Cyber-Kriminelle hacken sich in Netzwerke ein, erpressen Lösegeld oder greifen Daten ab. Die Gefahr, dass Unternehmen Opfer von üblen Machenschaften im Netz werden, sei so groß wie nie zuvor, stellte auch das vom Freistaat herausgegebene „Lagebild Cybercrime Bayern“ fest. Aber neben den Hackern, die Böses im Schilde führen (sogenannte „Black Hat“-Hacker), gibt es auch die guten („White Hat“-Hacker). Die Hacker mit dem weißen Hut gehen nicht auf digitalen Raubzug, sondern helfen Unternehmen, Institutionen und dem Staat, Schwachstellen und Sicherheitslücken in IT-Systemen aufzuspüren und davor zu warnen.
Eine Variante, mit der die guten Hacker auf IT-Risiken aufmerksam machen, sind sogenannte „Capture The Flag“-Wettbewerbe (CTF). Der Name kommt von Geländespielen, bei denen eine versteckte oder gegnerische Flagge erobert werden muss. Im Wesentlichen laufen CTF-Spiele folgendermaßen ab: Die Teams müssen ihnen zugewiesene Server und die dort installierten Programme auf Schwachstellen prüfen und Sicherheitslücken schließen. Es geht darum, das eigene System am Laufen zu halten und gleichzeitig die gefundenen Lücken dafür zu nutzen, die anderen Teams zu attackieren. Für erfolgreiche Aktionen werden die Spieler mit „Flaggen“ (Zahlencodes) belohnt und erhalten eine bestimmte Punktzahl. Wie gespielt wird, bestimmt der Veranstalter: Es gibt Präsenzveranstaltungen und auch Mischformen aus Präsenz- und Online-Spielen.
Bei einem Webinar der IHK Nürnberg für Mittelfranken erläuterte Immanuel Lautner vom Lehrstuhl für Informatik 1 (IT-Sicherheitsinfrastrukturen) der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU), welchen Nutzen solche CTF-Wettbewerbe für Unternehmen haben können. Lautner ist an der FAU Ansprechpartner für das Team „Faust“ (zusammengesetzt aus „FAU“ und „Security-Team“), an dem zehn bis 20 Mitglieder mitwirken. Diese Hochschulgruppe nimmt in unterschiedlichen Konstellationen an nationalen oder internationalen CTF-Wettbewerben teil. Im Jahr 2021 trat „Faust“ in 34 Einzelwettbewerben gegen über 200 Teams an und belegte in der Gesamtwertung den zweiten Platz. Im vergangenen Jahr war es Platz vier. Wichtiger als Top-Platzierungen ist für Lautner aber, die eigenen Fähigkeiten zu verbessern und im Team an komplexen Aufgaben zu arbeiten: „Wir nehmen die Perspektive der Angreifer ein und lernen, wie der Feind denkt.“ Mit CTFs könne man diese Kompetenzen gezielt trainieren und dabei in einem legalen Rahmen bleiben. Richard Dürr, IT-Experte bei der IHK Nürnberg für Mittelfranken, unterstreicht den Nutzen der Wettbewerbe: „Wer sich vor Hackern schützen will, muss deren Vorgehensweisen kennen und verstehen. Die CTFs bieten eine gute spielerische Möglichkeit, sich mit den Angriffstechniken auseinanderzusetzen.“ Lernen könne man auch durch die sogenannten Write-ups, die in aller Regel nach den Spielen veröffentlicht werden und die Lösung der Aufgaben erläutern.
Weltweit gibt es über 11 000 CTF-Teams, davon rund 920 in Deutschland. Es gibt mehrere Spielvarianten, beispielsweise das nach dem gleichnamigen Spiele-Klassiker benannte „Jeopardy“-CTF, das bis zu zwei Tage dauern kann. Die Variante „Attack Defence CTF“ ist komplexer mit meist schwierigeren Aufgaben. Hier müssen gleichzeitig Schwachstellen gesucht und Schwachstellen der gegnerischen Teams ausgenutzt werden. „Bei Attack Defence ist die Lernkurve ziemlich steil, man muss sich auf sein Team verlassen können“, so Lautner.
Nach Meinung Lautners könnten deutsche Unternehmen ihre IT-Sicherheit durch das spielerische CTF verbessern. Gerade viele kleine und mittlere Betriebe seien derzeit nur „suboptimal“ gegen digitale Attacken gewappnet. Auch den eigenen IT-Teams werde häufig nicht recht zugetraut, dass sie die IT-Sicherheit wirklich verlässlich sicherstellen könnten. Weiteres Problem für viele kleinere Betriebe: Sie bekämen häufig keine externen Berater am Markt und kaum Bewerbungen für ausgeschriebene IT-Stellen. Hier könnten CTFs helfen: Zum einen können Firmen das legale bzw. ethische Hacken einsetzen, um IT-Talente auf sich aufmerksam zu machen. Auch das Sponsoring von diesen Wettbewerben oder von CTF-Teilnehmerteams sei eine Möglichkeit, um sich als attraktiver Arbeitgeber zu präsentieren. Zum anderen können CTFs auch der Schulung der eigenen Mitarbeiter dienen, indem sie Mitarbeiterteams die Teilnahme ermöglichen.
Die Teilnahme an externen CTFs sei auch für kleinere Firmen machbar, da der Aufwand gering sei, so Lautner. Für Anfänger geeignet sei beispielsweise die Plattform „picoCTF“. Unterschiedlich schwierige Aufgaben fänden sich etwa bei „tryhackme.com“ oder „GoogleCTF“. Gut zur Orientierung eigne sich „ctftime.org“ und für Fortgeschrittene sei „hackthebox.com“ empfehlenswert.
Als Alternative bietet sich aber auch ein interner CTF innerhalb eines Unternehmens an, bei dem verschiedene Mitarbeiter-Teams gegeneinander antreten. Diese Variante hat den Vorteil, dass sich die Schwierigkeitsgrade für die Suche nach einer Flagge im IT-System anpassen lassen. Überhaupt sollte man das eigene Netzwerk regelmäßig – natürlich kontrolliert – angreifen, um Schwachstellen in der eigenen IT-Security aufzudecken. Mittlerweile gelten CTF-Wettbewerbe als eine anerkannte Trainingsmethode, die insbesondere an Universitäten eingesetzt wird. Durch dieses fiktive Hacken erlangen Teilnehmer eine methodische Kompetenz im Umgang mit Sicherheitslücken. Darüber hinaus lernen sie auch, wie sich kleine und große Einfallstore in einem System schließen lassen. Lautner lädt Interessierte auch zum Mitmachen am „Faust CTF“ der Universität Erlangen-Nürnberg ein, der voraussichtlich am Montag, 23. Oktober 2023 stattfinden wird.