In der „IBM Garage for Defense“ fand am letzten Samstag eine Cyber Security-Challenge in Bonn statt, bei der über hundert Hacker ihre Fähigkeiten unter Beweis stellten. Von den 120 Pizzen zur Verpflegung blieben am Ende lediglich 15 übrig. Doch nicht nur die Sachpreise im fünfstelligen Euro-Bereich weckten großes Interesse, sondern auch der unermüdliche Ehrgeiz der Teilnehmer, ihr Team zu Ruhm und Ehre führen. Wer glaubte, dass ‚The Haxorcist‘ nur etwas für eine Halloween-Party von ein paar Nerds sei, lag völlig falsch. Denn hier ging es um den Wettkampf der herausragendsten deutschen Talente im Bereich der Cyber Security und Verteidigung.
Die Cyber Security-Challenge in Bonn wurde als Capture the Flag-Event (CTF) ausgerichtet. In diesem Wettbewerb traten 30 Teams an, bestehend aus ein bis vier Personen, und sie waren aufgefordert, verschiedene Aufgaben in einer vorgegebenen Zeit zu lösen. Als Beweis für ihren Erfolg mussten sie jeweils eine „Flagge“ in Form eines speziellen Codes finden. Die Teilnehmer waren überwiegend männlich und setzten sich aus Schülern, Studierenden und erfahrenen Fachkräften zusammen. Die Tatsache, dass sie an dieser Veranstaltung teilnahmen, zeugte bereits von ihrem Engagement, über das übliche Maß hinauszugehen und mehr zu leisten, als es von ihrem Studium oder Arbeitgeber erwartet wurde. Das betonte Moritz Samrock von Laokoon SecurITy, einem Start-up, das von ehemaligen Bundeswehrangehörigen gegründet wurde. Das junge Unternehmen fungierte neben IBM, CGI und Bechtle Bonn als einer der Veranstalter dieses Hack-Events.
Doch wer sind Hacker eigentlich und warum nehmen sie an Veranstaltungen wie diesem CTF in Bonn teil? Nils Merkle von IBM erklärte: „Für mich ist ein Hacker ein Informatiker, jemand, der sich besonders gut mit der Sicherheit von Computern auskennt und Schwachstellen in IT-Systemen aufspürt.“ Solche Schwachstellen können vielfältig sein, beispielsweise eine Suchmaske auf einer Website, in die nicht nur Suchbegriffe, sondern auch Programmcode eingegeben werden kann, um anschließend Zugriff auf normalerweise verborgene Bereiche der Website zu erhalten. Die Fähigkeit, solche Sicherheitslücken aufzuspüren, erfordert Übung, und genau dafür sind Veranstaltungen wie ‚The Haxorcist‘ gedacht.
„Der Enkeltrick ist Social Engineering für Anfänger“
Die 21 vorhandenen Aufgaben bei der Cyber Security-Challenge in Bonn, von denen das Gewinnerteam innerhalb der vorgegebenen sechs Stunden 17 löste, gehörten verschiedenen Kategorien an, darunter OSINT (Open Source Intelligence). Bei OSINT geht es darum, mithilfe von im Internet frei verfügbaren Informationen – beispielsweise in sozialen Netzwerken veröffentlichten Hobbys und Interessen – Social Engineering zu betreiben. Dies bedeutet, dass Menschen manipuliert werden, um bestimmte Verhaltensweisen zu induzieren. Nils Merkle verdeutlichte dies, indem er sagte: „Der Enkeltrick ist so etwas wie Social Engineering für Anfänger. Nur geht es dabei nicht um ein paar Hundert Euro aus dem Portemonnaie der Oma, sondern um Millionen von Unternehmen.“
In der zu lösenden OSINT-Aufgabe galt es, mithilfe öffentlich im Internet verfügbarer Informationen einen bestimmten Twitteraccount ausfindig zu machen. Dieser hatte einen QR-Code geteilt, der schließlich zur Flagge führte. Diese ‚Flags‘ waren immer nach dem gleichen Format aufgebaut: ‚HTB{<der Challenge-spezifische Code>}‘. In Bezug auf die OSINT-Aufgabe lautete der Code HTB{qRc0d5sc4nbeUs3dT0spr34dm4lw4r3}, wobei es sich um einen leicht lesbaren Text im sogenannten ‚Leet-Speak‘ handelte. „Das ist eine Art von Hackersprache“, erklärte Samrock. „Dabei werden Buchstaben durch Zahlen ersetzt. Übersetzt lautet der Text demnach: ‚QR-Codes können dazu verwendet werden, Malware zu verbreiten‘.
In einer anderen Kategorie der gestellten Challenges, der sogenannten ‚WEB‘-Herausforderungen, bestand die Aufgabe darin, in den Server einer Webseite einzudringen, um eine Textdatei mit der darin enthaltenen ‚Flagge‘ zu finden. Das Besondere an dieser Aufgabe war, dass zum Auslesen der Textdatei der Webserver gehackt werden musste, indem eine Schwachstelle in der Anwendung ausgenutzt wurde. Auch hier diente die ausgelesene Flaggen-Datei als Nachweis für das erfolgreiche Lösen der Challenge. Alle Aufgaben bei der Cyber Security-Challenge in Bonn wurden von HackTheBox entwickelt, einem Unternehmen, das sich auf die Schulung von IT-Sicherheitsexperten spezialisiert hat. Neben den onDemand Cybersecurity-Kursen und Zertifikaten von SANS im Wert von mehreren Tausend Euro, standen den erstplatzierten Teams auch Abonnements von HackTheBox zur Verfügung, mit denen sie ihre Fähigkeiten weiter ausbauen konnten.
„Crème de la Crème“ des IT-Sicherheitsnachwuchses in Bonn
Ein bemerkenswertes Zeichen der Wertschätzung war die Schirmherrschaft des Bundesdatenschutzbeauftragten, Prof. Ulrich Kelber. Er nahm sich die Zeit, das Event persönlich zu besuchen und sich mit den Teilnehmenden über digitale Themen auszutauschen. Dies unterstrich die Bedeutung von Veranstaltungen im Bereich Cybersecurity und deren Relevanz.
Von Samrocks Standpunkt aus betrachtet, war die Veranstaltung ein Anziehungspunkt für die herausragendsten Talente im Bereich IT-Sicherheit. Er betonte, dass Menschen, die sich in ihrer Freizeit solchen Herausforderungen stellen und sich so leidenschaftlich für dieses Thema engagieren, außergewöhnliche Talente sind und genau das, was die Branche im Bereich Nachwuchsförderung dringend benötigt.
Merkle sieht solche CTF-Veranstaltungen auch als Gelegenheit zum Talent-Scouting: „Wir organisieren diese Events nicht nur aus Spaß an der Sache, sondern auch, um talentierte Sicherheitsexperten für unser Team zu gewinnen. Für IBM ist unsere Strategie Hybrid-Cloud, Künstliche Intelligenz und Quantencomputing. Diese drei Zukunftstechnologien können nur dann erfolgreich im Unternehmenskontext eingesetzt werden, wenn sie sicher in die Systeme integriert sind.“
Das nächste CTF-Event ist bereits in Planung und wird im Herbst 2024 unter dem Namen ‚Hack der Deutschen Einheit‘ erneut Hacker aus dem gesamten Bundesgebiet herausfordern. Die Sieger der Cyber Security-Challenge in Bonn 2023 waren die RedRockets.
Herzlichen Glückwunsch!
