Team Phish2Own reist zur größten Cybersicherheitskonferenz Zentral-Osteuropas nach Bukarest

Cyberangriffe abwehren und gleichzeitig Sicherheitslücken auf gegnerischen Servern finden, um sich darauf Zugriff zu verschaffen: Was Inhalt eines spannenden Romans sein könnte, ist das Ziel digitaler Capture-the-Flag-Events (CtF). Das studentische Projekt „Phish2Own“ der Hochschule Bremerhaven konnte sich nun für den Finalwettkampf des DefCamp 2022 am 10. und 11. November in Bukarest qualifizieren. Dort treten sie im Rahmen der größten Cybersicherheitskonferenz Zentral-Osteuropas gegen Teams aus der ganzen Welt an.

In einer zunehmend vernetzten Welt sind Cyberangriffe ernstzunehmende Bedrohungen. Attacken auf die kritische Infrastruktur hätten fatale Auswirkungen für die Gesellschaft. IT-Sicherheit ist daher ein wichtiger Teil des Informatikstudiums. In Bremerhaven können die Studierenden das Gelernte direkt in der Praxis testen. Bei sogenannten „CtF-Events" müssen sie ihre eigenen Server vor den Angriffen gegnerischer Teams verteidigen und gleichzeitig die Sicherheitslücken bei den Gegnern ausfindig machen. „Die Motivation, die durch die Wettkampfform geweckt wird, ist im Vorlesungssaal unerreichbar“, weiß Prof. Dr. Lars Fischer, der als Professor für IT-Sicherheit das studentische Projekt „Phish2Own“ betreut. Die Studierenden nehmen regelmäßig an Wettkämpfen teil und konnten sich inzwischen auf Platz 8 der deutschen Teams hocharbeiten. So haben sie sich auch für das DefCamp 2022 in Bukarest qualifiziert.

Das Finale des Wettbewerbs wird als „Attack-Defence-CtF“ ausgefochten. Dabei verteidigt jedes Team einen mit verwundbaren Diensten präparierten Server gegen die Angriffe anderen Teams. Zeitgleich werden durch eigene Angriffe auf die gegnerischen Server "Offensiv-Punkte" gewonnen. „Allerdings gibt es nur dann Punkte, wenn zeitgleich die eigenen Dienste lebendig sind, denn das eigentliche Ziel des Wettbewerbs ist die Ausbildung von Verteidigerinnen und Verteidigern. Aber natürlich lernt man Systeme besser zu verteidigen, wenn einem die Angriffstechniken bekannt sind“, so Prof. Fischer. Die Attack-Defense-Wettkämpfe zeichnen sich durch eine deutlich höhere Geschwindigkeit und Intensität aus. Aber: „Während Angriffe in der Realität nicht vorher planbar eintreten, müssen wir in den Wettkämpfen wenigstens nur etwa sechs bis acht Stunden vollkonzentriert sein. Die Konzentration ist während der Wettkämpfe fast undurchdringlich", so Prof. Fischer.

Das Projekt „Phish2Own“ ist ein einjähriges Studienprojekt innerhalb der Bachelorstudiengänge Informatik und Wirtschaftsinformatik an der Hochschule Bremerhaven. Ziel ist ein intensiver und tiefer Einstieg in die Schwachstellenanalyse von Software verbunden mit spielerischer Motivation. Es läuft seit dem Sommersemester 2022 und wird im kommenden Jahr am „Tag der Informatik“ an der Hochschule mit anderen Studienprojekten seine Ergebnisse präsentieren. Bis dahin veröffentlicht das Projekt Beschreibungen von gefundenen Schwachstellen, sogenannte "Write-Ups", auf seiner Webseite unter https://phish.town. „Auf diese Art lernen die Teams weltweit voneinander. Und natürlich lassen gute Write-Ups international die eigene Reputation steigen“, erklärt Prof. Fischer. Im Anschluss an das Projekt möchte das Team als freiwillige studentische Gruppe weiter an Wettkämpfen teilnehmen. Die Motivation des Teams ist hoch. Momentan nehmen die Studierenden jede Woche an einem der weltweit offenen Jeopardy-Wettbewerbe teil. Zuletzt belegten sie beim indischen JadeCtF den ersten Platz. 

Weitere Informationen zu den Studiengängen Informatik und Wirtschaftsinformatik unter www.hs-bremerhaven.de/inf und www.hs-bremerhaven.de/winf.