Cyber-Kriminelle hacken sich in Netzwerke ein, erpressen Lösegeld oder greifen Daten ab. Die Gefahr, dass Unternehmen Opfer von üblen Machenschaften im Netz werden, sei so groß wie nie zuvor, stellte auch das vom Freistaat herausgegebene „Lagebild Cybercrime Bayern“ fest. Aber neben den Hackern, die Böses im Schilde führen (sogenannte „Black Hat“-Hacker), gibt es auch die guten („White Hat“-Hacker), sagt Immanuel Lautner vom Lehrstuhl für Informatik 1 (IT-Sicherheitsinfrastrukturen) der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU). Er ist Ansprechpartner für das Team „Faust“ (zusammengesetzt aus „FAU“ und „Security-Team“). Die guten Hacker mit dem weißen Hut gehen nicht auf digitalen Raubzug, sondern helfen Unternehmen, Institutionen und dem Staat, Schwachstellen und Sicherheitslücken in IT-Systemen aufzuspüren und davor zu warnen.
Die Hochschulgruppe nimmt in unterschiedlichen Konstellationen an nationalen oder internationalen, sogenannten „Capture The Flag“-Wettbewerben (CTF) teil. Wichtiger als Top-Platzierungen ist für Lautner, die eigenen Fähigkeiten zu verbessern und im Team an komplexen Aufgaben zu arbeiten: „Wir nehmen die Perspektive der Angreifer ein und lernen, wie der Feind denkt.“ Mit CTFs könne man diese Kompetenzen gezielt trainieren und dabei in einem legalen Rahmen bleiben. Sie bieten eine gute spielerische Möglichkeit, sich mit den Angriffstechniken auseinanderzusetzen.
Lernfeld für KMUs
Weltweit gibt es über 11 000 CTF-Teams, davon rund 920 in Deutschland. Nach Meinung Lautners könnten deutsche Unternehmen ihre IT-Sicherheit durch das spielerische CTF verbessern. Gerade viele kleine und mittlere Betriebe seien derzeit nur „suboptimal“ gegen digitale Attacken gewappnet. Hier könnten CTFs helfen: Zum einen können Firmen das legale bzw. ethische Hacken einsetzen, um IT-Talente auf sich aufmerksam zu machen. Auch das Sponsoring von diesen Wettbewerben oder von CTF-Teilnehmerteams sei eine Möglichkeit, um sich als attraktiver Arbeitgeber zu präsentieren. Zum anderen können CTFs auch der Schulung der eigenen Mitarbeiter dienen, indem sie Mitarbeiterteams die Teilnahme ermöglichen.
Die Teilnahme an externen CTFs sei auch für kleinere Firmen machbar, da der Aufwand gering sei, so Lautner. Für Anfänger geeignet sei beispielsweise die Plattform picoCTF. Unterschiedlich schwierige Aufgaben fänden sich etwa bei tryhackme.com. Gut zur Orientierung eigne sich ctftime.org und für Fortgeschrittene sei hackthebox.com empfehlenswert.
Der Name CTF kommt von Geländespielen, bei denen eine versteckte oder gegnerische Flagge erobert werden muss. Im Wesentlichen laufen CTF-Spiele folgendermaßen ab: Die Teams müssen ihnen zugewiesene Server und die dort installierten Programme auf Schwachstellen prüfen und Sicherheitslücken schließen. Es geht darum, das eigene System am Laufen zu halten und gleichzeitig die gefundenen Lücken dafür zu nutzen, die anderen Teams zu attackieren. Für erfolgreiche Aktionen werden die Spieler mit Flaggen (Zahlencodes) belohnt und erhalten eine bestimmte Punktzahl. Es gibt Präsenzveranstaltungen und auch Mischformen aus Präsenz- und Online-Spielen sowie reine Online-Wettbewerbe.
nue-news.de: Cybersecurity-Report: Im Schnitt 11.000 Sicherheitslücken