Interviews, 15 Länder, fünf Sicherheitsfelder — und ein durchgängiges Muster bewusster Deprioritisierung. Für die mehr als drei Milliarden Spieler weltweit, deren Daten und Systeme betroffen sind, ist das keine akzeptable Situation.

Die vollständige Studie ist verfügbar unter: Klostermeyer et al., „Skipping the Security Side Quests: A Qualitative Study on Security Practices and Challenges in Game Development", ACM CCS 2024.

Dieser Artikel ist eine KI-generierte Zusammenfassung der wissenschaftlichen Publikation „Skipping the Security Side Quests: A Qualitative Study on Security Practices and Challenges in Game Development" (ACM CCS 2024). Die Inhalte wurden redaktionell geprüft.