Das Hacker-Finale: Red Bull, Muffins und ernste Gesichter
„Scoreboard Freeze!“ verkünden die Schiedsrichter. Eine Stunde vor Ende des Finales der Austria Cyber Security Challenge (ACSC) wird nicht mehr auf der großen Leinwand gezeigt, welches Team bei welchen Aufgaben vorne liegt.
Reaktion gibt es keine. Zu beschäftigt sind die besten Nachwuchs-Hacker Österreichs, die Profis in der offenen Klasse und das Team Austria, das Österreich im Oktober beim EM-Finale vertreten wird.
Ernste Gesichter sind in Notebooks vertieft. Auch als der DJ Vengaboys abspielt, ist niemand verleitet „We are going to Ibiza!“ mitzugrölen. Ab und zu springt jemand auf, um ins Notebook seines Teamkameraden zu schauen – oder für den nächsten Energieschub Red Bull und einen Muffin zu holen.
Die Emotionsschübe kommen etwa 55 Minuten später. Nur wenige Augenblicke vor dem Ende, traditionell eingeläutet mit Europe – The Final Countdown, gibt es Freudenschreie bei 2 Teams. Gerade noch konnte eine schwierige Challenge, die viele Punkte bringt, gelöst werden.
Qualifikations-Modus machte Probleme
Schwierig war für viele der Teilnehmenden heuer die Qualifikation, um es ins Finale zu schaffen. Nicht, weil die Aufgaben dabei zu schwer oder unfair waren, sondern weil sie auf Vorrunden an fixen Tagen aufgeteilt waren. Wer sich in dieser Zeit auf Schularbeiten vorbereiten musste, Projekte an der Uni zu erledigen hatte oder aufgrund seiner Arbeit nicht genug Zeit in die Hacker-Aufgaben stecken konnte, war stark im Nachteil.
➤ Mehr lesen: Austria Cyber Security Challenge 2024: Fazit nach der Qualifikation
„Wir hatten dadurch einen europäischen Benchmark, weil die Qualifikation jener der openECSC entspricht (offene Klasse Europameisterschaft). Wir haben gesehen, wie unsere Leute verglichen mit anderen Ländern dastehen“, sagt Joe Pichlmayr vom Verein Cyber Security Austria, dem Veranstalter der ACSC: „Aber aufgrund der Zeitprobleme, die viele der Teilnehmenden hatten, haben wir schon früh beschlossen, nächstes Jahr den Modus wieder zu ändern.“
2025 Jahr bleibt man zwar international, harmonisiert aber die Qualifikation, die im März und April stattfinden wird, nur mit Deutschland und der Schweiz. „Die Challenges dafür werden von den Organisatoren aus den 3 Ländern entwickelt. Das heißt jedes Land muss weniger Challenges entwickeln und kann dafür mehr Zeit aufwenden, diese besser zu machen“, sagt Pichlmayr.
Der beste Quali-Teilnehmer in Europa kommt aus Österreich
Eine spannende Sache brachte das heurige Qualifikationssystem aber hervor: „Ein junger Österreicher, der im Team Austria ist, hat als einziger geschafft, in allen 3 Vorrunden der Qualifikation alle Challenges zu lösen. Das hat niemand sonst in Europa geschafft“, freut sich Pichlmayr.
Dabei handelt es sich um den 17-jährigen Matthias Pleschinger. Das IT-Ausnahmetalent ist bescheiden: „Ich glaube ich hatte einfach viel Freizeit und viel zu viel Zeit in das Lösen der Aufgaben gesteckt. Man fällt in eine Art Trance und wacht eine Woche später daraus auf und merkt: Aja, ich habe die Aufgabe gelöst“, sagt Matthias.
Beim ACSC-Finale 2024 machte er als Teil des Team Austria mit. Das Hacker-Nationalteam Österreichs nutzt die Veranstaltung als Training. „Ich bin nicht gut einfache Sachen schnell zu machen, sondern schwierige Dinge überhaupt zu machen. Also habe ich mir heute die schwerste Aufgabe ausgesucht. Wir machen hier mit, um für die EM zu trainieren und mit dieser Aufgabe konnte ich am besten üben.“ Die Hacker-EM European Cyber Security Challenge findet Anfang Oktober in Turin statt. Wie schätzt Matthias die Chancen des Team Austria ein? „Ich möchte keine Prognose abgeben, aber ich glaube nicht, dass wir bei der EM große Probleme haben werden.“
➤ Mehr lesen: Österreichs beste Hacker: „Das Wichtige sind Interesse und Leidenschaft“
Geringer Frauenanteil, mit Aussicht auf Besserung
Ein noch nicht gänzlich gelöstes Problem der ACSC und generell der IT-Security, ist der geringe Frauenanteil. Heuer waren nur 3 Frauen unter den 61 Personen im Finale anwesend: Eine in der Junior-Kategorie und 2 im Team Austria.
