CISPA

Mehrmals im Jahr treffen sich Informatikstudenten aus aller Welt im Netz oder an einem realen Ort, um in einem mehrstündigen Wettkampf die Mannschaft zu ermitteln, die Sicherheitslücken am schnellsten findet und nicht nur ausnutzen, sondern auch schließen kann. Informatikstudenten der Universität des Saarlandes haben während des IT-Sicherheit-Wettbewerbs „ruCTF“ im russischen Jekaterinburg eindrucksvoll ein intelligentes Haus verteidigt und andere Häuser angegriffen. Unter den 150 Teilnehmern war lediglich eine russische Studentengruppe besser als die Informatiker der Saar-Uni, die damit nicht nur die deutsche Konkurrenz hinter sich ließen, sondern auch das beste europäische Team stellten.

Mehrmals im Jahr treffen sich Informatikstudenten aus aller Welt im Netz oder an einem realen Ort, um in einem mehrstündigen Wettkampf die Mannschaft zu ermitteln, die Sicherheitslücken am schnellsten findet und nicht nur ausnutzen, sondern auch schließen kann. Informatikstudenten der Universität des Saarlandes haben während des IT-Sicherheit-Wettbewerbs “ruCTF” im russischen Jekaterinburg eindrucksvoll ein intelligentes Haus verteidigt und andere Häuser angegriffen. Unter den 150 Teilnehmern war lediglich eine russische Studentengruppe besser als die Informatiker der Saar-Uni, die damit nicht nur die deutsche Konkurrenz hinter sich ließen, sondern auch das beste europäische Team stellten.

Die Ural Federal University hatte den IT-Sicherheitswettbewerb “ruCTF” am 17. April dieses Jahres veranstaltet. Er begann um 9 Uhr morgens im Jelzin-Zentrum der Industrie-Stadt im russischen Uralgebirge. Dort mussten die 21 Teams aus Russland, Italien, Ungarn und Deutschland in nur neun Stunden diverse Dienste und Geräte eines komplett vernetzen Haushaltes auf Sicherheitslücken überprüfen, diese als Verteidiger schließen und zum Angriff gegen die übrigen Teams nutzen. Dazu hatten sie am Morgen ihr eigenes „intelligentes Haus“ virtuell auf einem Laptop überreicht bekommen, der dann in einem Netzwerk arbeitete, in dem alle Mannschaften angreifen konnten.

Den Start in Russland hatten sich die Saarbrücker Informatikstudenten bereits im November des vergangenen Jahres erkämpft. In einem internationalen, im Internet ausgetragenen Turnier hatten sie 137 Teams hinter sich gelassen und den dritten Platz belegt.

„Im Prinzip ist es wie eine Sportart. Die Herausforderung liegt darin, in kürzester Zeit und schneller als andere eine Lösung zu finden – für einen Angriff und die entsprechende Abwehrmaßnahme“, erklärt Oliver Schranz, Doktorand am Saarbrücker Center für IT-Sicherheit, Privacy and Accountability (CISPA). Den Spaßfaktor erhöhe auch die Tatsache, dass man das Wissen aus der Vorlesung praktisch anwenden könne, so Schranz. Die Mannschaft der Saarbrücker Informatikstudenten nennt sich “saarsec”. Der wesentlich kleinere Kader für Russland bestand aus Schranz, Jonas Bushart, Pascal Berrang, Johannes Krupp, Markus Bauer, Frederik Möllers und Jonas Cirotzki. Dennoch waren in der siebenköpfigen Mannschaft alle Ausbildungsniveau vertreten, abgefangen von Drittsemester der Informatik bis hin zu vier Doktoranden. „Auf diese Weise haben wir in unserer Mannschaft Spezialisten für unterschiedliche Gebiete, angefangen bei der Heimautomation über Angriffsprogramme bis hin zu der Kunst des Ver- und Entschlüsselns“, erklärt Schranz.

Während des Wettbewerbes vor Ort mussten die Saarbrücker Informatikstudenten Geräte und Dienste wie einen Putzroboter, einen vernetzten Kühlschrank oder einen intelligenten Tresor sowohl angreifen als auch verteidigen. Oft ließen sich aus der Ferne Daten auslesen, die während des Betriebs versendet wurden. Die Studenten konnten daraus auf Sicherheitslücken schließen und diese Vermutungen überprüfen. Oft arbeiteten auch die im intelligenten Haus eingesetzten Verschlüsselungsverfahren fehlerhaft, so dass sie sich aushebeln ließen. In seltenen Fällen waren die Webseiten der angebotenen Dienste auch komplett unverschlüsselt.

