Zum Inhalt springen

Services, Wiki-Artikel und Blog-Beiträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Capture the Flag (CTF): Lernformat für Cybersecurity

Capture-the-Flag-Wettbewerbe sind praxisorientierte Hacking-Events, bei denen Teilnehmende Sicherheitsprobleme lösen, um digitale Flaggen zu finden. Dieser Artikel erklärt CTF-Formate, Kategorien, Plattformen und den Einsatz von CTFs in Unternehmen.

Inhaltsverzeichnis (5 Abschnitte)

Capture the Flag (CTF) bezeichnet im Bereich der Informationssicherheit ein Wettbewerbsformat, bei dem Teilnehmende praxisorientierte Sicherheitsaufgaben lösen. Das Ziel ist jeweils, eine sogenannte Flag zu finden - eine definierte Zeichenkette, die beweist, dass eine Aufgabe erfolgreich abgeschlossen wurde. CTFs verbinden Lerneffekt mit Wettbewerbscharakter und decken ein breites Spektrum an Sicherheitsthemen ab.

CTF-Formate

Jeopardy-Format

Das Jeopardy-Format ist das verbreitetste CTF-Format. Aufgaben sind in Kategorien gegliedert und mit unterschiedlichen Punktwerten versehen - einfache Aufgaben tragen wenige Punkte, komplexe mehr. Typisch sind Kategorien wie Web, Crypto, Reverse Engineering, Forensics und Binary Exploitation, jeweils in Schwierigkeitsstufen von 100 bis 1000 Punkten.

Der Ablauf ist immer gleich: Ein Team wählt eine Aufgabe aus einer Kategorie, löst sie lokal oder gegen einen Remote-Server, und gibt die Flag (oft im Format CTF{<inhalt>}) in die Plattform ein. Das Team mit den meisten Punkten gewinnt.

Jeopardy-CTFs eignen sich gut für Einsteiger, weil die Aufgaben isoliert sind und man gezielt mit einfachen Herausforderungen beginnen kann.

Attack-Defense-Format

Beim Attack-Defense-Format erhält jedes Team ein eigenes Netzwerk oder System mit bekannten Schwachstellen. Die Aufgabe besteht darin, das eigene System zu verteidigen und gleichzeitig die Systeme der anderen Teams anzugreifen. Punkte werden für das Halten eigener Flags und das Einreichen fremder Flags vergeben. Patches müssen schnell eingespielt werden, ohne den laufenden Service zu unterbrechen, und Angriffe müssen erkannt und blockiert werden.

Dieses Format simuliert reale Angriffsszenarien und erfordert breites Wissen. Es ist für erfahrenere Teilnehmende geeignet.

King of the Hill

Bei King of the Hill (KotH) geht es darum, die Kontrolle über ein System zu erhalten und zu halten. Alle Teams versuchen gleichzeitig, sich Zugang zu verschaffen - und den Zugang anderer Teams zu blockieren. Punkte werden für die Dauer der Kontrolle vergeben.

Hybride und dauerhafte Formate

Neben zeitlich begrenzten Wettbewerben gibt es dauerhaft verfügbare CTF-ähnliche Lernplattformen, auf denen Challenges jederzeit gelöst werden können. Diese haben kein Ablaufdatum und eignen sich besonders zum kontinuierlichen Lernen.

Typische Kategorien

Web Security

Web-Aufgaben drehen sich um Sicherheitslücken in Webanwendungen - von den OWASP Top 10 bis zu komplexeren logischen Fehlern. Häufige Techniken sind SQL-Injection (einfach bis blind/zeitbasiert), XSS zum Stehlen von Flags über den Browser, Server-Side Request Forgery (SSRF), Insecure Direct Object References (IDOR), Path Traversal und Command Injection.

