„Hunt the daemons, hack the possessed servers and find the root of the eval!“ Diesen Herausforderungen stellten sich über einhundert Security-Begeisterte bei unserem „Capture The Flag“-Event „The Haxorcist 2023 – Halloween CTF“, das wir gemeinsam mit Laokoon Security, IBM und Bechtle Bonn organisiert haben. Es war im vergangenen Jahr das größte on-site Event dieser Art in Deutschland. Mit dabei waren nicht nur einige der derzeit besten Hochschulteams, sondern als Schirmherr sogar der Bundesdatenschutzbeauftragte Ulrich Kelber.

Alle, deren Herzen für IT Security schlagen, können mit dem Begriff „Capture The Flag“ selbstverständlich etwas anfangen. Allen anderen erklärt es IT Security Consultant Celine Losen von CGI: „Es geht darum, sich in verschiedenen Challenges in Computersysteme zu hacken und Flaggen zu erbeuten – möglichst viele und möglichst schnell. Dazu lösen die Teams Rätsel in unterschiedlichen Themengebieten, von Web Security bis Kryptografie. Wer am Schluss auf dem Score Board ganz oben steht, hat gewonnen.“

Ehrgeiz und Spaß

Die besten zehn Teams konnten sich über einen der Preise im Gesamtwert von 35.000 Euro freuen. Bis zum Schluss blieb es spannend. Vier Teams rangen noch in den letzten Minuten um den Sieg. „Das zeigt den Ehrgeiz, der dahintersteckt – und den Spaß, den die Teams haben“, meint Celine.

Gleichgesinnte unter sich

Ob Gewinner:in oder nicht: Von dieser Veranstaltung haben alle profitiert: „Es war ein sehr lehrreicher Tag. Im Anschluss gab es die Möglichkeit, sich beim Get-together auszutauschen. „Hier treffen sich lauter Gleichgesinnte, die alle ähnlich ticken und von denen man viel lernen kann. Auch unser Schirmherr war dort. Das war schon etwas Besonderes“, findet Celine. Auch viele der Teilnehmenden erzählten, dass ihnen das persönliche Kennenlernen vor Ort sehr gefallen habe. Im Vergleich mit den Online-Events sei das ein riesiger Unterschied.

Vier Männer auf dem CTF Event umarmen sich und machen ein gemeinsames Selfie
Von links: Alexander Höhfeld (CGI), Nils Merkle (IBM), Matthias Schwettlick (Bechtle Bonn), Moritz Samrock (Laokoon Security)

Wertvolle Praxiserfahrung

Der Spaß steht beim Capture The Flag im Vordergrund. Doch es geht auch darum, praktische Erfahrungen zu sammeln und Hacking-Techniken und -Fertigkeiten zu trainieren, die im Berufsalltag gebraucht werden: beim Penetration Testing und Red Teaming. Dabei werden Security-Schwachstellen aufgedeckt – oder in anderen Worten: Kundenunternehmen in ihrem eigenen Auftrag gehackt. Als einer der größten IT-Dienstleister der Welt bietet CGI im Bereich IT Security eine unglaubliche Bandbreite an Aufgaben, Projekten, Kundenunternehmen und Branchen. Die Arbeit ist also sehr vielseitig und individuell.

Sei 2024 beim nächsten Capture The Flag Event dabei!

Das nächste Capture The Flag ist bereits in Planung. Celines Tipp für alle, die daran teilnehmen möchten: „Üben, üben, üben! Man sollte sich frühzeitig sein Team suchen – Leute, mit denen man gerne am Wochenende einen ganzen Tag miteinander verbringt. Es hilft sehr, wenn man vorher an Online-CTFs teilnimmt und sie als Übungsplattform nutzt. Je mehr du trainierst, desto schneller wirst du auch vorankommen.“

Zulassungsbedingungen? Keine!

Alle können teilnehmen, von Studierenden bis Security-Profis. „Was man allerdings auf jeden Fall mitbringen sollte, sind Grundlagen mit Pentesting-Tools und Toolkits sowie den Spaß am Knobeln! Man muss schon die Willenskraft haben, sich ein bisschen durchzubeißen und über mehrere Stunden dranzubleiben“, stellt Celine klar.

Was sie sich fürs nächste Mal wünscht? „Natürlich noch viele weitere Teilnehmende – und dass unsere Community sich noch stärker vernetzt. Traut Euch, Euch auszutauschen! Das ist das Allerwichtigste.“