Saar-Uni auf 2. Platz Putzroboter gehackt, Kühlschrank verteidigt

Rund 150 Teilnehmer kämpften beim diesjährigen ruCTF-Wettbewerbung um Sicherheitslücken.
Rund 150 Teilnehmer kämpften beim diesjährigen »ruCTF«-Wettbewerb um die Sicherheit ihrer intelligenten Häuser.

Im IT-Sicherheits-Wettbewerb »ruCTF« haben Informatik-Studenten der Uni des Saarlandes den 2. Platz ergattert. Die Studenten konnten ihr intelligentes Haus erfolgreich verteidigen und andere Häuser angreifen. Nur eine russische Studentengruppe war besser.

Am 17. April begann der IT-Sicherheitswettbewerb »ruCTF« der Ural Federal University. Morgens um 9 Uhr trafen sich die Studenten im Jelzin-Zentrum der Industrie-Stadt Jekaterinburg im russischen Uralgebirge. Die 21 Teams aus Russland, Italien, Ungarn und Deutschland mussten in neun Stunden Dienste und Geräte eines vernetzen Haushaltes auf Sicherheitslücken überprüfen. Jedes Team erhielt zu Beginn des Wettbewerbs ihr eigenes »intelligentes Haus« virtuell auf einem Laptop. Als Verteidiger mussten sie die Lücken ihres Hauses schließen und zum Angriff gegen die übrigen Teams nutzen.

Bereits im November 2015 hatten sich die Informatikstudenten der Universität Saarland die Teilnahme in Russland gesichert. In einem internationalen und im Internet ausgetragenen Turnier hatten sie den dritten Platz belegt und 137 Teams hinter sich gelassen.

Oliver Schranz sieht die IT-Sicherheit als eine Sportart. Für den Doktorand des Saarbrücker Center für IT-Sicherheit, Privacy und Accountability (CISPA) liegt die Herausforderung darin, in kürzester Zeit und schneller als andere eine Lösung zu finden. Sowohl für einen Angriff als auch für entsprechende Abwehrmaßnahme. Sieben Mitglieder der Saarbrücker Mannschaft »saarsec« nahmen an dem Wettbewerb teil. In dem Team waren Spezialisten aus unterschiedlichen Gebieten, angefangen bei der Heimautomation über Angriffsprogramme bis hin zu der Kunst des Ver- und Entschlüsselns.

Während des Wettbewerbs musste die Mannschaft Geräte und Dienste wie einen Putzroboter, einen vernetzten Kühlschrank oder einen intelligenten Tresor sowohl angreifen als auch verteidigen. Oft ließen sich aus der Ferne Daten auslesen, die während des Betriebs versendet wurden. Die Studenten konnten daraus auf Sicherheitslücken schließen und diese Vermutungen überprüfen. Oft arbeiteten auch die im intelligenten Haus eingesetzten Verschlüsselungsverfahren fehlerhaft, so dass sie sich aushebeln ließen. In seltenen Fällen waren die Webseiten der angebotenen Dienste komplett unverschlüsselt.

Hatten die Informatikstudenten eine Sicherheitslücke entdeckt, setzten sie zum Angriff an. Sie feuerten ihren Angriffscode permanent auf die Dienste der anderen Gruppen ab. Konnten sie unbemerkt in das System eindringen, stahlen sie digitale Codeschnipsel, sogenannte Flaggen. Je mehr geklaute Flaggen sie vorweisen konnten, desto höher stiegen sie in der Rangliste. Saarsec schaffte es am Ende auf den 2. Platz.