CT-Was? CTF! Capture the Flag Events haben sich an etlichen Unis längst durchgesetzt. Studierende messen sich spielerisch in Angriffsszenarien in Bereichen wie Kryptographie, Web-Exploitation, Forensik oder OSINT (Open Source Intelligence). In den einzelnen Challenges werden realistische Schwachstellen oder Problemstellungen der IT-Sicherheit abgebildet und somit trainiert. Wer am Ende die meisten „Flaggen“ gesammelt hat, gewinnt.

Als ich zu CarByte kam und hörte, dass auch wir CTF-Events anbieten, war ich begeistert, konnte mir aber nicht vorstellen, welches Potenzial für Unternehmen dahintersteckt: Ich dachte, wir bieten das ausschließlich für Studierende an, um Talente zu scouten und sie davon zu überzeugen, wie cool CarByte ist. Tatsächlich war das auch der Ursprung unserer CTF-Aktivitäten, aber schnell merkten wir, dass wir noch viel mehr damit erreichen können.

CTF – Praxisnahe Schulung mit spielerischem Lernansatz

Im Gegensatz zu anderen Schulungsformaten bieten CTFs einen aktiven, realistischen Anwendungsfall, in dem man aktuelle Angriffe simulieren und damit nachhaltig trainieren kann. Das Antreten in Teams gegeneinander erhöht gleichzeitig den Teamgeist und spornt alle Beteiligten an – ein weiterer essenzieller Unterschied zu herkömmlichen Schulungen. Wer regelmäßig an CTFs teilnimmt, entwickelt ein tiefes Verständnis für Angriffsvektoren und Sicherheitslücken und lernt gleichzeitig, strukturiert und reproduzierbar mit IT-Schwachstellen umzugehen. Gerade in sensiblen Branchen wie dem Automotive-Bereich ist das ein großer Vorteil. Die CTFs lassen sich individuell zusammenstellen und können so tatsächlich auf die Bedarfe und den Schwierigkeitsgrad der Teilnehmer*innen angepasst werden.

CTF-Challenges für alle Level

Begonnen haben wir mit Experten Challenges. Das ist unser „home turf“ und somit die naheliegendste Wahl. Doch tatsächlich haben wir mit der Zeit entdeckt, dass damit nur ein kleiner Teil von notwendigen Schulungen in Unternehmen abgedeckt werden kann. Daher haben wir begonnen, auch Anfänger- und Medium Challenges zu entwickeln.

Anfänger

Für die Anfänger-Challenges sind keinerlei Vorkenntnisse notwendig. Sie richten sich an alle Mitarbeitenden, die in ihrem Arbeitsalltag keinen Bezug zu dem Thema haben und kein technisches Vorwissen mitbringen – also der Großteil der Mitarbeitenden. Nicht nur das Thema Passwortsicherheit oder der Umgang mit Phishing Mails wird so trainiert, sondern auch die Perspektive eines Angreifers eingenommen. Ein enormes Erfolgserlebnis für alle, die sich eben nicht tagtäglich mit dem Thema IT-Sicherheit beschäftigen.

Fortgeschrittene

Die Medium-Challenges richten sich hingegen klassisch an ITler wie IT-Administratoren. Sie verfügen über technisches Verständnis, ohne dabei auf IT-Sicherheit spezialisiert zu sein. Eine Auseinandersetzung mit dem Thema ist für ihren Arbeitsalltag (und ich würde sogar weiter gehen und sagen: für die Unternehmenssicherheit) enorm wichtig. Allerdings richten sich wenige Trainingsformate bislang an eben diese Zielgruppe.

Experten

Experten-Challenges richten sich an IT-SicherheitsexpertInnen mit umfassenden Vorkenntnissen. Angriffs- und Verteidigungstechniken sind im stetigen Wandel; daher eignen sich diese Challenges besonders, um die TeilnehmerInnen zu schulen.  

Wie läuft ein CTF-Event ab?

Wie sieht ein typisches CTF-Event bei uns aus? Am liebsten fahren wir mit 2-4 Kolleg*innen zu unserem Kunden. Aus unserer Sicht funktioniert es vor Ort in Gruppen von 10-40 Personen und ungestört vom sonstigen Berufsalltag und Stress, am besten. Nach einer kurzen Einführung der Plattform kann es auch schon losgehen. Die Teams finden sich oder man tritt allein an – natürlich 100% compliant. Wir legen die Spielenden in der Plattform an, sodass keine personenbezogenen Daten wie die E-Mail-Adressen erhoben werden müssen. Gerne betten wir das Setting auch in eine Gesamtstory ein: von Mittelalter bis Spion in der eigenen Firma lassen sich die Challenges in jeden Kontext einsetzen, wodurch die Spielfreude steigt. Und dann geht es auch schon los: 3 – X Stunden Spielerlebnis mit unseren Experten an der Seite, die unterstützen und erklären können. Besonders bei Anfänger*innen ist es sinnvoll, die CTF-Challenges mit einer Awareness Schulung zu begleiten. Wer dann immer noch nicht genug hat, kann nach Ende des Events weiterspielen. Vorsicht: diese Entscheidung kann jedoch Ehrgeiz wecken und zu erheblichen Schlafmangel führen.

Abschließend gibt es eine kleine Preisverleihung mit der Kür der Gewinner*innen, die von uns Urkunden erhalten. Ebenso bieten wir einen Walkthrough durch eine Auswahl an Challenges an, um Rückfragen zu klären oder Lösungswege aufzuzeigen und zu besprechen.

Für alle, die in die Welt der CTFs einsteigen möchten, gilt: Der Einstieg ist leichter, als man denkt, auch wenn die Uni-Zeiten längst vorbei sind. Neben dem nachhaltigen Training der Mitarbeitenden und aktivem Teambuilding entdeckt man vielleicht auch ungeahnte Talente in den eigenen Reihen.