Im August durften die Cybersicherheits-Studenten auch beim renommierten CTF-Wettbewerb der IT-Sicherheitskonferenz „DEFCON“ antreten, der im US-amerikanischen Las Vegas stattfand. Für das Siegertreppechen hat es nicht gereicht, aber die Saarbrücker Studenten kamen mit vielfältigen Eindrücken zurück.

Das Spielprinzip bei einem CTF-Wettbewerb ähnelt dem Maibaum-Entführen und stammt von einem Geländespiel, das noch heute Pfadfinder spielen und bereits 1967 im Lausbubenfilm „Wenn Ludwig ins Manöver zieht“ gezeigt wurde. Die Teilnehmerinnen und Teilnehmer entwenden jedoch nicht wie Ludwig die preußische Fahne, sondern gleich mehrere Flaggen in Form von digitalen Codes. Diese führen nur dann zum Sieg, wenn die jeweilige Mannschaft Sicherheitslücken früher als andere erkennt, diese in gegnerischen Systemen ausnützt und im eigenen schließt. Es gibt nicht nur Punkte für die Flaggen, sondern auch für das Lösen von kniffeligen Quizfragen und für Zusatzaufgaben wie die digitale Beweissicherung, das verschleierte Versenden von Daten oder die Analyse von unbekanntem Quellcode.

Damit wird jeder dieser Wettbewerbe zu einem anspruchsvollen Manöver für angehende IT-Sicherheitsexperten. „Im Prinzip ist es wie eine Sportart. Die Herausforderung liegt darin, in kürzester Zeit und schneller als andere eine Lösung zu finden – für einen Angriff und die entsprechende Abwehrmaßnahme“, erklärt Oliver Schranz, der an der Universität des Saarlandes auf dem Gebiet der IT-Sicherheit seine Doktorarbeit schreibt, am CISPA – Helmholtz- Zentrum für Informationssicherheit forscht und Mitglied bei „saarsec“ ist. Damit leisten CTF-Wettbewerbe auch das, was der 2014 an der Universität des Saarlandes eingeführte Studiengang „Cybersicherheit“ über sechs Semester hinweg perfektioniert. Die Studierenden sollen „als Angreifer, Verteidiger und Forscher in einer Person ihr Handwerk lernen“, so Michael Backes, Professor für Informationssicherheit und Gründungsdirektor des CISPA – Helmholtz-Zentrums für Informationssicherheit. Derzeit absolvieren rund 300 Studierende diesen Studiengang und hören Vorlesungen über Kryptografie und IT-Sicherheit. Zudem lernen sie in einem Cybersicherheitsprojekt, Probleme im Team zu lösen.

Oliver Dietze

Es hat extrem viel Spaß gemacht und war eine große Herausforderung.

Oliver Schranz, Doktorand

Genau diese Art von praktischer Ausbildung ist laut Oliver Schranz ein Teil des Erfolgsrezeptes der Mannschaft „saarsec“, die ebenfalls 2014 gegründet wurde. „Wir versuchen, das Team kontinuierlich mit guten Studierenden zu verstärken. Regelmäßig veranstalten wir kostenlose Workshops, die für jeden offen sind. So können neue Studierende leicht nachrücken“, berichtet Schranz. Erst vor kurzem hat saarsec das „Enowars“ gewonnen. Bei diesem internationalen Turnier der Technischen Universität Berlin setzten sich die Studierenden der Universität des Saarlandes gegen 176 Teams durch. Und das ist nicht ihr erster Erfolg. Der wohl wichtigste ist bisher der Sieg beim russischen ‚ruCTFe‘ im vergangenen Jahr in der russischen Industrie-Stadt Jekatarinburg.

Der Platz auf dem Siegertreppchen sicherte ihnen das Ticket für den CTF-Wettbewerb, der im Rahmen der „DEFCON“ in Las Vegas stattfand. Dies ist die weltgrößte IT-Sicherheitskonferenz, die seit 1993 Vorträge, Workshops und Wettbewerbe anbietet. Vor zwei Jahren zählte sie 25.000 Besucherinnen und Besucher. Saarsec reiste mit 18 Personen an. „Das ist die Champions League. Dort will jeder antreten. Für einen der vorderen Plätze hat es für uns nicht gereicht, was bei der extrem harten Konkurrenz für uns nicht überraschend kam. Es hat aber extrem viel Spaß gemacht und war eine große Herausforderung, gegen die Besten der Besten anzutreten. Wir werden auf jeden Fall versuchen, uns im kommenden Jahr wieder zu qualifizieren “, sagt Schranz.

Weitere Informationen:

Website der saarsec: https://saarsec.rocks/

Website „Enowars 2019“: https://enowars.com/

Website „DEFCON 27“: https://www.defcon.org/html/defcon-27/dc-27-index.html