Capture The Flag Contest

Cyber Security als Team-Challenge

Unsere Kollegen Benjamin Süß und Lukas Paulus vom SYSKRON Security Team haben im Rahmen des European Cyber Security Month einen Capture The Flag (CTF) Contest auf die Beine gestellt – ein Sicherheitswettbewerb am Computer, bei dem verschiedene Teams gegeneinander antreten und Problemstellungen im Bereich Cyber Security lösen.

Blaues Vorhängeschloss auf blauem Hintergrund

DIE VERANSTALTUNG

IM ÜBERBLICK

Was ist eigentlich Capture the Flag und was hat das mit eurer Arbeit und dem European Cyber Security Month zu tun?

Lukas Paulus: Capture The Flag ist ein Sicherheitswettbewerb am Computer, bei dem es darum geht, verschiedene sicherheitsrelevante Problemstellungen im Team zu lösen. Für jede erfolgreiche Problemlösung bekommt das Team eine Flag, die je nach Schwierigkeitsgrad unterschiedliche Punkte einbringt. Ziel des Spiels ist es, so viele Probleme wie möglich zu lösen, um am Ende die höchstmögliche Anzahl an Punkten zu bekommen.

Benjamin Süß: Wir beschäftigen uns jeden Tag mit Cyber Security und finden, dass der European Cyber Security Month (ECSM) eine tolle Gelegenheit ist, die Gesellschaft für Themen wie digitale Sicherheit zu sensibilisieren. Der ECSM findet jedes Jahr im Oktober statt und klärt die europäische Bevölkerung über Sicherheitsprobleme im Umgang mit IT auf. Dieses Jahr wollten wir unseren eigenen Beitrag dazu leisten und haben einen CTF-Contest auf die Beine gestellt, an dem mehr als 600 Teams teilgenommen haben.

IDEE

UND KONZEPT

Wie seid ihr auf die Idee gekommen, selbst einen CTF-Contest zu veranstalten?

Benjamin: Ich kam das erste Mal auf einer Sicherheitskonferenz mit CTF in Berührung. Meine Begeisterung hat sich schnell auf das gesamte Team übertragen und wir nehmen seitdem regelmäßig in unserer Freizeit an CTF-Veranstaltungen teil.

Lukas: Durch unsere Teilnahme an diversen CTF-Contests haben wir gemerkt, dass solche interaktiven und spielerisch gestalteten Veranstaltungen neben dem Spaßfaktor einen hohen Lerneffekt aufweisen. Da wir vor allem Studenten und Schüler für Cyber Security begeistern wollten, war für uns der nächste logische Schritt, selbst einen industriellen CTF-Contest zu veranstalten.

Welche Herausforderungen gab es für euch?

Lukas: Die größte Herausforderung war das Erstellen von Challenges, die nicht zu einfach, aber gleichzeitig auch nicht unlösbar sind. Außerdem haben wir darauf geachtet, unterschiedliche Kategorien und Schwierigkeitsgrade einzubauen, damit für jeden etwas dabei ist.

Benjamin: Sicherlich war es auch eine Herausforderung, reale Problemstellungen im industriellen Bereich zu finden, für die man beim Lösen keine proprietären Tools einsetzen muss.

Trefft ihr in eurem Arbeitsalltag auf die Probleme, die es im CTF zu lösen galt?

Benjamin: Natürlich. Wir haben zwar keine konkreten Sicherheitslücken eingebaut, die die Teilnehmer ausnutzen mussten, aber die grundlegenden Probleme im industriellen Umfeld waren weitestgehend abgedeckt.

Lukas: Wenn wir industrielle Komponenten untersuchen, treffen wir sehr oft auf nie geänderte Standardpasswörter. Diese Schwachstelle haben wir im CTF verwendet, um den Teilnehmern die leichte Ausnutzbarkeit zu zeigen. Ein weiteres Beispiel sind selbstgebaute kryptografische Protokolle, die ein erhebliches Sicherheitsrisiko darstellen können. Auch die Verwendung von geleakten Zugangsdaten haben wir thematisiert.

Personen sitzen um einen Tisch

FAZIT

UND AUSBLICK

Was konnten die Teilnehmer eures CTF-Contests für das „echte“ Leben mitnehmen?

Lukas: Hier muss man zwischen Teams unterscheiden, die alltäglich mit Cyber Security in Kontakt sind, und Teams, die gerne Rätsel lösen. Letztere wurden für digitale Sicherheit in ihrem Alltag sensibilisiert und daran erinnert, Standardpasswörter bei IoT-Geräten zu ändern und Zugangsdaten sicher zu verwahren.

Benjamin: Die Security-Teams haben sicherlich Vorgehensweisen und Tools kennengelernt, die im Umgang mit industriellen Anlagen hilfreich sind. Außerdem haben wir eine Reihe moderner Protokolle (bspw. OPC UA oder MQTT) für unterschiedliche Einsatzzwecke vorgestellt.

Was ist eure Kernerkenntnis aus dem CTF?

Lukas: Ich denke, ich kann die Frage für das gesamte SYSKRON Security-Team beantworten: Die unerwartet hohe Teilnehmerzahl und die positiven Rückmeldungen haben uns gezeigt, dass sich ein CTF-Contest sehr gut als Sensibilisierungsmaßnahme für Cyber Security eignet. Deswegen werden wir 2020 sehr wahrscheinlich wieder einen CTF-Contest im Rahmen des ECSM veranstalten.

 

Benjamin und Lukas sind Teil des SYSKRON Security Teams (unsere Experten für Industrial Security) und arbeiten täglich an Sicherheitslösungen für industrielle Kunden. Sie sind spezialisiert auf die Absicherung industrieller Bestandsanlagen und die sichere Gestaltung zukünftiger Produktionslinien. Wenn Sie mehr über die Arbeit unseres Security Teams erfahren möchten, können Sie sich hier umfassend informieren.