// Was ist das hier eigentlich?
CTF & Ethical Hacking
Du bist zum ersten Mal bei einem CTF dabei und fragst dich was das alles soll? Kein Problem – hier bekommst du den Überblick. Von den Grundlagen bis zu weiterführenden Ressourcen wenn du Blut geleckt hast.
Was ist ein CTF?
Capture The Flag

Ein CTF ist ein Wettbewerb rund um IT-Security. Die Aufgabe ist immer dieselbe: irgendwo eine Flag finden – eine kleine Zeichenkette im Format DOOM{...} – und sie einreichen. Wer die meisten Flags sammelt, gewinnt.

Was einfach klingt, steckt voller Lerneffekte. Um eine Flag zu finden, muss man verstehen wie Systeme funktionieren – und wo sie schwächeln. Ein CTF ist kein Hackerangriff auf echte Systeme, sondern eine kontrollierte Spielwiese die genau dafür gebaut wurde.

Ursprünglich kamen CTFs aus der akademischen Welt und von Security-Konferenzen. Heute gibt es sie überall – von globalen Online-Wettbewerben bis hin zu internen Team-Events wie diesem hier.

„Ein CTF ist wie ein Escape Room – nur dass du am Ende weißt wie Verschlüsselung funktioniert."
Ethical Hacking
Hacken – aber legal

Ethical Hacking bedeutet: dieselben Techniken wie Angreifer verwenden – aber mit Erlaubnis und mit dem Ziel, Schwachstellen zu finden bevor echte Angreifer das tun.

Unternehmen beauftragen Ethical Hacker um ihre Systeme zu testen. CTFs sind der ideale Einstieg – alles ist erlaubt, alles ist vorbereitet, niemand wird geschädigt.

Der Unterschied zwischen einem Hacker und einem Kriminellen ist nicht das Können – es ist die Erlaubnis.

// Wichtig: Was du hier lernst, gehört auf CTF-Plattformen und deine eigenen Systeme. Techniken auf fremde Systeme ohne Erlaubnis anzuwenden ist illegal – egal wie gut die Absichten sind.
CTF-Varianten
Nicht alle CTFs sind gleich

Es gibt verschiedene Formate. Das hier ist ein Jeopardy-Style CTF – die häufigste Variante für Einsteiger.

🗂️
Jeopardy
Einzelne Challenges in Kategorien. Jede hat eine Flag. Punkte für jede gelöste Aufgabe.
⚔️
Attack / Defense
Teams verteidigen ihre eigenen Server und greifen gleichzeitig die der anderen an.
🗺️
King of the Hill
Alle kämpfen um die Kontrolle über ein System. Wer es hält, bekommt Punkte.
🔗
Progressive / Chain
Challenges bauen aufeinander auf – die Lösung einer Aufgabe ist der Einstieg zur nächsten.
Typische Kategorien
Was kann alles vorkommen?

CTFs decken ein breites Spektrum ab. Wer anfängt muss nicht alles können – aber es ist gut zu wissen was es gibt:

🌐 Web
🔐 Kryptografie
🔍 Reverse Engineering
💥 Binary Exploitation
🖼️ Steganografie
🐧 Linux / Bash
📡 Netzwerk
🔎 OSINT
🎲 Misc

Web – Schwachstellen in Webseiten finden (SQL Injection, XSS, versteckte Pfade …)
Kryptografie – Verschlüsselungen knacken oder schwache Implementierungen ausnutzen
Reverse Engineering – Binärdateien rückwärts lesen um zu verstehen was sie tun
Binary Exploitation – Programme zum Absturz bringen oder umlenken (eher fortgeschritten)
Steganografie – Versteckte Informationen in Bildern, Audio oder anderen Dateien aufspüren
Linux / Bash – Mit der Kommandozeile umgehen, Dateien finden, Berechtigungen verstehen
Netzwerk – Paketmitschnitte analysieren, Protokolle verstehen
OSINT – Informationen aus öffentlich zugänglichen Quellen zusammensetzen
Misc – Alles was sonst noch so reinpasst

Wo weitermachen?
Plattformen & Wettbewerbe

Wenn du hier Feuer gefangen hast, gibt es draußen eine ganze Welt an CTF-Plattformen – von Einsteiger-freundlich bis zu Wettbewerben die selbst erfahrene Teams an ihre Grenzen bringen.

PicoCTF
Perfekt für Einsteiger. Jährlicher Wettbewerb mit permanentem Archiv aller alten Challenges. Von Carnegie Mellon University betrieben – kostenlos, browserbasiert, ausführlich erklärt.
Hack The Box (HTB)
Die bekannteste Lernplattform für Penetration Testing. Virtuelle Maschinen zum Hacken, CTF-Challenges, Lernpfade. Kostenloser Einstieg, Community riesig.
TryHackMe
Noch einsteigerfreundlicher als HTB. Geführte Lernpfade, keine Vorkenntnisse nötig. Browser-basiert – kein eigenes Kali Linux oder VPN nötig.
CTFtime.org
Die Aggregationsseite für CTF-Wettbewerbe weltweit. Kalender, Team-Rankings, Write-up-Links. Wer wissen will wann das nächste CTF stattfindet – hier nachschauen.
DEF CON CTF
Das bekannteste CTF der Welt – findet jährlich auf der DEF CON Security-Konferenz in Las Vegas statt. Attack/Defense-Format, absolute Weltspitze. Eher zum Zuschauen als Mitmachen für Anfänger.
OverTheWire
Wargame-Plattform mit permanenten SSH-Challenges. „Bandit" ist der klassische Einstieg in Linux-Grundlagen – kostenlos, immer verfügbar.
Root Me
Französische Plattform mit über 400 Challenges in allen Kategorien. Besonders stark im Bereich Web und Netzwerk.