Zu meinem Lieblingsthema Cyber Security kam ich eigentlich durch Zufall. Im zweiten Lehrjahr als Informatiker hatten wir in der Schule ein Modul über Sicherheit im Internet, und das Gebiet faszinierte mich auf Anhieb. In der Freizeit habe ich mich dann selber mit dem Thema weiterbeschäftigt. Irgendwann machte mich ein Kollege auf die "Cyber Security Challenge" aufmerksam. Das sei doch etwas für mich, meinte er. Und damit hatte er Recht.
Dieses Jahr habe ich bereits zum dritten Mal an diesem Nachwuchswettbewerb teilgenommen, der vom Verein Swiss Cyber Storm organisiert wird. Aufgrund der grossen Teilnehmerzahl verlief die Selektion dieses Mal etwas anders als in den Vorjahren: In der Qualifikationsphase musste zuerst jeder für sich alleine bestimmte Aufgaben lösen. Diejenigen von uns, welche diese Phase erfolgreich bestanden, durften dann Mitte September am Schweizer Finale in Sursee teilnehmen. Dort mussten wir in kleinen Teams knifflige Aufgaben lösen, beispielsweise versteckte Sicherheitslücken in Webanwendungen finden, verschlüsselte Dokumente knacken oder uns einen Zugang zu einem geschützten System verschaffen.
Für die 10 Besten von uns ging es dann nochmals weiter: Wir durften im Oktober im KKL Luzern die Schweiz am Europäischen Finale vertreten. Dort mussten wir uns gegen Teams aus Deutschland, Österreich, England, Spanien und Rumänien behaupten. Jedes Team bestand aus zehn Mitgliedern und hatte einen eigenen Webserver zur Verfügung, auf dem Applikationen mit bestimmten Schwachstellen liefen. Unsere Aufgabe bestand darin, diese Anwendungen zu sichern und die Schwachstellen auszubessern. Gleichzeitig mussten wir versuchen, in die Server der konkurrierenden Teams einzudringen.
Auf dieses Finale haben wir uns als Team intensiv vorbereitet. Wir haben eine zentrale Ablage eingerichtet, auf der wir alle unsere Tools ablegten, und einen gemeinsamen Chat-Kanal eingerichtet. Wir haben uns klar abgesprochen, wer in unserem Team für was zuständig ist. Ich selbst war dafür zuständig, Angriffe von anderen Teams frühzeitig zu erkennen. Es war jeweils interessant zu sehen, wie die anderen uns angriffen, denn das gab uns Hinweise, auf welchem Weg wir ihre Systeme knacken könnten. Leider hat es nicht für den Sieg gereicht. Wir wurden Dritte.
Mit dem Thema Cyber Security befasse ich mich momentan vor allem in meiner Freizeit. Das Ganze ist für mich eine Art Spiel: Mir macht es grossen Spass, Probleme zu lösen, andere anzugreifen und mich gegen Angriffe geschickt zu verteidigen. Wenn ich eine knifflige Aufgabe gelöst habe, dann gibt mir das ein gutes Gefühl. Und wenn ich mit meinen Ideen vorerst noch nicht durchkomme, dann ist das zwar manchmal etwas frustrierend, aber es spornt mich gleichzeitig auch an. Wenn man als Hacker Erfolg haben will, muss man ein Gespür entwickeln, wo sich in einem System eine Schwachstelle befinden könnte. Wenn ich zum Beispiel auf einer älteren Webseite ein Inputformular sehe, dann interessiert es mich sofort zu sehen, ob die Infrastruktur hinter diesem Formular eine Schwachstelle aufweist. Oder wenn bei einem Programm ein Passwort in verschlüsselter Form abgespeichert wird, möchte ich herausfinden, wo genau das gemacht wird und nach welchem Muster die Verschlüsselung geschieht.
Wenn man als Hacker Erfolg haben will, muss man geduldig sein und immer wieder neue Sachen ausprobieren. Leider vergeht die Zeit in der Regel sehr schnell, und es kommt immer wieder vor, dass ich bis spät in die Nacht hinein vor dem Computer hängen bleibe. Manchmal brauche ich mehrere Tage, bis ich eine Aufgabe gelöst habe. Dann ist es für mich nicht so einfach abzuschalten. Am besten gelingt mir das, wenn ich bei einer guten Idee sofort aufhöre. So komme ich nicht in Versuchung immer länger weiterzumachen.
Im Moment arbeite ich noch bei meiner Lehrfirma. Ich bin als Informatiker für den Betrieb der internen IT-Infrastruktur verantwortlich. Nach der Rekrutenschule werde ich wahrscheinlich ein Informatikstudium in Angriff nehmen. Ich kann mir gut vorstellen, später im Bereich Internetsicherheit zu arbeiten, denn dieser Bereich ist für die Gesellschaft sehr wichtig. Heute werden immer mehr Geräte und Anlagen, die zuverlässig funktionieren müssen, miteinander vernetzt. Und damit steigt natürlich auch die Gefahr, dass sie durch Internet-Angriffe lahmgelegt werden. Wenn wir wissen, wo die Schwachstellen sind, dann können wir diese Anlagen besser schützen.
