Hacking als Minigame in Eclipse FATE
Feb 17th, 2012 by hendrik
So, da tut sich mal wieder was. Für meine Eclipse FATE Runde auf dem Treffen habe ich einfach mal einen Hacker als Charakter gebaut und der soll natürlich auch etwas zu tun haben. Also habe ich mir ein paar Gedanken gemacht wie man sich hier die normalen FATE-Mechanismen möglichst elegant zu Nutzen machen kann. Heraus gekommen ist etwas, dass den normalen Combat-Regeln nicht unähnlich ist (Ich vermute dass das Ganze auch für den einen oder anderen Cyberpunk-Enthusiasten interessant ist – die Mechanismen müssten sich ja eigentlich ziemlich direkt übertragen lassen).
Schauen wir uns zunächst einmal an was unser Hacker so mitbringt:
Als erstes braucht der Junge den Interfacing-Skill mit dem er alle möglichen Hackingtätigkeiten erledigt. Zudem hat er auch noch Software, die er zum Einsatz bringen kann. Wichtig für’s Hacken sind Spoofing, Exploit und Sniffing. Firewall ist auch ein interessantes Ding, dazu kommen wir noch. Und dann gibt es noch Tracking, das ist aber eher für die Gegenseite interessant. Die Software wird als normale Ausrüstung gekauft und kann jede beliebige Stufe haben – die entspricht dann auch ihren Kosten. Meinen Beispielhacker habe ich etwa mit Good Exploit, Fair Spoofing und Average Sniffing ausgestattet.
Stress und Konsequenzen
Vielseitigerweis nutzen wir diesen Skill auch noch gleich, um einen Hacking Stress Track nach den üblichen Regeln zu definieren. Das angegriffene System kann also Stress beim Hacker auslösen. Consequences gibt es natürlich auch, und die werden so inpretiert dass sie unterschiedliche Sicherheitsstati des Systems darstellen. Damit kommt man dann auf die vier üblichen Stati aus Eclipse Phase:
- Hidden: Noch keinerlei Stress erlitten
- Covert: Stress erlitten, aber noch keine Konsequenz in Kauf genommen.
- Spotted: Das ist die Mild Consequence. Neben dem Aspekt erhält das System an diesem Punkt auch zwei FATE Points und schaltet in den Modus Passive Alert (das ist ein Aspekt des Systems).
- Locked: Das ist die Moderate Consequence. Wieder gibt es für das System zwei FATE Points und wir schalten auf Active Alert (auch das ist ein Aspekt des Systems).
Landet unser armer Hacker irgendwann bei einem Taken Out, so fliegt er aus dem System. Damit leert sich auch der Stress Track wieder. Die Konsequenzen bleiben aber bestehen bis die Systemadministration sie zurück setzt – was nur im Falle von Covert sofort geschieht.
Systemdesign
Für ein System dass es zu hacken gilt definieren wir zuallererst einmal eine Karte. Die einzelnen Zonen auf der Karte sind Subsysteme, die verschiedene Aufgaben übernehmen oder verschiedene physikalische Geräte darstellen. Zwischen den Zonen gibt es auch die üblichen Barrieren, in diesem Fall nennen wir sie passenderweise Firewalls. Wenn ich die Karte male, dann sollte sie auf jeden Fall auch das System des Hackers beinhalten – Gegenangriffe sind ja nicht ausgeschlossen. Der Hacker beginnt in einer beliebigen eigenen Zone. Der SL sollte nicht vergessen Eintrittspunkte einzuzeichnen durch die später Sicherheitsmaßnahmen wie gegnerische Hacker und KIs die Karte betreten können.
Zudem hat jedes System noch ein System Rating. Das ist quasi der Skill mit dem sich das System verteidigt.
Aktionen des Hackers
Dem Hacker stehen mehrere verschiedene Aktionen zur Verfügung.
- Move: Bewege Dich eine oder mehrere Zonen. Notwendig dafür ist ein Wurf auf Interfacing, und der Effekt gibt an wie viele Zonen Du schaffst. Schaffst Du die Probe nicht, so kassierst Du einen Stress.
