Spaß mit Flaggen

20.01.2020 08:14

Spaß mit Flaggen

Capture the Flag bei Syskron, wie soll man sich das denn vorstellen?! Naja, mit ihrem ganz eigenenTwist eben! Ihr wollt mehr wissen? Lest doch einfach nach:

Das klassische Geländespiel „Capture the Flag“ (CTF) kennen sicher viele, doch wie sieht es mit der digitalen Version aus? Auch ich gebe zu, dass ich anfangs keine Ahnung hatte, was ich mir darunter vorstellen muss. Aber ich bin abgetaucht in die Cyberwelt und konnte Spannendes zu Tage fördern…

Anlässlich des European Cyber Security Month entwickelte das Team der Syskron Security in seiner Freizeit einen eigenen Online-Cyber-Sicherheitswettbewerb: Syskron Security CTF. Teilnehmer des Events werden mit verschiedensten Problemstellungen – allerdings in Form kleiner Rätsel – im Bereich industrieller Sicherheit konfrontiert. Diese müssen sie möglichst schnell und teilweise mit kreativen Ansätzen lösen. Gearbeitet wird dabei in Teams, meist bestehend aus mehreren Mitgliedern. Die Lösung des Rätsels ist dann die sogenannte Flag, die aus einem Wort oder mehreren Buchstaben bestehen kann. Die Flag wird auf einer Online-Plattform eingereicht und das Team erhält dafür Punkte. Die Gruppe mit den meisten Punkten gewinnt den Wettbewerb. Doch wie genau sieht so ein Cyberrätsel aus?

Challenges für jeden Geschmack

Beim Syskron Security CTF gab es 25 Herausforderungen unterschiedlicher Schwierigkeitsstufen und Kategorien – und alle drehten sich ums Thema industrielle Sicherheit. Zu diesen Bereichen zählten: Forensik, Open Source Intelligence, Kryptographie, ein mehrstufiger Insider-Angriff, Geheimnisvolles, Wissenswertes und Spaß. Manche Aufgaben, wie beispielsweise den Ort einer Fabrikanlage anhand eines Fotos zu identifizieren, ließen sich durch Internetrecherche gut lösen. Andere Fragen erforderten Programmierfähigkeiten und die Bereitschaft, sich in Thematiken einzulesen. Bei der Challenge „Bottle Inspection“ war ein QR-Code steganografisch in Fotos abgefüllter Flaschen versteckt – und sagen wir es mal so: Ich suche immer noch…

Viel Arbeit für drei Tage Spaß

Acht Syskron Kollegen steckten mehrere Wochen an Vorbereitungen in das Projekt, das überwiegend Schüler und Studenten ansprechen sollte. Mitmachen durfte aber jeder. Der Wettbewerb fand in einem festen Zeitrahmen von 120 Stunden statt, um nicht nur Studenten, sondern eben auch Berufstätigen die Teilnahme zu ermöglichen. Vom 9. bis zum 13. Oktober haben rund 1.500 Mitspieler in über 1.000 Teams versucht, die Flags zu finden. Das erstaunliche Ergebnis: 600 Gruppen haben zumindest eine oder mehr Aufgaben gelöst, jedoch gelang es niemandem, alle Herausforderungen zu 100 Prozent zu bewältigen! Den ersten Platz – und damit Ruhm und Ehre– sicherte sich eine Truppe aus Frankreich. Die Plätze zwei und drei gingen nach Dänemark und Oberösterreich. Einen Tribut gab es nicht, das sei auf Events dieser Art wohl auch nicht üblich, versicherte man mir. Mir stellt sich allerdings sofort die Frage: Dient der ganze Aufwand einem höheren Zweck?

OT-Sicherheit unterhaltsam aufbereitet

Hauptziel der Veranstaltung war das Sensibilisieren für die industrielle Sicherheit, die sogenannte Operational-Technology-Sicherheit (OT-Sicherheit). „Grob unterscheidet man bei Informationssicherheit drei Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit. Alle Ziele sind immer wichtig, sowohl in IT- als auch in OT-Umgebungen. Die Priorisierung ist aber eine andere: Bei IT steht die Vertraulichkeit im Regelfall an erster Stelle, Verfügbarkeit und Integrität kommen erst dahinter. Bei OT ist es pauschal gesagt umgekehrt“, sagt Benjamin Süß, Mitentwickler des Syskron Security CTF, und erklärt es mir folgendermaßen: „Bei IT macht es nichts, wenn der Mitarbeiter einmal am Tag seinen Laptop wegen Sicherheitsupdates neustartet. Die Verfügbarkeit ist hier nicht so wichtig. Stürzt der Laptop aber alle zehn Minuten ab, wird auch hier Verfügbarkeit relevant. In einer OT-Umgebung, zum Beispiel in einer Produktionslinie, kann aber nicht einfach eine Steuerung einmal am Tag wegen Sicherheitsupdates neugestartet werden. Sie muss 24/7 verfügbar sein und bleiben.“ Daraus ergeben sich – wie ich nun auch endlich verstehe – schwerwiegende Folgen.

„Viele Schutzmechanismen aus der IT-Welt funktionieren also in der OT-Welt nicht. Deshalb ist es auch wichtig, für diese ‚andere‘ OT-Welt zu sensibilisieren“, fasst Benjamin Süß noch einmal zusammen. Der Wettbewerb soll daher ein Bewusstsein für industrielle Sicherheit schaffen und gegebenenfalls erweitern: bei Kollegen, Studenten und nicht zuletzt auch bei potenziellen Bewerbern. Bei mir haben sie dieses Ziel auf jeden Fall schon einmal erreicht. Und wegen der großen Teilnehmerzahl und der vielen positiven Rückmeldungen wird das Event auch im nächsten Jahr wieder stattfinden.