Interview: Wie ein Freiburger Hacker fast Europameister wurde

Konstantin Görlich

Leopold Schabel, 20, Systemadministrator und IT-Sicherheitsexperte aus Freiburg, hat vorige Woche bei der European Cyber Security Challenge im Nationalteam Deutschland repräsentiert - und wurde fast Europameister. Der Wettbewerb fand in der Schweiz statt, veranstaltet von der Nonprofit-Organisation Swiss Cyber Storm.



Wie wird man Teilnehmer bei einer Hacker-EM?

Schabel: Über die Online-Vorrunde im nationalen Wettbewerb, an der Hunderte teilnehmen, da hab ich den ersten Platz belegt. Die 10 besten davon kommen nach Berlin und die besten aus Berlin gehen zum Europawettbewerb. In Berlin holte ich dann einen guten zweiten Platz, wurde fast erster. Aufgrund der Leistungen in der Qualifikation bin ich dann trotzdem zum Europa-Finale eingeladen worden - auch ohne ersten Platz in Berlin.

Und nur so kann man Weltmeister-Hacker werden?

Schabel: Europameister! Es haben ja nur europäische Länder - Österreich, Deutschland, Schweiz, Rumänien, Spanien und Großbritannien - teilgenommen. In dieser Größenordnung, staatlich organisiert - was einige von der Teilnahme abschreckt - sind mir keine vergleichbaren Events bekannt, in Europa ist es sowieso einmalig. Obwohl es staatlich ist sehe ich da für mich kein Problem: Das Wirtschaftsministerium fördert es, um die Wirtschaft zu fördern - und mich, denn bei so einem Event werden natürlich unheimlich viele Kontakte geknüpft, Freundschaften entstehen, auch während der monatelangen Vorbereitung. Preisgeld gab’s in der Schweiz übrigens keines.

Wie sieht der technische Teil aus, was muss man da können?


Schabel:
Von allem ein bisschen. Es waren sehr schwierige Aufgaben aus allen Bereichen: Netzwerksicherheit, Code-Analyse, Sourcecode-Patching. Es gab alles: Android, Windows, Linux. Untersuchung von Schadsoftware. Es gab sogar einen kleinen Roboter mit WLAN, der gehackt werden musste: Man musste den Roboter übernehmen und zur Jury fahren, um Punkte zu bekommen.

Der Wettbewerb ist ein Attack-Defense-CTF (Capture the Flag). Das heißt: Jedes Team bekommt einen Server, auf dem Dienste laufen, die absichtlich Sicherheitslücken enthalten. Das Ziel: Die Lücken möglichst schnell finden, bei sich selbst beheben und die anderen Teams mit den gefundenen Lücken hacken. Für beides gibt’s Punkte.

Habt ihr auch etwas nicht geschafft?

Schabel: Der Wettbewerb war so vollgepackt mit Aufgaben, dass man gar nicht alle schaffen konnte, sondern priorisieren musste. Die Prioritäten haben wir richtig gesetzt und alles geschafft, was wir versucht haben - bis auf die letzte Aufgabe, bei der die Zeit ausging. Unsere einzigen Gegner waren die Zeit und die Präsentation, könnte man sagen. Alle im Team haben signifikant zum Ergebnis beigetragen. Ich war für die Sicherheit unseres Netzwerks zuständig und habe unser Netzwerk während des Wettbewerbs sogar umgebaut. Das durfte auf gar keinen Fall schiefgehen, im Protokoll steht es unter „Schwarze Magie“.



Ist das nicht eigentlich Nachwuchsarbeit für NSA und Konsorten?

Schabel: Also die PR-Abteilung der Verantalter spricht lieber vom IT-SIcherheitswettbewerb als von einem Hackerwettbewerb, hab ich mir sagen lassen. Und wir sind natürlich alle Whitehats, die später mal in den Sicherheitsabteilungen arbeiten, und die Systeme vor den Blackhats schützen.

Was Geheimdienste angeht: In Deutschland gab es gar keine Rekrutierungsversuche durch Geheimdienste. In der Schweiz, Österreich und Großbritannien dagegen sind Militär und Geheimdienste ganz aktiv dabei. Das britische Team wird vom Geheimdienst GCHQ gesponsort. Hinter den Österreichern steht das Bundesheer. Die müssen ganz intensiv gebrieft worden sein, haben vor dem Wettbewerb mit niemandem ein Wort gesprochen.

Also durchaus professionelle Konkurrenz!

Schabel: Ja, aber im technischen Wettbewerb haben wir sie trotzdem alle fertiggemacht. Die Österreicher hatten allerdings die bessere Präsentation. Die zählt zu einem Drittel ins Gesamtergebnis und wir hatten im technischen Teil weniger als dieses Drittel Vorsprung - das ist dann halt so. Gegen Ende ist das Punkteverteilsystem abgestürzt und wir haben ausgerechnet: Wenn es fünf Minuten später abgestürzt wäre, hätte es trotz Präsentation für den ersten Platz gereicht. Wir fühlen uns trotzdem als Sieger, weil wir das im technischen Teil ja waren. Danach haben wir mit den anderen fünf Teams gefeiert, wir sind ja gute Verlierer.

Verlierer? Vizemeister! Da seid ihr schon stolz drauf, oder?

Schabel: Der zweite Platz ist schon echt cool. Zumal wir Gegner hatten, die das hauptberuflich machen. Dass wir uns gegen die behaupten konnten, war schon ein Grund zum feiern. Spaßweltmeister sind wir auf jeden Fall, mit unserem Schlachtruf "Hulk Smash" und unserem Teamnamen "alles" - damit wir jedes mal, wenn jemand einen Satz sagt, in dem "alles" vorkommt, "ALLES!" rufen können.

Aber wir bilden uns jetzt nichts auf unseren Erfolg ein, es gibt sicherlich viele, die genauso gut gewesen wären oder besser, die aber aus verschiedenen Gründen, wie Anonymität oder Staatsnähe, nicht teilgenommen haben oder nicht teilnehmen konnten, denn es war ja explizit ein Jugendwettbewerb.