Als den besten Hackern Österreichs das Internet ausfiel

05.10.2023

In Linz fand das Finale der Austria Cyber Security Challenge statt. Dabei wurden die besten IT-Security-Nachwuchstalente und -Profis gekürt.

Ein leises Klappern von Notebook-Tastaturen, gedämpfte Stimmen. Wenn die Veranstalter nicht sanft Musik im Stil von System of a Down und Beastie Boys über die Lautsprecher abspielen würden, würde wohl nur noch geflüstert werden. Schließlich wollen die Teams vermeiden, dass die konkurrierenden Hacker etwas von ihren Plänen mitbekommen.

Selten, aber doch, durchbrechen Emotionen die Stille. Ein lautes „Yes!“ ist von einem Tisch eines Teams der offenen Klasse zu hören. Aber keiner der anderen 70 Anwesenden blickt deshalb vom Notebook auf. Zu viel steht aus dem Spiel: Hier geht es darum, die besten Hacker Österreichs unter Schülern, Studenten und IT-Profis zu finden.

Ein Countdown wird auf der großen Leinwand eingeblendet, die normalerweise zeigt, welches Team gerade führt. 15 Minuten vor Schluss gibt es plötzlich eine schlagartige Entrüstung unter den Finalisten der Austria Cyber Security Challenge 2023 (ACSC): „DAS INTERNET GEHT NICHT!“, ruft es nahezu im Chor in Richtung des Schiedsrichterpults.

Joe Pichlmayr, Obmann des Veranstalters Cyber Security Austria, kriegt deshalb keine Panik. Immer beschäftigt, stets ruhig, gibt er nach einer Minute per Mikrofon Entwarnung: „Einmal aus- und anstecken, dann sollte es wieder gehen.“ Es ist ein bisschen beruhigend zu sehen, dass auch die größten IT-Talente Österreichs nicht vor den Tücken der Technik gefeilt sind.

So funktioniert die Austria Cyber Security Challenge

Bei der ACSC gibt es 3 Klassen:

Schüler*innen (14 bis 20 Jahre, Besuch einer Schule oder Universität)
Studierende (21 bis 25 Jahre, inskribiert an einer Universität oder Fachhochschule)
offene Klasse (gleichzeitig österreichische Staatsmeisterschaft, offen für alle, meist nehmen IT-Security-Profis teil)

Die Qualifikation dauert mehrere Monate. Teilnehmer*innen lösen dazu unabhängig voneinander online Hacker-Aufgaben. Ein Bewertungssystem bestimmt die Besten in den jeweiligen Klassen. Die qualifizieren sich für das Finale. In diesem Jahr waren das 20 Schüler, 20 Studenten und 21 Teilnehmer der offenen Klasse. Leider gab es keine Frauen unter den Finalisten.

Für das Finale werden die qualifizierten Schüler und Studenten zufällig in Teams eingeteilt. Die Teams treten, in ihrer jeweiligen Klasse, gegeneinander an. Heuer waren das 4 Schüler-Teams zu je 5 Personen und 4 Studenten-Teams zu je 5 Personen. In der offenen Klasse gab es 7 Teams zu je 3 Personen.

Das Finale wird live ausgetragen. Dieses Jahr fand es im Rahmen der IKT-Sicherheitskonferenz des Bundesheeres im Design Center in Linz statt. In den Tagen vor dem Finale am 4. Oktober gab es Teambuilding-Übungen, Networking-Veranstaltungen und die Chance, die IKT-Sicherheitskonferenz zu besuchen.

Die ASCS ist eine Initiative der Cyber Security Austria in Kooperation mit dem Abwehramt. Zu den Unterstützern gehören u. a. das BMI, Bundeskanzleramt, Bundesheer sowie zahlreiche Bildungseinrichtungen.

