ACSC 2024: Diese Tipps geben Profis den Nachwuchs-Hackern

Am 18. März beginnt die erste Qualifikationsrunde der Austria Cyber Security Challenge 2024 (ACSC). Schüler*innen und Studierende müssen heuer in 3 Runden ihr IT-Sicherheitstalent beweisen. In der offenen Klasse können Profis aber auch alle Interessierte teilnehmen, die sich dem Hackerwettbewerb stellen wollen.

Bevor es losgeht, hat die futurezone mit Marco Squarcina und Manuel Reinsperger gesprochen. Sie sind Trainer des Team Austria. Das Nationalteam vertritt Österreich bei der European Cyber Security Challenge (ECSC) – der Europameisterschaft der Hacker*innen. Es wird aus ausgewählten Teilnehmer*innen früherer ACSCs gebildet – Marco und Manuel wissen also, worauf es bei der Challenge ankommt.

➤ Mehr lesen: Austria Cyber Security Challenge 2024 startet: Neuer Modus fordert Hacker

futurezone: Die ACSC 2024 startet heuer mit einem neuen Qualifikationsmodus. Was bedeutet das für die Teilnehmenden?
Manuel: Der neue Qualifikationsmodus hat Vor- und Nachteile. Wenn sich etwas ändert, muss man generell mit weniger Teilnehmenden rechnen. Dass die Qualifikationszeiten konzentriert werden, verstärkt diesen Effekt leider. Nicht alle werden in allen 3 Wochen gleich viel Zeit haben, jedoch reduzieren wir auch den Vorteil der Leute, die viel mehr Zeit haben als andere. So können wir mehr das Können und weniger den Zeitaufwand messen.

Marco: Auf Trainersicht ist es ein Vorteil. Die ACSC basiert jetzt auf der Plattform der OpenECSC. Das heißt, die Teilnehmenden bekommen Aufgaben zu lösen, die denen der Europameisterschaft ähneln, die heuer in Italien stattfinden wird. Wir wissen nicht, wie schwer die Aufgaben in der ACSC-Qualifikation sein werden, aber rechnen damit, dass sie mehr denen von internationalen Bewerben entsprechen. Dadurch wird die ACSC ein gutes Training für die Europameisterschaft – und das Ziel als Trainer ist es, die Teilnehmenden bestmöglich auf die ECSC vorzubereiten.

Welche Tipps habt ihr für die Teilnehmenden der ACSC?
Marco: Die Aufgaben sind designt, um das laterale Denken und die Problemlösefähigkeiten zu fördern – also erwartet keine einfachen, direkten Lösungen. Bei einem Problem anzustehen ist normal, das gehört zum Lernprozess. Wenn es soweit ist, habe ich diese 3 Tipps:

1. Gehe einen Schritt zurück und versuche das Problem von einem anderen Winkel zu betrachten. Manchmal hilft es darüber zu schlafen, Sport zu machen oder eine Runde Spazieren zu gehen, um dann mit einem klaren Kopf das Problem anzugehen.
2. Nutze die „Gummientchen“-Taktik. Erkläre das Problem jemand anderen, selbst wenn es nur ein Gummientchen ist. Das zwingt dich, das Problem Schritt-für-Schritt durchzugehen. Vielleicht erkennst du dabei etwas, was du vorher übersehen hast.
3. Schlüpfe in die Rolle der Person, die die Aufgabe designt hat. Überlege dir, wie du diese Aufgabe gestalten würdest. Finde die Schwachpunkte in dieser Gestaltung und nutze sie aus, um das Problem zu lösen.

Manuel: Lasst euch nicht einschüchtern von den Aufgaben, selbst wenn ihr anfangs nicht wisst, was zu tun ist. Es wird eine breite Menge an Wissen und Skills getestet und damit ergibt sich die perfekte Möglichkeit Neues zu lernen.

