Gemeinsam für mehr IT-Sicherheit

Unsere digitale Welt birgt neben Vorteilen auch Risiken – zum Beispiel Cyberkriminalität. Sie macht weder vor Landesgrenzen noch verschlossenen Türen Halt. Jedes Jahr werden weltweit viele Menschen und Unternehmen Opfer von Cyberkriminalität. Umso wichtiger ist der Bereich IT-Sicherheit. Im besten Fall wehren die Beschäftigten dort Cyberangriffe ab oder helfen, die Schäden auf ein Minimum zu begrenzen. An der FernUni lehrt Prof. Jörg Keller (Lehrgebiet Parallelität und VLSI) zum Thema IT-Sicherheit.

Von Studierenden für Studierende

Safi Marie Kühn und Fabian Strachanski studieren im Master Informatik an der FernUniversität in Hagen. Letzten Dezember haben sich die Studierenden eine besondere Aktion für ihre Kommilitoninnen und Kommilitonen ausgedacht – einen „Capture the Flag (CTF)“-Wettbewerb. „Der Begriff kommt eigentlich aus dem militärischen und es spielen zwei Teams gegeneinander. Bei unserer Aktion ging es nicht Gegeneinander, sondern darum Herausforderungen aus dem IT-Alltag zu bewältigen“, erklärt Safi Marie Kühn. CTF-Wettbewerbe werden in der Cybersecurity oft genutzt, um Fähigkeiten im Bereich Hacking und Sicherheit zu verbessern. Das Ziel ist es hier „versteckte Flaggen“ zu finden, die beispielsweise in einer Anwendung platziert wurden. „Der Wettbewerb soll dabei helfen, dass Studierende und Interessierte praktische Erfahrungen sammeln können“, sagen die beiden Studierenden. Ihre Idee zum Wettbewerb teilten sie im Vorfeld mit Prof. Jörg Keller. „Ich war sofort begeistert von der Idee und habe meine Unterstützung zugesagt. Gerade für Anfängerinnen und Anfänger kann so eine Challenge der Einstieg in die IT-Sicherheit sein und vor allem kann hier theoretisches Wissen aus den Vorlesungen in der Praxis angewendet werden“, so Jörg Keller.

Wo ist die Flagge?

Neben dem Alltag als Mutter und ihrem Beruf in der IT-Sicherheitsfirma softScheck entwickelte Kühn mit Strachanski in der Adventszeit 24 kleine Aufgaben. Fabian Strachanski arbeitet ebenfalls Vollzeit in ­der IT der Universität Duisburg-Essen. „Ich hatte schon ein paar Ideen vor dem Wettbewerb und spiele selber gerne CTF-Wettbewerbe.“, sagt Kühn. Sie haben neben ihren beruflichen und privaten Verpflichtungen knapp drei Monate an der Challenge gearbeitet. Die Studierenden konnten innerhalb des Wettbewerbs verschiedene Aufgaben lösen und mussten so die „versteckte Flagge“ finden. Diese kam erst zum Vorschein, wenn sie das Rätsel lösen konnten. In einer Webanwendung zum Beispiel konnten Nutzerinnen und Nutzer Notizen hinterlegen. Doch es gab eine Sicherheitslücke und Unberechtigte hätten diese Notizen einsehen können. Diese Lücke mussten die Spielerinnen und Spieler finden. In einer anderen Aufgabe setzen Kühn und Strachanski ein einfaches Linux-System auf, das eine Sicherheitslücke hatte. Dort wäre es möglich gewesen, dass sich „normale“ Benutzer Administratorrechte hätten einrichten können. Im schlimmsten Fall hätte man so ein System übernehmen können. „Das sind Herausforderungen aus dem IT-Alltag. In meinem Job in einer IT-Sicherheitsfirma sehe ich öfter solche Risiken und konnte daher gut passende Aufgaben erstellen“, so Kühn. Die Veranstaltung wurde im Discord-Server der Studierenden der Fakultät für Mathematik und Informatik verbreitet sowie auf den Moodle-Plattformen verschiedener Kurse. „Es gab 89 Anmeldungen und 67 haben mindestens eine der Aufgaben gelöst“, sagt Fabian Strachanski.

Ausprobieren und Überlegen

Um den Wettbewerb möglichst attraktiv für Teilnehmende zu gestalten, organisierte das Lehrgebiet von Prof. Keller und die beiden Studierenden verschiedene Preise. Die zehn Teilnehmenden mit den meisten Punkten bekamen einen Gutschein in verschiedenen Höhen für den FernUni-Online-Shop. Die ersten drei Plätze bekamen zusätzlich einen Gutschein für „TryHackMe“, eine der größten Lernplattformen in der Cybersecurity-Community, welche die Studierenden als Sponsor gewinnen konnten. „Diese kann kostenlos benutzt werden, aber es gibt bestimmte Module, die hinter einer Paywall liegen. Mit dem Gutschein können die Studierenden nun etwas nach ihrer Wahl im Bereich IT-Sicherheit dazulernen“, erklärt Kühn. Den Großteil der finanziellen Unterstützung übernahm das Lehrgebiet. „Der IT-Beruf erfordert auch, dass man viel ausprobiert und überlegt, um Lösungen zu finden“, sagt Keller. Und Safi Marie Kühn ergänzt: „In unserem Beruf ist es wichtig praktisch zu arbeiten. Das ist wie beim Fahrradfahren. Man muss es irgendwann ausprobieren“. Das Feedback ihrer Kommilitoninnen und Kommilitonen fiel sehr positiv aus. „Wir wollen die Challenge wiederholen. Nur nicht nochmal im Dezember, da in den Rückmeldungen eindeutig war, dass die meisten zu viel in der Adventszeit zu tun haben“, sagt Strachanski. Es hat den beiden viel Spaß gemacht den „Capture-the-Flag“-Wettbewerb zu erstellen. „Das war eine ganz tolle Leistung der Studierenden“, lobt Prof. Jörg Keller. „Die Aktion beweist, dass wir zwar kein klassisches Campus-Leben haben, dafür aber einen sehr guten virtuellen Austausch“. Auch Kühn und Strachanski berichten vom guten Austausch im Discord-Server. „Die Atmosphäre dort ist sehr familiär. Wir können uns untereinander schnell und unkompliziert austauschen. Neben Themen aus dem Studium werden dort auch Geschichten erzählt oder Rezepte geteilt.“