Eine Einführung in Hacking-Wettbewerbe —
Geschichte, Spielarten & die Welt der CTF-Leagues.
Capture The Flag ist ein Hacking-Wettbewerb, bei dem Teams oder Einzelpersonen gezielt nach versteckten Textketten suchen — den sogenannten Flags. Diese belegen, dass eine Schwachstelle erfolgreich ausgenutzt oder eine Aufgabe gelöst wurde.
Flags haben immer das Format CTF{...} — einmal gefunden, direkt im CTFd-Interface einreichen. Challenges sind als Kette aufgebaut — die nächste schaltet sich erst frei, wenn die aktuelle gelöst ist.
Die erste DEF CON-Konferenz in Las Vegas. Lose Hacking-Challenges unter Teilnehmern gelten als Urform des CTF.
Das erste formalisierte CTF-Event. Attack/Defense-Format, physische Anwesenheit Pflicht — kein Internet.
Die zentrale Anlaufstelle für weltweite CTF-Events entsteht. Ranglisten, Kalender, Write-ups in einem Portal.
Carnegie Mellon launcht picoCTF — CTF wird offiziell im Schulbereich eingesetzt. Hunderttausende Teilnehmer weltweit.
CTFs sind fester Bestandteil von Sicherheitsausbildung und Recruiting. Viele Top-Hacker begannen als CTF-Spieler.
Challenges in verschiedenen Kategorien mit festen Punktwerten. Teams lösen unabhängig voneinander — kein direkter Angriff auf andere.
Beliebtestes Format. Ideal für Einsteiger & Remote-Events.
Jedes Team betreibt eigene Server mit absichtlichen Schwachstellen. Angreifen und gleichzeitig verteidigen — in Echtzeit.
High-pressure. Anforderungen: Networking, Patching, Exploitation.
Teams kämpfen um die Kontrolle über gemeinsame Systeme. Wer einen Service hält, sammelt kontinuierlich Punkte.
Dynamisch, kompetitiv, oft mit Persistence-Mechaniken.
SQL Injection, XSS, SSRF, Auth Bypass, API-Schwachstellen.
Buffer Overflows, ROP-Chains, Heap-Exploits, Shellcode.
Broken RSA, XOR-Cipher, Hash-Kollisionen, Custom Ciphers.
Disk Images, Memory Dumps, PCAP-Analysen, Log Forensics.
Disassembly, Decompiling, Obfuscation, Anti-Debug.
Paketanalyse, Protokoll-Exploits, Man-in-the-Middle.
Versteckte Daten in Bildern, Audio, Dokumenten.
Privilege Escalation, OSINT, Trivia, Encoding-Rätsel.
→ Im CTF-Kontext trainieren beide Seiten — gute Verteidiger kennen den Angriff.
Die Weltmeisterschaft der Hacker. Jährlich in Las Vegas, Attack/Defense-Format. Qualifikation über weltweite Qualifier nötig.
PRESTIGEVon Google veranstaltet, sehr hohes technisches Niveau. Finalist-Runde mit persönlicher Einladung zu Google.
INDUSTRYWeltweite Rangliste aller CTF-Teams. Punkte aus anerkannten Events fließen in das globale Ranking ein.
RANKINGEuropäische und deutsche Nachwuchsprogramme. Ideal für Einsteiger und Young Professionals.
TRAININGVon Carnegie Mellon entwickelt, ursprünglich für Schüler. Heute offen für alle. Über 400.000 Teilnehmer.
BEGINNERGanzjährige Übungsplattformen mit CTF-ähnlichen Labs. Community-Events, Leaderboards, Career Paths.
PRACTICEBrowser DevTools — Quelltext, Headers, Cookies.
CyberChef — Encoding/Decoding aller Art.
curl / Invoke-WebRequest — HTTP-Requests manuell senden.
CyberChef — Base64, Hex, ROT13, XOR, ASCII85.
dcode.fr — Cipher-Erkennung & Decoder.
morsecode.world — Morse übersetzen.
grep / find / strings — Suche in Dateien & Binaries.
file / xxd / hexdump — Datei-Analyse.
tar / zip / gzip — Archiv-Entpacken.
Wireshark — Netzwerk-Paketanalyse.
Notepad++ / VS Code — versteckte Zeichen sichtbar machen.
strings / binwalk — Daten aus Dateien extrahieren.
Ghidra — freier Disassembler von der NSA.
IDA Free — Industriestandard.
dnSpy — .NET-Binaries dekompilieren.
CyberChef — Browser-Tool, keine Installation.
Python 3 — Scripting für fast jede Aufgabe.
HackTheBox / GTFOBins — Nachschlagen & Inspiration.
Nach dem Event wird dokumentiert, wie eine Challenge gelöst wurde — Schritt für Schritt, mit Tools und Denkweg. Das Herzstück der CTF-Lernkultur.
Andere lernen von deinem Lösungsweg. Du lernst von Wegen, die du selbst nicht gewählt hättest. Jedes Write-up macht die gesamte Community besser.
Auf ctftime.org sind nach jedem Event Hunderte von Write-ups verlinkt. Für jede Kategorie, für jeden Schwierigkeitsgrad — frei zugänglich.
Nach dem CTF werden die offiziellen Lösungen direkt auf der Plattform veröffentlicht. Schau nach dem Event vorbei — und lies, was du (noch) nicht gefunden hast.
→ Nicht lösen ≠ Scheitern. Lernen aus dem Write-up danach ist genauso wertvoll.
Flags und Lösungswege werden während des Events nicht geteilt — weder im Chat noch mündlich. Jeder soll die Chance haben, selbst zu lösen.
Angriffe gelten nur gegen die Challenge-Systeme. Die CTFd-Plattform, andere Teams oder produktive Systeme sind tabu.
Jede teilnehmende Person nutzt genau einen Account. Mehrfach-Accounts oder geteilte Logins sind nicht erlaubt.
Challenges bauen aufeinander auf. Die nächste schaltet sich erst frei, wenn die aktuelle gelöst wurde — das ist gewollt, kein Bug.
Für jede Challenge gibt es Hints — sie kosten Punkte, die vom Score abgezogen werden. Erst selbst denken, dann Hint kaufen.
Alle Flags haben das Format CTF{...} — inklusive der geschweiften Klammern genau so einreichen wie gefunden.
Dieses CTF ist als einmalige Veranstaltung geplant —
aber ob es dabei bleibt, hängt vom Interesse ab.
Crypto, Forensics, Reverse Engineering — die Infrastruktur steht, die Ideen auch.
Wer heute Blut leckt, bekommt beim nächsten Mal mehr zu kämpfen.
Wer selbst eine Challenge beisteuern will: einfach melden.
Jede Flag ist ein Schritt.
Jede Lösung ein Lernmoment.
Hacking ist kein Verb — es ist eine Denkweise.