Kryptographie

Krypto-Aufgaben testen das Verständnis kryptografischer Verfahren und häufiger Implementierungsfehler. Typische Challenges umfassen klassische Substitutionschiffren (Caesar, ROT13), XOR-Encryption mit Schlüsselableitung aus bekanntem Klartext, RSA mit schwachen Parametern, MD5-Kollisionen, Length-Extension-Angriffe, Timing-Angriffe und Padding-Oracle-Angriffe auf AES-CBC.

Reverse Engineering

Reverse-Engineering-Aufgaben liefern eine kompilierte Binärdatei oder verschleierten Code, aus dem die Funktionsweise rekonstruiert werden muss. Der typische Workflow beginnt mit file zur Dateiformat-Identifikation, strings zum Extrahieren lesbarer Zeichenketten, ltrace/strace für Library- und Systemaufrufe, und mündet in Disassemblierung mit Ghidra oder IDA Free sowie dynamischer Analyse mit gdb. Häufige Schutzmechanismen sind Code-Obfuskierung, Anti-Debugging-Techniken, Packer und virtuelle Maschinen.

Forensics

Forensik-Aufgaben liefern Dateien, Netzwerk-Captures, Speicherabbilder oder Datenträger-Images, aus denen versteckte oder gelöschte Informationen extrahiert werden müssen. Wichtige Tools sind Wireshark für Netzwerk-Traffic-Analyse, Volatility für RAM-Dump-Analyse, Autopsy/Sleuth Kit für Dateisystem-Forensik, ExifTool für Metadaten sowie Binwalk, Steghide und zsteg für eingebettete Dateien und Steganographie.

Binary Exploitation (Pwn)

Pwn-Aufgaben erfordern das Ausnutzen von Speicherkorruptionsfehlern in nativen Binärdateien. Grundlegende Konzepte umfassen Stack-Buffer-Overflows zum Überschreiben der Rücksprungadresse, Return-Oriented Programming (ROP) zum Umgehen von Shellcode-Schutz, Heap-Exploitation (use-after-free, double-free) und Format-String-Schwachstellen. Wichtige Werkzeuge sind pwntools als Python-Framework für Exploit-Entwicklung, pwndbg/gef als erweiterte GDB-Plugins und checksec zur Prüfung von Sicherheitsmechanismen.

Bekannte CTF-Plattformen

HackTheBox

HackTheBox (HTB) ist eine der populärsten Plattformen für realitätsnahe Penetrationstests-Übungen. Nutzer greifen über VPN auf virtuelle Maschinen zu, die bekannte Schwachstellen enthalten, und müssen Root-Zugang erlangen. Das Angebot umfasst vollständige virtuelle Systeme ("Machines" für Linux und Windows), isolierte CTF-Aufgaben ("Challenges"), strukturierte Lernpfade ("Tracks") und Enterprise-Netzwerke für erfahrene Tester ("Pro Labs"). Machines werden nach einer Zeit "retired" und ausführliche Writeups dürfen erst dann veröffentlicht werden.

TryHackMe

TryHackMe richtet sich stärker an Einsteiger und bietet geführte Lernpfade mit Theorie und Praxis in einem Browser-basierten Interface. Kein lokales VPN ist erforderlich. Besonders einstiegsfreundlich sind geführte Rooms mit Schritt-für-Schritt-Anleitungen, Browser-basierter Kali-Linux-Zugang, Learning Paths (Complete Beginner, Jr Penetration Tester) und Gamification-Elemente wie Streaks und Leaderboards.

PicoCTF

PicoCTF wird von der Carnegie Mellon University entwickelt und richtet sich primär an Schülerinnen, Schüler und Studierende. Die Challenges bleiben nach dem jeweiligen Wettbewerb dauerhaft zugänglich.

OverTheWire

OverTheWire bietet Wargames - lineare Aufgabenreihen, bei denen jede Aufgabe das Passwort für die nächste enthält. Bandit ist die beliebteste Reihe für absolute Einsteiger in die Linux-Befehlszeile.