„Man musste immer etwas um die Ecke denken“, erklärt Pascal Berrang, ebenfalls Doktorand am CISPA, „ ohne diese Mentalität, das Ausprobieren von Programmen und Funktionen in einem Kontext, für den sie eigentlich nicht gedacht sind, geht in der IT-Sicherheit nicht viel.“

Hatten die Informatikstudenten eine Sicherheitslücke entdeckt, feuerten sie ihren Angriffscode permanent auf die Dienste der anderen Gruppen ab. Konnten sie so unbemerkt in das System eindringen, stahlen sie ähnlich wie beim Maibaum-Entführen am ersten Mai oder dem Fahnen-Klau in Zeltlagern digitale Codeschnipsel, sogenannte Flaggen. Je mehr geklaute Flaggen sie vorweisen konnten, desto höher stiegen sie in der Rangliste. Die Saarbrücker Informatiker schafften es so auf den zweiten Platz, und das, obwohl sie erst seit 18 Monaten auf solchen Turnieren antreten. Schranz erklärt die erfolgreiche Russland-Mission so: „Unsere Ausrüstung war sehr gut. Die von uns entwickelten Programme haben viele Sicherheitslücken gefunden. Sie haben uns einen starken Vorteil verschafft.“ Pascal Berrang sieht eher die Ausbildung an der Saar-Uni als entscheidenden Erfolgsfaktor: „Wir sind darauf getrimmt, einfache Fehler im Schlaf zu erkennen. Dann haben wir alle ein breites Wissen. Es gibt hier keinen, der sich beispielsweise nicht mit Verschlüsselungsverfahren auskennt.“ Ihren nächsten Wettkampf wollen die Mitglieder von saarsec Ende des Jahres bestreiten. Die Trophäe aus Russland dagegen erhält schon jetzt einen Ehrenplatz im Foyer des erst im April offiziell eröffneten CISPA-Gebäudes.

Hintergrund: IT-Sicherheit an der Universität des Saarlandes

IT-Sicherheit ist ein Schwerpunkt der Informatik-Institute auf dem Campus der Universität des Saarlandes. Dies belegen die jüngst gewonnenen „Consolidator Grants“ des Europäischen Forschungsrates (ERC) durch die Forscher Derek Dreyer (Max-Planck-Institut für Softwaresysteme) und Professor Bernd Finkbeiner (Fachrichtung Informatik) ebenso wie der durch die Deutsche Forschungsgemeinschaft für vier Jahre bewilligte und 8,4 Millionen schwere Sonderforschungsbereich „Methods and Tools for Understanding and Controlling Privacy“. Bereits 2011 richtete das Bundesministerium für Bildung und Forschung mit 17 Millionen Euro drei Kompetenzzentren für IT-Sicherheit ein. Eines davon ist das Center for IT-Security, Privacy and Accountability (CISPA) an der Universität des Saarlandes. Inzwischen ist es zu einem Forschungsstandort mit internationaler Sichtbarkeit geworden. 33 Gruppen mit 210 Forschern arbeiten dort. Größter Erfolg bis dato: Zusammen mit dem Max-Planck-Institut für Informatik und dem Max-Planck-Institut für Softwaresysteme gewann CISPA den „ERC Synergy Grant“. Sie erhielten damit rund zehn Millionen Euro, um zu erforschen, wie man im Internet Anwender gegen Ausspähung und Betrug schützen und Täter entlarven kann, ohne dabei den Handel, die freie Meinungsäußerung sowie den Zugang zu Informationen im Internet einzuschränken.

Weitere Informationen: saarSec

Pressefotos unter: uni-saarland.de/pressefotos

Fragen beantworten:

Oliver Schranz
Universität des Saarlandes
Center for IT-Security, Privacy and Accountability (CISPA)
Tel.: +49(0)681 / 302- 57368
E-Mail: schranz (ät) cs.uni-saarland.de

Pascal Berrang
Universität des Saarlandes
Center for IT-Security, Privacy and Accountability (CISPA)
Tel.: +49(0)681 / 302 - 57376
E-Mail: berrang (ät) cs.uni-saarland.de

Redaktion:

Gordon Bolduan
Kompetenzzentrum Informatik Saarland
Telefon: +49 681 302-70741
E-Mail: bolduan (ät) mmci.uni-saarland.de