Das an sich ist jetzt nicht so interessant, aber zumeist werden Dir Firewalls im Wege stehen. Die musst Du überwinden können, und das wirkt sich zunächst einmal negativ auf Deine Reichweite aus. Deine Spoofing Software gibt Dir aber Bonusshifts. Wenn Du also überhaupt Deine Probe schaffst, dann kannst Du die Software mit einrechnen um schneller an den Firewalls vorbei zu kommen. - Attack: Wie üblich kannst Du einen gegnerischen Hacker (oder eine KI) in Deiner Zone angreifen, um diesen aus dem System zu werfen. Der Angriff geht über Interfacing. Wenn Du triffst, kannst Du zudem Deine Exploit Software benutzen um zusätzliche Shifts für den Schaden zu bekommen. Die Abwehr geht auch über Interfacing. Wird das Ziel getroffen, so kann es den Schaden um den Wert seiner Spoofing Software reduzieren (die zählt also als Rüstung).
Neben anderen Hackern kannst Du auch eine Firewall angreifen um ihre Stufe dauerhaft zu senken. In diesem Fall wehrt sich das System mit seinem System Rating. Die Stufe der Firewall wird danach entsprechend Deiner Nettoshifts verringert.
Wenn Du Attack verwendest, egal zu welchem Zweck, und der Systemstatus war bisher Hidden, dann bist Du danach automatisch nur noch Covert. Setzt Du eine Attacke in den Sand und das System hat noch keinen Alarm-Aspekt, so erleidest Du zwei Punkte Stress. - Obstruct: Du kannst selbst zwischen Zonen eine Firewall hochziehen um Eindringlinge aufzuhalten. Dies ist eine Probe gegen das feste System Rating (der SL würfelt also nicht). Der Effect Deiner Probe entspricht der Stärke der neuen Firewall. Du kannst auf diese Weise auch existierende eigene Firewalls weiter verstärken. Schaffst Du die Probe aber nicht, so erleidest Du einen Punkt Stress. Wenn Du Firewall-Software besitzt gibt diese Dir Bonusshifts für Deine Aktion.
- Block: Mittels Interfacing kannst Du nach den üblichen regeln einen Block auf Deine Zone legen. Der schützt dich, das System und alle Firewalls die an die Zone angrenzen. Spoofing-Software gibt hier wieder zusätzliche Shifts.
- Maneuver: Du kannst beliebige Maneuver mittels Interfacing durchführen um einer Zone (und damit einem Subsystem) neue Aspekte zu verpassen. Herunter geladene, gelöschte oder geänderte Daten zählen dabei natürlich als Aspekte. “Unter meiner Kontrolle” ist auch ein beliebter Aspekt.
Aktionen des Systems
So lange das System noch nicht im Alarmzustand ist wird es nichts unternehmen. Warum sollte es auch?
Passiver Alarm
Sobald der passive Alarm erreicht ist betritt ein Sicherheitshacker das System. Das System kann auch FATE-Points ausgeben um weitere Hacker einzuschleusen.
Den Sicherheitshackern stehen alle oben genannten Aktionen zur Verfügung. Das System selbst kann ebenfalls handeln, sofern sich die Sicherheitshacker nur bewegen oder verteidigen. In diesem Falle stehen ihm zwei Aktionen zur Verfügung:
- Reduce privileges: Das System gibt einen FATE Point aus. Alle Benutzer (auch die administrativen) werden auf einen Status mit begrenzten Zugriffsrechten zurück gesetzt. Alle sicherheitsrelevanten Subsysteme verschwinden damit augenblicklich von der Karte.
- Re-authenticate: Das System verlangt eine erneute Authorisierung aller Benutzer. Damit fährt es effektiv einen Angriff gegen den Hacker – sofern sich dieser in einer Zone des Systems befindet. Der Angriff geht über das System Rating, die Verteidigung über Interfacing und Spoofing Software, falls vorhanden. Mit jedem Shift den das System erzielt darf es den Hacker eine Zone weit bewegen – ungehindert etwaiger Firewalls, bis hin zur Systemgrenze (d.h. der Hacker landet im schlimmsten Fall wieder in seinem eigenen System.