Die Frau bei den Junioren ist Chiara Handler. Sie wäre schon im Vorjahr im Finale gewesen: „Da konnte ich aber leider nicht teilnehmen. Das war im ersten Semester an der Uni, es wäre eine schlechte Idee gewesen, da zu fehlen.“ Was ihr an ihrem jetzt ersten Finale besonders gefallen hat: „Die Aufgabenstellungen regen zum Nachdenken an. Man lernt eigentlich bei jeder Challenge was dazu, auch in der Qualifikation, selbst wenn es nur Kleinigkeiten sind.“
Angesprochen auf den geringen Frauenanteil sagt Chiara: „Als ich noch auf die HTL gegangen bin, hat es in der Netzwerktechnik-Klasse nur 2 Mädchen gegeben, im Vergleich zu 13 Jungs. Da ist es eigentlich bemerkenswert, dass im Team Austria 2 Frauen dabei sind. Und die Hackerinnen-Initiative, die jetzt gemacht wird, ist richtig cool.“
Die Initiative wurde von SBA Research gestartet und heißt Shecurity. „Es finden ein bis 2-mal pro Monat hybride Veranstaltungen statt, die zeigen, wie man in das Thema IT-Security reinkommt. Die Gruppe besteht schon 180 Mädchen und Frauen“, sagt Pichlmayr.
Der Anstoß für Shecurity kam aus dem Wunsch heraus mehr Frauen für das Thema zu begeistern: „Mit dem AIT und der FH Oberösterreich haben wir in einem Forschungsprojekt die Kommunikation der ACSC analysiert. Dabei ist herausgekommen, dass wir sehr kompetitiv kommunizieren, was viele Frauen im Bereich der IT-Security abschreckt. Das war dann die Geburtsstunde der Hackerinnen-Gruppe Shecurity, die einen kollaborativen Ansatz verfolgt.“
Esoterische Hacker-Aufgaben
Das Finale der ACSC ist traditionell ein Mix aus beidem: Man tritt zwar gegen andere an, aber in der Gruppe. In der Qualifikation sind alle Einzelkämpfer, jedoch bestreiten sie das Finale in Teams. Das spiegelt die Realität wider, denn in der IT-Security muss man zusammen mit Kollegen und Mitarbeitern Systeme sichern und Krisen bewältigen.
Auch die Hacking-Aufgaben für die Finalisten wurden deshalb möglichst realitätsnahe gestaltet. „Wir sind dem Wunsch der Teilnehmer nachgekommen und haben heuer für das Finale nicht Aufgaben vom Hacking Lab genommen, sondern eigene entwickelt, die ua. von ehemaligen Spielern, aber auch von Unterstützern aus dem universitärem Netzwerk kommen, wie etwa der TU Wien und TU Graz. Wir sind also weg von einer Ausbildungsplattform hin zu einer Wettkampfplattform gegangen“, sagt Pichlmayr.
Das begrüßen auch Veteranen der ACSC, wie Felix Roithmayr, der dieses Jahr ebenfalls wieder in der offenen Klasse im Finale war: „Die Challenges waren diesmal wirklich qualitativ hochwertig. Sie fordern Hacking-relevante Skills, anstatt ein Ratespiel zu sein. Das war bei leichten Challenges so, aber auch bei ganz schweren und esoterischen.“
Und was ist so eine esoterische Challenge? „Wir mussten einer KI Informationen entlocken. Wir konnten ihr Fragen als Mail schicken, die sie dann beantwortet hat. Es gab aber einen Filter, der verhindert, dass sie die Informationen preisgibt, die wir brauchen. Aber mit den richtigen Fragen konnte man die KI austricksen und die Antworten bekommen, die man benötigt“, erklärt Felix. Esoterisch sei in diesem Fall jedenfalls nicht abwertend gemeint: „Es war cool und hat Spaß gemacht. Auch die Krypto-Challenge hat mir sehr gefallen – ich glaube ich war der Einzige, der geschafft hat, sie zu lösen.“
Die Gewinner der ACSC 2024
Diese Teams konnten sich im Finale in ihrer jeweiligen Klasse durchsetzen:
Juniors
- Michael Gangl
- Bastian Uhlig
- Ulrich Barnstedt
- Christoph Tantscher
- Julian Burger
Seniors
- Maximilian Seidler
- Andreas Himmler
- Jonas Konrad
- Sebastian Felix
- Philipp Remplbauer
OpenClass
- Roland Wallner
- Günter Ebermann
- Paul Panosch
Im nächsten Jahr wird man die mittlerweile gewohnten Hallen des Congress Center Messe Wien verlassen. Schon mehrmals hat das ACSC-Finale dort im Rahmen der IKT-Sicherheitskonferenz stattgefunden.
Pichlmayr: „Das Finale 2025 wird schon Ende Juni stattfinden und dafür fahren wir ins Ländle: nach Dornbirn. Es wird nicht eingeigelt in einem Konferenzcenter sein, sondern einen offenen Charakter haben, mit Bühnen, um der Öffentlichkeit das Thema näher zu bringen: Fast wie ein IT-Security-Festival.“
Dieser Artikel entstand im Rahmen einer Kooperation zwischen futurezone und Cyber Security Austria.