CTF steht für Capture The Flag – ein Wettbewerb bei dem du versteckte Zeichenketten (Flags) in Challenges findest und einreichst. Keine echten Systeme werden angegriffen, alles passiert in einer kontrollierten Umgebung.

Das Format kommt aus der IT-Security-Welt und ist eine der besten Methoden um technisches Wissen praktisch zu vertiefen.

Alle Flags haben das Format DOOM{...} – geschweifte Klammern um den eigentlichen Inhalt. Beispiel: DOOM{1nf3rn0_l4bs_s3cr3t}

Groß-/Kleinschreibung ist wichtig. Die Flags werden exakt so eingereicht wie du sie findest.

Nein. Die Challenges sind bewusst so gestaltet, dass man von vorne anfangen kann – ohne Vorkenntnisse. Das Warm-up ist der empfohlene Einstieg.

Und falls du trotzdem feststeckst: Hints kosten zwar Punkte, aber Punkte sind nicht das Ziel. Lernen ist das Ziel.

Challenge öffnen → das Textfeld unten → Flag eingeben → Submit. Klingt banal, aber manche suchen einen komplizierten Weg wo keiner ist.

Manche Challenges sind versteckt bis du eine Vorgänger-Challenge gelöst hast. Das ist so gewollt – die sieben Türen bauen aufeinander auf. Löse die erste in einer Kette um die nächste freizuschalten.

Hints sind Hinweise die dir helfen wenn du nicht weiterkommst. Sie kosten Punkte – aber nur wenn du sie öffnest. Schau erst selbst, bevor du kaufst.

Der erste Hint jeder Challenge ist kostenlos.

In dieser Reihenfolge: Hint kaufen → Google → Kollegen fragen → kurze Pause → nochmal probieren. Die Lösung ist immer da, manchmal braucht man nur einen anderen Blickwinkel.

Spoiler sind natürlich tabu solange das CTF läuft.

Das CTF bleibt offen. Du kannst weiter Türen öffnen, in deinem eigenen Tempo. Die 2 Stunden sind der gemeinsame Rahmen – kein hartes Ende.

Für den Einstieg reichen: ein Browser und CyberChef. Der Rest ergibt sich aus den Challenges selbst.

Nützlich sind außerdem: exiftool, steghide, Wireshark, curl. Eine vollständige Liste findest du auf der Tools-Seite.

Ja. Die meisten Challenges sind browserbasiert oder nutzen Tools die auf Windows verfügbar sind. Für Kommandozeilen-Tools reicht PowerShell oder WSL.

Nein. Der Einsatz von KI-Tools ist nicht erlaubt – und das hat einen guten Grund: Wer eine KI nach der Lösung fragt, lernt nichts. Das Ziel dieser Veranstaltung ist nicht, Flags zu sammeln, sondern zu verstehen warum etwas funktioniert.

Eine KI die dir die Antwort gibt ist wie ein Taschenrechner beim Kopfrechnen-Training. Technisch möglich, aber komplett am Ziel vorbei.

Google, Dokumentationen, Man-Pages und die Hints in der Challenge selbst sind ausdrücklich erlaubt – und oft hilfreicher als du denkst.

Dann hast du eine Flag – aber keine Ahnung warum. Das ist dein Problem, nicht unseres. Die Challenges kommen wieder, das Wissen bleibt (oder bleibt eben nicht).

Außerdem macht es keinen Spaß. Ehrlich.