Österreichs beste Hacker: „Das Wichtige sind Interesse und Leidenschaft“

Auch heuer findet die Austria Cyber Security Challenge (ACSC) statt. Im neuen Modus gibt es 3 Qualifikationsrunden, in denen Nachwuchs-IT-Profis und Security-Expert*innen ihr Können beweisen, um es ins große Finale zu schaffen.

➤ Mehr lesen: Austria Cyber Security Challenge 2024 startet: Neuer Modus fordert Hacker

Wenn es um Hacker-Wettbewerbe und IT-Security-Skills geht, kommt man in Österreich nicht an einem Namen vorbei: LosFuzzys. Das Team führt nun schon seit Jahren die österreichische Rangliste an und vermeldet regelmäßig international Erfolge.

Hinter den Erfolgen steckt auch eine erfolgreiche Universität: Die LosFuzzys sind ein Studierendenteam der TU Graz, die sich selbst organisieren und trainieren, aber auch in Lehrveranstaltungen eingebunden sind. Die futurezone sprach mit Professor Stefan Mangard, Leiter des Institute of Applied Information Processing and Communications (IAIK) der TU Graz, Sebastian Felix, einer der Captains von LosFuzzys und Marcel Schnideritsch, Obmann der LosFuzzys.

Wie wichtig sind IT-Security-Wettbewerbe wie die ACSC in Österreich?
Sebastian: IT-Sicherheitswettbewerbe sind aus mehreren Gründen sehr wichtig. Solche Wettbewerbe geben Jugendlichen und Studierenden nicht nur die Möglichkeit, ihre Fähigkeiten unter Beweis zu stellen, sondern schaffen auch ein sicheres Umfeld für das Lernen und die Weiterbildung. So kann man sich voll und ganz auf das Finden von Sicherheitslücken konzentrieren, ohne sich über rechtliche Konsequenzen Gedanken machen zu müssen.

Stefan: Gleichzeitig ist es so, dass die Wettbewerbe die öffentliche Aufmerksamkeit auf ein sehr wichtiges Thema lenken. Der Bereich IT-Security hat in den vergangenen Jahren durch die Digitalisierung all unserer Lebensbereiche sehr stark an Bedeutung gewonnen. Es ist ein Thema, das alle betrifft und es betrifft vor allem auch alle Unternehmen. Als Folge dessen besteht derzeit ein akuter Mangel an Fachkräften im Bereich IT-Security. Durch Wettbewerbe wie die ACSC wird Interesse an diesen Bereichen früh geweckt. Sie schaffen auch eine Möglichkeit für die Industrie, um neue Talente zu werben.

Sebastian, hast du dir die Aufgaben der ersten Qualifikationsrunde der ACSC 2024 angesehen? Was sagst du zum neuen Modus?
Der Modus an sich ist eine gute Abwechslung zum vergangenem Jahr, aber meiner Meinung nach benachteiligt er die Voll- und Teilzeitbeschäftigten, da sie potenziell nur das Wochenende zur Verfügung haben, um die Challenges zu lösen. Da die Qualifikation über 3 Wochen verteilt ist, haben nicht alle die gleichen Chancen. Die Challenges waren von hoher Qualität und boten eine gute Mischung an Schwierigkeiten.

Marcel, nimmst du aktuell an der ACSC teil? Was hältst du vom neuen Modus? 
Ja und nein. Die Qualifikation mache ich aus Spaß, das Finale schaue ich mir dieses Jahr als Mitglied des Organisationsteams an. Bezüglich des Modus: Für viele sind die kürzeren Runden sehr stressig, weil neben Arbeit, Uni und Co. einfach zu wenig Zeit bleibt. Für andere ist es genau das Richtige, weil sie sich nicht so lange auf ein Thema konzentrieren müssen.

Stefan, hilfst du deinen Studierenden, die an der ACSC teilnehmen? Kannst du generell ein paar Tipps für alle Teilnehmenden nennen?
Das LosFuzzys Team ist ein unabhängiges Team von Studierenden. Professoren sind nicht involviert bei der Organisation des Teams und auch nicht bei der Vorbereitung auf CTFs (Anm.: Capture the Flag, ein typischer Modus bei IT-Security-Wettbewerben). Diese Trennung gibt es ganz bewusst.

Unsere Sicht von universitärer Seite ist, dass die beste Vorbereitung für die ACSC gleich ist wie die jene für Spitzenforschung und/oder eine Karriere in der Industrie: Es ist eine solide Grundausbildung. Es ist uns an der TU Graz ein Anliegen, von den ersten Bachelorvorlesungen bis zum Studienabschluss, nicht nur an der Oberfläche von Themen zu kratzen, sondern ein tiefes Verständnis aufzubauen. Nur wer wirklich versteht, wie Computersysteme funktionieren, kann diese absichern und sich in die Rolle eines potentiellen Angreifers hineinversetzen. Wir sehen diese Grundlagen als die Basis für den Erfolg bei CTFs. In Kombination mit Neugierde, kreativem Denken und der Fähigkeit, nicht so schnell aufzugeben, ist das die beste Vorbereitung.

