Freitag, 12. August 2022
Deutsch Englisch

Wirtschaftsinformatik: »Phish2Own« prüft IT auf Sicherheit

Bremerhaven. (hs) «Capture the flag» (CTF) – zu Deutsch «Erobere die Fahne» – nennt sich ein Format, das sich nicht nur im Sport, sondern zunehmend auch in der Informatik großer Beliebtheit erfreut. Das Projekt «Phish2Own» des Studiengangs Informatik an der Hochschule Bremerhaven hat schon an mehreren dieser Veranstaltungen teilgenommen. Für den Wettbewerb FAUST CTF der FAU Erlangen-Nürnberg wurde extra ein «Sicherheitslagezentrum» in den Räumen der Hochschule eingerichtet. Rund 20 Studierende hackten sich bis spät in die Nacht in die Server der anderen Teams, um deren Sicherheitslücken ausfindig zu machen und die eigenen Schwachstellen zu schließen. Für die Abschlussbewertung konnten sie sich bis in das oberste Viertel der 200 teilnehmenden Teams vorarbeiten. Damit sind sie in der deutschen Rangliste bei ctftime.org auf Platz 18 gestiegen. Dieser und andere «Capture-the-Flag» Wettkämpfe sind Teil der praktischen Ausbildung zur Anwendungssicherheit an der Hochschule.

Im Wettkampf mussten die Studierenden «Flaggen» finden. Das sind eindeutige Buchstaben- oder Zahlenfolgen, die auf Servern abgelegt werden, wie zum Beispiel «FAUST_W7JbKybrmzeou». Das Finden setzt die Ausnutzung von Sicherheitslücken voraus, um auf die geschützten Daten gegnerischer Server zuzugreifen. «Der spielerische Ansatz dieser Wettkämpfe ist nicht nur unglaublich motivierend, sondern bietet einen durchaus realitätsnahen Einstieg in die Welt der Systemsicherheit. Schwachstellenanlyse, Angreiferdenken, Mitigation und Lagebewertung – die wesentlichen Komponenten sind enthalten und das eigene Können wird dann unter Zeitdruck auf die Probe gestellt. Realistischer wäre es nur noch, wenn diese Wettkämpfe unangekündigt stattfinden», sagt Prof. Dr. Lars Fischer, der als Professor für IT-Sicherheit an der Hochschule Bremerhaven die Gruppe betreut.

Für Außenstehende bietet das Ereignis wenig Spektakuläres: Außer einer Punktetafel, die im Drei-Minuten-Takt den neuesten Stand anzeigte, ließ sich nicht mehr beobachten als ein Buchstabensalat auf den Monitoren. Auf den Netzwerkkabeln zu einer kleinen schwarzen Kiste hingegen, der «Vulnbox», brannte die Luft. Am Ende konnte sich das Studierendenprojekt erfolgreich gegen die gegnerischen Teams verteidigen. Künftig soll eine feste «Hackergruppe» an der Hochschule etabliert werden, um für kommende internationale Wettbewerbe gewappnet zu sein. Für die Berufspraxis wird IT-Sicherheit immer wichtiger. Cyberangriffe auf öffentliche und firmeninterne Strukturen werden immer häufiger thematisiert. Deshalb ist IT-Sicherheit fester Bestandteil des Studiengangs Informatik an der HS Bremerhaven. Was in der Theorie vermittelt wird, erhält praktische Vertiefung durch die Teilnahme an einschlägigen Wettbewerben.

Die Studierenden werden zu Sicherheitsforschenden, die sich Zugriff auf Daten der gegnerischen Teams verschaffen wollen. Gleichzeitig müssen sie verhindern, dass ihre eigenen Sicherheitslücken gefunden werden. Prof. Fischer: «Diese Wettbewerbe sind seit längerer Zeit schon fester Bestandteil der Kultur der weltweiten Sicherheitscommunity. Das vergleichbar kleine Team der Hochschule besteht seit dem Sommersemester 2020 und rekrutiert sich aus den Teilnehmenden zweier Bachelorprojekte sowie einer steigenden Zahl von interessierten Studierenden. Wir haben Haus THP zu unserem Sicherheitslagezentrum umgebaut. Dort haben wir vorhandene Beamer und Bildschirme genutzt, um aktuelle Punktestände, die Situation der eigenen Infrastruktur und die aktuelle Kommunikations- und Angriffssituation darzustellen.»

Nachtrag: Realistischer wäre nicht nur, würden die Wettkämpfe unangekündigt stattfinden. Einen hohen Nutzwert entfalten könnten auch Projekte, bei denen studentische Teams die Gelegenheit erhielten, alle möglichen Server-Strukturen abzuklopfen. Also nicht nur im Wettbewerb mit anderen Teams, sondern auch im Einvernehmen mit öffentlichen und firmeninternen Strukturen – um (a) das Bewusstsein für IT-Sicherheit zu stärken und (b) sicher geglaubte Systeme zusätzlich zu stählen. Das ist das, was Deutschland auf dem Weg in die Digitalisierung – offensichtlich – mit am dringendsten braucht und eine Nachfrage bestimmt vorhanden wäre.