Aktiver Alarm
Beim aktiven Alarm betreten alle Sicherheitshacker das System und machen aktiv Jagd auf den Hacker. Zudem wird das System jetzt nicht mehr durch seine Helfer behindert, dass heißt unabhängig von den Aktionen der Sicherheitshacker darf es auf jeden Fall selbst eine Aktion durchführen. Die Sicherheitshacker werden jetzt zudem aktiv versuchen das System des Hackers zu infiltrieren, also einen Gegenangriff zu starten. Dem System stehen jetzt drei weitere Aktionen zur Verfügung:
- Trace: Dies ist ein spezielles Manöver dass das System gegen den Hacker anwendet. Gelingt es, so bekommt dieser den Aspekt Traced verpasst und damit ist seine physikalische Position bekannt.
- Shutdown: Das System gibt einen FATE Point aus und fährt sich herunter. Dies nimmt allerdings [System rating] Runden in Anspruch.
- Dump wireless connections: Das System gibt einen FATE Point aus. Alle drahtlosen Verbindungen nach Außen werden gekappt. Alle, die nicht direkt (also per Kabel) mit dem System verbunden sind werden ausgeworfen und müssen wieder in ihrer Startzone beginnen.
(PS: Bei Übernahme in andere Werke bitte beachten dass das Zeug entsprechend der Eclipse FATE Lizenz sowohl unter der OGL als auch unter der CC Noncommercial stehen muss!)
Meine ersten Gedanken sind, dass der Hacker zu viele Fertigkeiten benötigt. Ein Kämpfer benötigt eigentlich nur zwei Fertigkeiten (Schusswaffen und Ausdauer), ein Zauberer (in Dresden Files – Conviction und Discipline), usw.
Natürlich gibt es immer noch einen dritten Skill, der sehr hilft (Nahkampf bzw. Lore), aber das ist schon recht nice-to-have. Evtl. könnte man ja eine Fertigkeit wie Investigation mit in das Paket reinziehen? Dann hat man zumindest noch einen Quernutzen.
Ich hab außerdem nicht kapiert, von welchem Skill der Stresstrack jetzt abhängt.
Bei der Idee, das ein System in bestimmten Zuständen FATE-Punkte bekommt verlässt du ja die üblichen Kampfregeln. Das ist ganz spannend, muss ich mal drüber nachdenken. Ich finde es aber eher starr. Warum sollte der schlechte gewartete Highschoolrechner mit 4 Fatepunkten an den Start gehen? Soviele hat ein Hacker in der Regel ja nicht. Wenn das System die Chips ausgibt, um den Hacker zu compellen, kann jeder Hack verhindert werden. Vermutlich willst du damit ja (was ich toll finde) abbilden, dass ein “gewarntes” System viel besser ist. Kann ich denn erfolgreich hacken, ohne das System in den Zustand “taken out” zu überführen? Das müsste dann ja möglich bleiben, das Ding auszuräumen, OHNE dass es “gewarnt” ist.
Eigentlich ist der Hacker sogar besser dran. Der braucht immer nur eine Fertigkeit, nämlich Interfacing – und von dem hängt auch der Stress-Track ab. Die anderen Dinge (Spoofing, Exploit,…) sind ja Ausrüstungsgegenstände und damit optional. Die helfen Dir auch nicht bei der Probe sondern geben bei Erfolg nur zusätzliche Shifts (bzw. zählen als Rüstung).
Zu den FATE-Punkten. Der Highschool-Rechner ist wahrscheinlich kein Problem für unseren Hacker, weil er hier an den passiven Sicherheitsmaßnahmen kaum scheitern wird. Und zu Beginn hat das System ja keine FATE-Punkte. So lange ich durch den Rechner schleiche und mich niemand entdeckt ist das System ja sogar komplett handlungsunfähig. Gefährlich wird es ja erst wenn ich versuche mit Brute Force irgendwo durchzukommen oder grobe Manipulationen anzustellen.
Zudem ist der Zustand des Hackings hier ein anderer. Das System hat keinen Stress-Track, den im Regelfall willst Du ja nicht das gesamte System lahmlegen sondern Daten klauen oder dem System falsche Sensorinformationen vorgaukeln. D.h. Du gehst in die entsprechenden Knoten, machst da Deine Manöver und die Subsysteme kriegen entsprechend Deiner Manipulationen Aspekte (z.B. “Mr. Jonhsons Bankdaten sind plötzlich weg” oder “Die Kameraaufnahme des Korridors zeigt keine Auffälligkeiten”) verpasst. Sobald die Manöver durch sind hast Du als Hacker schon gewonnen.