CTFtime.org

CTFtime ist kein CTF-Veranstalter, sondern ein zentrales Verzeichnis für bevorstehende und vergangene CTF-Wettbewerbe weltweit. Teams können ihre Ergebnisse eintragen und werden in einem globalen Ranking geführt.

CTF für Unternehmen

Team-Building und Skill-Assessment

CTFs eignen sich gut als Team-Building-Format für Sicherheitsteams. Gemeinsam Aufgaben zu lösen fördert Wissensaustausch und zeigt, wer welche Stärken hat. Gleichzeitig deckt die Teilnahme Wissenslücken auf - wenn ein Team bei einer Kategorie konsequent scheitert, ist das ein Signal für Weiterbildungsbedarf.

Corporate CTFs

Einige Organisationen veranstalten interne CTFs, um das Sicherheitsbewusstsein und die technischen Fähigkeiten ihrer Mitarbeitenden zu testen. Diese können als wettbewerbsorientiertes Highlight in eine Security-Awareness-Kampagne eingebettet werden. Ein typischer Ablauf dauert 4-8 Stunden, Teams bestehen aus 3-5 Personen mit unterschiedlichen Hintergründen, die Themen sind auf das Unternehmen zugeschnitten, der Schwierigkeitsgrad für nicht-technische Teilnehmende angepasst, und im Anschluss werden Lösungen moderiert und erklärt.

Rekrutierung

Viele Unternehmen und Behörden nutzen CTF-Performance als Indikator bei der Einstellung von Sicherheitsfachleuten. Ein aktives CTF-Profil auf Plattformen wie HackTheBox oder CTFtime gilt als aussagekräftiger Nachweis praktischer Fähigkeiten.

Einstieg und Vorbereitung

Empfohlene Einstiegsreihenfolge

Für den Einstieg empfiehlt sich eine strukturierte Annäherung:

Schritt 1 - Grundlagen Linux: OverTheWire Bandit (Level 0-20) vermittelt grundlegende Kommandozeilen-Kenntnisse, die für fast alle CTF-Kategorien benötigt werden.

Schritt 2 - Geführte Plattform: TryHackMe bietet niedrigschwellige, geführte Rooms für Einsteiger ohne lokales Setup.

Schritt 3 - Freie Challenges: PicoCTF-Archiv oder HackTheBox Challenges in einfachen Kategorien (Forensics, Crypto) ohne Zeitdruck.

Schritt 4 - Live-Wettbewerbe: Erste Teilnahme an einem öffentlichen CTF über CTFtime.org - bewusst ohne Erwartungen, mit Fokus auf das Lernen.

Empfehlenswerte Werkzeuge für den Einstieg

KategorieToolVerwendung
AllgemeinCyberChefDatenumwandlung (Base64, XOR, etc.)
WebBurp Suite CEHTTP-Proxy und Analyse
CryptoPython (pycryptodome)Krypto-Algorithmen implementieren
ForensicsWiresharkNetzwerk-Analyse
ForensicsExifToolMetadaten-Analyse
ReverseGhidraDekompilierung (kostenlos, NSA)
Reversestrings, xxdEinfache Binär-Analyse
PwnpwntoolsExploit-Framework (Python)
SteganographieStegSolveBildanalyse

Writeups als Lernressource

Nach dem Ende eines CTFs veröffentlichen Teams sogenannte Writeups - dokumentierte Lösungswege für Challenges. Das Lesen von Writeups ist eine der effektivsten Methoden, um neue Techniken zu erlernen. CTFtime.org verlinkt auf viele öffentlich verfügbare Writeups zu vergangenen Wettbewerben.

CTFs sind ein etabliertes Lernformat, das praktische Angriffstechniken in einer legalen, kontrollierten Umgebung vermittelt. Für Sicherheitsfachleute sind sie ein anerkannter Weg, Fähigkeiten nachzuweisen und zu entwickeln. Die Übertragbarkeit auf reale Penetrationstests ist hoch - viele CTF-Techniken entsprechen direkten Angriffsmethoden aus der Praxis.

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 15.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de