Macht es Sinn, für die ACSC-Qualifikation mit anderen zusammenzuarbeiten, also sich zB. über die Aufgaben in Discord, Foren oder der Schule auszutauschen?
Marco: Bei der ACSC-Qualifikation wird erwartet, dass die Teilnehmenden die Lösungen selbst finden. Aber die Aufgaben mit anderen zu diskutieren kann sehr hilfreich sein, solange man nicht die Lösung teilt. Die Teilnehmenden werden ermutigt im offiziellen Discord der ACSC über Hacker-Techniken, Tools und neue Schwachstellen zu reden. Aufgaben, die Teil der Qualifikation sind, sollte man im Detail aber besser erst nach dem Ende der jeweiligen Qualifikationsrunde besprechen.

Was bringt die Teilnahme an einer ACSC überhaupt?
Marco: Die ACSC ist eine exzellente Möglichkeit um zu lernen und zu wachsen. Die Aufgaben erfordern ein weites Spektrum an Fähigkeiten, von Web-Sicherheit über Binary Exploitation bis zu Kryptographie und Reverse Engineering. Die Teilnehmenden lernen, wie Angreifer zu denken und sich auf die kritischsten Teile eines Systems oder einer Applikation zu konzentrieren. Sie lernen sich in Codes in unbekannten Programmiersprachen zurechtzufinden, sich wohl mit dem Unbekannten zu fühlen und unter Druck zu arbeiten. Das sind Skills, die man in dieser Branche braucht und die von Unternehmen stark nachgefragt werden. Und natürlich lernt man Gleichgesinnte kennen und findet womöglich neue Freunde.

Manuel: Für mich war die ACSC vor fast 9 Jahren der Weg in die Cybersecurity. Davor hatte ich mit dem Thema noch nicht viel zu tun. Heute bin ich professioneller Pentester und kann viele von denen, mit oder gegen die ich in der Vergangenheit gespielt habe, gute Freunde nennen.

➤ Mehr lesen: Hacken für die Guten: „Pentester ist auf alle Fälle ein Traumjob“

Wie bereitet sich das Team Austria heuer auf die Europameisterschaft vor?
Marco: Zusätzlich zu den Trainings werden wir regelmäßig an internationalen Bewerben teilnehmen. Unser Fokus wird auf schwierigeren Aufgaben und komplexeren Themen liegen, um die Fähigkeiten des Teams zu steigern. Außerdem wird Team-Building und -Kommunikation ein Schwerpunkt sein, weil das essenziell für die ECSC ist. Zum Glück haben wir ein fantastisches Team aus talentierten Trainern und früheren Teilnehmenden der ACSC, die bei den ECSC-Vorbereitungen helfen.

Wie stehen die Chancen des Nationalteams bei der ECSC in Italien?
Manuel: Die Chancen sind noch schwer abzustecken, insbesondere, nachdem das Team jedes Jahr neu gestellt wird und dieses Jahr die Qualifikation noch nicht einmal begonnen hat. Wir wollen das Netz heuer auch fürs Team weiter werfen als zuvor und hoffen damit, dass wir uns gegen die immer stärker werdende Konkurrenz behaupten können. Als ehemaliger Captain/neuer Trainer hoffe ich natürlich wie immer auf eine Top-Platzierung ;)

Wie kann man sich so eine EM vorstellen? Wie ein ACSC-Finale nur größer oder herrschen dort „andere Spielregeln“?
Manuel: Eine ECSC hat durchaus Ähnlichkeiten zu einem ACSC-Finale, nur sind die Proportionen und Teilnehmenden ein ganz anderes Kaliber. Die Teams haben 10 statt nur 3 oder 5 Mitglieder, der Bewerb dauert mittlerweile 3 Tage und es wird zusätzlich zu Jeopardy auch der Attack/Defense Modus gespielt, welcher einen ganz anderen Zeitdruck mit sich bringt. Auch spielt man nicht gegen 3 andere Teams, sondern wie vergangenes Jahr gegen über 25. Das klingt jetzt vielleicht einschüchternd, aber genau alle diese Punkte sind der Grund, warum eine ECSC so erfüllend ist. Es gibt unglaublich tolle Aufgaben und einen großen Pool an internationalen und spannenden Teilnehmenden, die man kennenlernen kann.

Dieser Artikel entstand im Rahmen einer Kooperation zwischen futurezone und Cyber Security Austria.