Angriff und Verteidigung: FAU-Studierende veranstalten internationalen IT-Sicherheits-Wettbewerb

Eine Gruppe von Studierenden der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) richtet am Freitag, den 18. Dezember 2015 erstmalig einen „Capture the Flag“-Wettbewerb (CTF) unter dem Namen „FAUST CTF” aus. Bei einem solchen IT-Sicherheits-Wettstreit treten Teams aus aller Welt in einem abgeschotteten Computernetzwerk gegeneinander an und versuchen, durch Hacking-Angriffe auf die anderen Teilnehmer und gleichzeitiges Beheben von Sicherheitslücken Punkte zu erzielen. Bei Preisgeldern von insgesamt über 1.000 Euro haben auch einige Größen der weltweiten Szene ihre Teilnahme angekündigt.

Seit einigen Jahren nehmen die FAU-Studierenden unter dem Namen „FAUST“, kurz für FAU Security Team, an CTF-Wettbewerben teil, die meist von anderen Teams in deren Freizeit organisiert werden. Zu ihren größten Erfolgen zählen der Gewinn des rwthCTF 2011, organisiert von der RWTH Aachen, und der dritte Platz beim RuCTFE 2014, einem Wettbewerb der Uralischen Förderalen Universität aus Jekaterinburg. „Daraus entstand bei uns die Idee, der Szene etwas zurück zu geben und selbst einen solchen Wettbewerb zu veranstalten“, erklärt Mitorganisator Felix Dreißig, der an der FAU Informatik studiert.

Für den FAUST CTF haben die Studierenden das Modell des „Attack/Defense-CTF“ gewählt, bei dem Teams aus aller Welt über das Internet einen Netzwerktunnel zu einem speziellen Server aufbauen, der von den Veranstaltern betrieben wird. In dieser abgeschotteten Umgebung müssen sie dann eine Reihe von Programmen ausführen, die eigens geschrieben wurden und in die bewusst Sicherheitslücken eingebaut sind. Während des achtstündigen Wettstreits geht es darum, diese Lücken zu finden, in den eigenen Programmen zu schließen und bei den anderen Teilnehmern auszunutzen. Gelingt das, können virtuelle Flaggen erbeutet werden, für die von den Veranstaltern wiederum Punkte gutgeschrieben werden. „Von den zahlreichen CTF-Wettbewerben funktionieren leider nur sehr wenige nach diesem Attack/Defense-Schema“, sagt FAUST-Mitglied Dominik Maier. Die meisten anderen Wettbewerbe stellen eine Art Rätsel aus dem Gebiet der IT-Sicherheit, durch dessen Lösung Punkte gesammelt werden. „Uns machen Attack/Defense-CTFs aber deutlich mehr Spaß, deshalb stand die Entscheidung dafür trotz des höheren Organisationsaufwands außer Frage“, fügt Mitorganisator Christoph Egger hinzu.

Das Engagement kommt bei anderen Gruppen gut an: Bis jetzt haben sich bereits mehr als 130 Teams aus aller Welt angemeldet, unter ihnen große Namen der Szene wie „dcua“ von der Nationalen Technischen Universität der Ukraine oder „StratumAuhuur“, ein Zusammenschluss zweier Gruppen aus Braunschweig und Aachen. „Viele CTF-Teams sind im akademischen Umfeld angesiedelt“, erklärt Prof. Dr. Felix Freiling, Inhaber des Lehrstuhls für IT-Sicherheitsinfrastrukturen der FAU, der das Team unterstützt. Denn trotz der ausgespielten Preisgelder sollen vor allem das Lernen und der Spaß im Mittelpunkt stehen: CTF-Wettbewerbe bieten den Studierenden eine gute Möglichkeit, erlernte Fähigkeiten im Bereich der IT-Sicherheit realitätsnah und risikofrei praktisch anzuwenden.

Seit einigen Monaten ist das zehnköpfige Organisationsteam nun schon mit den Vorbereitungen für den Wettbewerb beschäftigt. Als Sponsoren konnten sie die Nürnberger IT-Unternehmen DATEV eG und noris network AG gewinnen, organisatorische Unterstützung erhalten sie vom Fachschaftsverein der Technischen Fakultät. Für die erste Ausgabe ihres Wettstreits hat sich die Erlanger Gruppe die Vieldeutigkeit ihres Namens zu Nutze gemacht und eine Hommage an Goethes Faust als Motto gewählt. „Doch noch sind wir damit beschäftigt, den benötigten Computersystemen und Programmen den letzten Feinschliff zu geben, bevor sich der Vorhang für ‚FAUST CTF: The First Part of the Tragedy‘ schließlich öffnet“, verrät Marcel Busch aus dem Organisationsteam.

Der Wettbewerb findet am 18. Dezember von 17 bis 1 Uhr statt.

Die Ergebnisse können live unter https://www.faustctf.net mitverfolgt werden.