Mehr Teilnehmer, mehr Nervenkitzel

Die Teilnehmer nehmen es sportlich: „Die ACSC war gut, bei ein paar Challenges hat uns noch der letzte Biss gefehlt. Dass das Internet zum Schluss ein bisschen instabil war, hat uns auch nicht geholfen“, sagt Felix Roithmayr: „Wir wollten gerade noch eine Lösung für eine Challenge übermitteln und dann war der Teamkollege wegen des Internetausfalls auf seinem Notebook ausgeloggt.“

Felix ist einer der ACSC-Veteranen und Teilnehmer in der offenen Klasse. Wie meistens in der IT-Security kommt man auch bei der ACSC nur mit Teamwork zum Erfolg. Deshalb sind in allen Klassen, Schüler*innen, Studierende und die offene Klasse, die Finalisten in Teams eingeteilt. Aufgrund der hohen Beliebtheit des Hacker-Wettbewerbs, der heuer zum 12. Mal stattgefunden hat, und um die Spannung für die Teilnehmer zu erhöhen, wurde das Finale vergrößert.

Jetzt treten je 4 Teams der Schüler*innen- und Studierenden-Klasse an, mit je 5 Personen. Bei der offenen Klasse sind es jetzt 7 3er-Teams – im Vorjahr waren es nur 3 3er-Teams. Pichlmayr: „Wir haben es ausgeweitet, weil man in der Studierendenklasse nur bis zum Alter von 25 Jahren spielen kann. Die Teilnehmer*innen wollen aber weiterspielen und wir wollen sie auch als Alumni weiter dabeihaben.“ Felix hat kein Problem mit der größeren Konkurrenz: „Es ist so auf jeden Fall spannender.“

Impressionen vom Finale

16 Bilder

Slideshow ansehen

Knifflige Aufgaben, auch für das Nationalteam

Die Aufgaben, die es für alle Teams zu lösen gilt, sind aus der IT-Security-Praxis. Dazu gehören das Finden und Ausnutzen von Schwachstellen in Websites, das Knacken von Passwörtern, das Herausfinden von Informationen über Social-Media-Profile von Personen und vieles mehr.

Auch eine Hardware-Challenge gab es heuer wieder. Jedes Team hatte ein sogenanntes Hacking-Board. Dies simulierte ein Oszilloskop, das an einem digitalen Signiergerät angeschlossen ist. Die Aufgabe war, die digitale Signatur zu kopieren, um damit eine Nachricht zu versehen. Selbst die Profis taten sich damit schwer: „Die Hardware-Challenge hat viel Spaß gemacht. Ich wusste zwar, wie es funktioniert, aber alles zu implementieren, um zur Lösung zu kommen, hätte zu viel Zeit gekostet“, sagt Felix.

Das Hacking-Board der Hardware Challenge

© Gregor Gruber

Nicht nur die Finalisten der ACSC versuchten die schwierigen Aufgaben zu lösen. Auch die 10 Mitglieder des österreichischen Nationalteams waren vor Ort. Sie spielten außer Konkurrenz mit, um für die Europameisterschaft zu trainieren. Diese findet Ende Oktober in Norwegen statt.

Mit dabei ist Xenia Indra von der HTL Spengergasse. Sie ist eine von 2 Frauen im Nationalteam und hat zum ersten Mal mit 13 Jahren an der ACSC teilgenommen: „Ich bin jetzt seit 5 Jahren am Hacken“, sagt die 18-Jährige. Selbst mit so viel Erfahrung und Nationalteam-Power war die ACSC 2023 im wahrsten Sinne des Wortes eine Challenge: „Die Aufgaben waren herausfordernd, wir haben auch als Team nicht geschafft, alle zu lösen. Das ist normal bei Hacking-Wettbewerben. Die Aufgaben waren definitiv auf dem Level der Europameisterschaft.“

Das sind die Gewinner der Austria Cyber Security Challenge 2023

Schüler

Christoph Tantscher
Maximilian Birnbacher
Jonas Pfeiffer
Johannes Puinbroek
Robin Spreitzer

Studenten

Nikolaus Haider
Simon Possegger
Markus Remplbauer
Andreas Fruhwirt
Philipp Remplbauer

Offene Klasse

Christian Mehlmauer
Marcel Schnideritsch
Martin Schwarzl

Gesondert geehrt wurde DI Gerold Haynaly von der HTL Kaindorf an der Sulm. Sein Unterricht brachte in den vergangenen 12 Jahre die mit Abstand meisten Finalisten hervor.