Marcel, du als ACSC-Veteran und jetzt Orga-Mitglied: Was sind deine Tipps für die Teilnehmenden?
Grundsätzlich ist es wichtig, sich nicht zu sehr auf ein Thema zu fixieren, sondern auch mal etwas anderes auszuprobieren. Wenn man bei einer Aufgabe nicht weiterkommt, einfach mal was anderes machen und später wieder zurückkommen. Und mein Top-Tipp: Nicht zu kompliziert denken. Oft ist die Lösung einfacher, als man denkt.

➤ Mehr lesen: ACSC 2024: Diese Tipps geben Profis den Nachwuchs-Hackern

Mit den LosFuzzys hat die TU Graz das beste Hacking-Team Österreichs: Woran liegt das?
Sebastian: Das liegt vor allem daran, dass das Team derzeit aus sehr vielen motivierten Studierenden besteht. In den vergangenen Monaten konnten die LosFuzzys immer mehr Studierende begeistern, mit ihnen an CTFs teilzunehmen. Derzeit führen die LosFuzzys die Ranglisten an, es findet auch ein reger Austausch zwischen den LosFuzzys und anderen österreichischen Teams statt. Immer wieder treten Mitglieder von LosFuzzys gemeinsam mit anderen Mitgliedern österreichischer CTF-Teams als KuK Hofhackerei bei Wettbewerben an. So belegte das Team KuK Hofhackerei im vergangenen Herbst beim SaarCTF den 9 Platz.

Marcel: Der Wettbewerb in Österreich ist in den vergangenen Jahren definitiv besser geworden. Es gibt immer mehr Teams, die sich mit dem Thema beschäftigen. Wir haben einfach Spaß daran und die gute Platzierung ist eigentlich nur ein netter Nebeneffekt.

Wie wichtig ist der Support der TU Graz für die LosFuzzys?
Marcel: Die Unterstützung der TU Graz ist für uns sehr wichtig. Wir haben ein eigenes Labor an der Uni, wo wir uns treffen und gemeinsam an Projekten arbeiten können. Außerdem bekommen wir finanzielle Unterstützung für Reisen zu Wettbewerben und dergleichen. Ohne die TU Graz wären wir nicht da, wo wir jetzt sind.
 
Welche aktuellen Entwicklungen gibt es bei der IT-Security-Forschung und beim IT-Unterricht an der TU Graz?
Stefan: Die TU Graz forscht und lehrt seit mehr als 30 Jahren im Bereich IT-Security. Eines der jüngsten ganz großen Highlights ist die Standardisierung von ASCON durch das amerikanische National Institut for Standards and Techology. ASCON ist ein Algorithmus für „Lightweight Cryptography”, also eine ressourcenschonende Verschlüsselung, die an der TU Graz entwickelt wurde. Maria Eichlseder vom IAIK erhielt auch einen Preis für exzellente Lehre. Wir haben zudem vor kurzem eine Präsenz auf Social Media gestartet, @IAIK_tugraz.

Das Institut hat sich auch bei der Lehre kontinuierlich erweitert. Die neueste Lehrveranstaltung im aktuellen Semester ist das „Pentesting Lab”. Hier sind mehrere Vortragende der LosFuzzys mit dabei. Bezüglich Forschung beschäftigt sich unsere neueste Forschungsgruppe (Prof. Könighofer) mit „Trustworthy AI”. Im Herbst gibt es eine Ausschreibung für eine weitere neue Forschungsgruppe.

Marcel, weil das Wort „Pentesting“ gefallen ist: Du bist beim IT-Unternehmen BearingPoint ein „Penteser“. Für viele IT-Security-Nachwuchstalente ist das ein Traumberuf. Was machst du da genau?
Wir machen hauptsächlich Penetrationstests (Pentests), das heißt, wir versuchen in die Systeme unserer Kunden einzudringen. Dabei schauen wir uns die Systeme von außen an, versuchen Schwachstellen zu finden und diese dann auszunutzen. Ziel ist es, den Kunden auf Schwachstellen aufmerksam zu machen und ihnen zu helfen, diese zu beheben. Man muss aber ganz ehrlich sagen, dass das nur ein kleiner Teil der Arbeit ist. Genauso wichtig ist die Dokumentation, Berichte zu schreiben und dem Kunden zu erklären, wo genau das Problem liegt.

Hat dir die ACSC geholfen, diesen Job zu bekommen?
Die ACSC ist nicht nur eine Wettbewerbsveranstaltung, sondern auch eine tolle Gelegenheit, sich mit anderen Leuten aus der Branche zu vernetzen. Da ich schon einige Jahre dabei bin, haben sich dadurch viele Möglichkeiten ergeben - unter anderem eben auch der Job bei BearingPoint.

Dieser Artikel entstand im Rahmen einer Kooperation zwischen futurezone und Cyber Security Austria.