Bundesministerium für Inneres

Cyber-Security-Challenges

Treffen der Besten

Cyber-Security Austria 2022: Angreifen und verteidigen im Internet als Wettbewerb junger Hacker.
Cyber-Security Austria 2022: Angreifen und verteidigen
im Internet als Wettbewerb junger Hacker.
© Kurt Hickisch

„Verboten gut“: Seit 2011 treten die besten Hacker österreich- und europaweit in Teams gegeneinander an, um sich in einem legalen Wettbewerb zu messen.

An Anfang stand die Idee, IT-Begeisterten im Rahmen eines Wettbewerbs eine legale Möglichkeit zu bieten, ihre Fähigkeiten im Aufspüren von Schwachstellen in IT-Netzen mit anderen zu messen. Daneben sollten Kontakte untereinander ausgebaut, eine Szene von White Hackern aufgebaut und Nachwuchstalente gefördert werden. 2011 veranstaltete der Verein Cyber-Security Austria (CSA; verbotengut.at ) und dessen Obmann, Josef „Joe“ Pichlmayr, die erste Austria Cyber-Security-Challenge; in den folgenden Jahren in Kooperation mit dem Abwehramt des Bundesheeres. 2013 schloss sich die Schweiz dem Wettbewerb an, ein Jahr später Deutschland. 2015 kamen Großbritannien, Spanien und Rumänien hinzu. 2016 waren zusätzlich Estland, Irland, Griechenland und Liechtenstein vertreten. Weitere europäische Länder folgten. Seit 2016 unterstützt die European Union Agency for Cyber-Security (ENISA) die Wettbewerbe. Deren Ausrichtung geht dabei Hand in Hand mit der Veranstaltung der IKT-Sicherheitskonferenzen des Bundesheeres.

ACSC und ECSC 2022.

Im Rahmen der ITK-Sicherheitskonferenz des Bundesministeriums für Landesverteidigung (BMLV) fanden am 14. und 15. September 2022 im Congress-Center in Wien die Austria Cyber-Security-Challenge 2022 (ACSC) und die European Cyber-Security-Challenge 2022 (ECSC) statt. Teilnehmer an der ECSC waren 33 Teams mit 330 IT-Nachwuchstalenten aus 27 EU-Ländern und Serbien sowie den USA, Kanada, Israel und den Vereinigten Arabischen Emiraten. Jedes Team umfasste 10 Teilnehmer, von denen fünf unter 20 Jahre alt waren, die anderen in der Altersgruppe zwischen 20 und 25 Jahren. Die Teilnehmer an der ACSC gliederten sich in die Gruppen Schüler und Studenten sowie in eine offene Klasse. Sie hatten dieselben Aufgaben zu bewältigen wie die Teilnehmer an der ECSC.
Am ersten Wettkampf-Tag waren 18 Aufgaben im Jeopardy-Format zu lösen. Jeopardy ist eine aus den USA stammende Fernseh-Quizshow. Dabei sollen die Teilnehmer eine bestimmte Sicherheitslücke finden, durch deren Ausnützen sie an eine geheime Information (Flag) gelangen. Es war eine Vielzahl an Skills gefordert. Grundvoraussetzung, um zu bestehen, sind dabei ausgezeichnete Netzwerk- und Systemkenntnisse, aber auch hoch spezialisiertes Wissen. Neben Crypto- und steganographischen Aufgaben sind Reverse-Engineering- und Exploitation-Know-how ebenso unerlässlich wie Web- und Mobile/Wireless Security. Der Weg zum Ziel führte an detaillierten Hardware-Hacking-Kompetenzen vorbei und das Escape-the-Box-Szenario erforderte komplexes Teamwork. Der zweite Tag brachte die „Königsdisziplin“, das Attack-and-Defense-Szenario, bei dem die Teams ihre eigenen Netzwerke absichern und die Netzwerke der anderen Teams hacken mussten. Beim Attack/Defense erhält jedes Team eine identische Umgebung, die es zu schützen gilt, während die Instanzen der anderen Teams angegriffen werden müssen. In der Verteidigung gilt es, Angriffe der anderen Teams zu erkennen (über Analysen des Netzwerkverkehrs, Logdateien oder andere von den Angreifern zurückgelassene Artefakte) und die Schwachstellen in den zu schützenden Applikationen zu beheben, ohne deren Funktionalität oder Verfügbarkeit zu beeinträchtigen. Gleichzeitig gilt es, die Instanzen der anderen Teams anzugreifen, um Flags zu stehlen. Bei 33 Teams ist so nicht nur enormer Stress für alle Finalisten vorprogrammiert, sondern es bedarf auch der Fähigkeiten, sich flexibel und in kürzester Zeit auf neue Szenarien einzustellen, Strategien zu verändern und auf jeden erfolgreichen gegnerischen Angriff umgehend zu reagieren.
Die Siegerehrung der ACSC 2022 fand am 15. September im Anschluss an die Sicherheitskonferenz statt; jene für die ESCS am darauf folgenden Tag. Sieger der ECSC 2022 wurde das Team Dänemark, gefolgt von den Teams aus Deutschland und Frankreich. Das Team Austria erreichte Platz 10. Angesichts der Leistungsdichte und der engen Platzierungen zeigten sich die Veranstalter mit diesem Ergebnis durchaus zufrieden.

Ausblick 2023.

Vom 3. April bis 31. August 2023 können sich IT-Nachwuchstalente, die als Hacker „verboten gut“ sind und sich mit anderen messen wollen, für die Austria Cyber Security Challenge 2023 bewerben (verbotengut.at ). Nach einem Teambuilding am 2. Oktober wird das Finale am 3. und 4. Oktober 2023 im Design Center Linz ausgetragen, parallel zu der dort abgehaltenen IKT-Sicherheitskonferenz 2023. Die European Cyber Security Challenge 2023 wird vom 23.bis 28. Oktober in Hamar/Norwegen, stattfinden, wo das Team Austria wieder am Start sein wird. Die Qualifikation für dieses Team startet am 21. Oktober 2022.

verbotengut.at 
ecsc2022.eu 

Kurt Hickisch

Öffentliche Sicherheit, Ausgabe 11-12/2022

Druckversion des Artikels (PDF 179 kB)

Magazin des BMI

  1. Startseite
  2. Ausgabe 11-12/2022
  3. Cyber-Security-Challenges