Die Gewinner erhalten Sachpreise, zudem werden Finalisten der Schüler- und Studierenden-Klasse ins Center of Excellence eingeladen. Hier werden die IT-Talente weiter gefördert. Sie können sich dem ganzen Jahr Hacking-Aufgaben stellen, bei Exkursionen zu Unternehmen mitmachen, IT-Security-Events besuchen und an Teambuildings teilnehmen. Dabei werden wertvolle Kontakte geknüpft, die zukünftig zu Jobs führen können.

Afterparty mit Leberkäse

Auch wenn am Ende jeder gewinnen möchte: Man merkt, dass bei solchen Wettbewerben der Gemeinschaftsgedanke stark ist. Nach dem Abpfiff wird sofort diskutiert. Noch bevor die ersten Notebooks weggepackt sind, geht man zu den anderen Teams und berät sich, wie sie diese oder jene Aufgabe gelöst haben – oder eben auch nicht. Prahlerei oder Schadenfreude gibt es dabei nicht: Alle wollen wissen, wie die Probleme zu lösen gewesen wären und wie sich die neuen Freunde, die man bei dem Wettbewerb kennengelernt hat und die alten, die man schon aus den Vorjahren kennt, geschlagen haben.

Die Finalisten der ACSC bei der Siegerehrung

© Werner Leiner/Cyber Security Austria

Dabei wird nicht nur gefachsimpelt, sondern auch darüber philosophiert, was einem besonders gut gefallen hat und was einem besser gefallen würde. Und weil man in Linz ist, findet diese „Afterparty“ nach dem Finale mit Leberkäse von vom Leberkaspepi statt. Passend dazu gibt's Kulinarisches von Efko, Gourmetfein und Backaldrin.

Ulrich Barnstedt von der HTL Pinkafeld ist einer der Debütanten bei der ACSC, hat aber schon vorher bei Hacking-Wettbewerben teilgenommen: „Meine Lieblings-Challenge war eine Reverse-Engineering-Aufgabe, die ich am Schluss gelöst habe. Die war ganz spannend.“ Ob er nächstes Jahr wieder dabei ist, weiß er noch nicht: „Ich fand es ein bisschen nervig, dass die Teams zufällig eingeteilt werden. Aber insgesamt war es sehr interessant.“

Vom Teilnehmer zum Security-Unternehmer

Philip Graf von der WU Wien findet hingegen genau das wichtig: „Auf Dauer wäre das nicht das Richtige. Durch die Zufallsteams kommt man immer mit anderen Leuten zusammen, was gut für das Networking ist. Außerdem würde es langweilig werden, wenn immer die 5 besten Schüler*innen und 5 besten Studierenden ein Team in ihrer Klasse bilden.“

Wie sich im weiteren Gespräch herausstellt, ist Philip ein Paradebeispiel für das, was die ACSC erreichen will: Nicht Ruhm und Ehre sind im Mittelpunkt, sondern die Vernetzung in der IT-Branche. Nachdem Philip früher an der ACSC teilgenommen hatte, festigte das seinen Entschluss, in der Branche Fuß zu fassen. Mit 18 Jahren, noch während der HTL, machte er sich selbstständig mit seiner Firma Cyber Tirol. „Ich mache Pentests für Kunden von Australien bis Österreich. Die Connections mit und durch Firmen, die bei der ACSC geknüpft wurden, sind sehr wertvoll.“ Sein Wirtschaftsrecht-Studium an der WU Wien, wird er nicht fortsetzen: „Ich habe es aus Interesse nebenbei studiert – aber das Geschäft läuft zu gut.“

Seine Teilnahme an der ACSC hat deshalb auch einen weiteren Zweck, neben Networking und Erfahrungen sammeln: Recruiting. „Ich will mich im nächsten Jahr vergrößern. Vor allem bei den Schülern sind ein paar mit viel Potenzial dabei.“

Dieser Artikel entstand im Rahmen einer Kooperation zwischen futurezone und Cyber Security Austria.