CTF steht für Capture The Flag – ein Wettbewerb bei dem du versteckte Zeichenketten (Flags) in Challenges findest und einreichst. Keine echten Systeme werden angegriffen, alles passiert in einer kontrollierten Umgebung.

Das Format kommt aus der IT-Security-Welt und ist eine der besten Methoden um technisches Wissen praktisch zu vertiefen.

Alle Flags haben das Format CTF{...} – also geschweifte Klammern um den eigentlichen Inhalt. Beispiel: CTF{l13s_d13_s31t3n_g3n4u}

Groß-/Kleinschreibung ist wichtig. Die Flags werden exakt so eingereicht, wie du sie findest.

Nein. Die Challenges sind bewusst so gestaltet, dass man von vorne anfangen kann – ohne Vorkenntnisse. Die WarmUp-Kategorie ist der empfohlene Einstieg.

Und falls du trotzdem feststeckst: Hints kosten zwar Punkte, aber Punkte sind nicht das Ziel. Lernen ist das Ziel.

Challenge öffnen → das Textfeld unten → Flag eingeben → Submit. Klingt banal, aber manche suchen einen komplizierten Weg wo keiner ist.

Manche Challenges sind versteckt bis du eine Vorgänger-Challenge gelöst hast. Das ist so gewollt – die Challenges bauen aufeinander auf. Löse die erste in einer Kategorie, um die nächste freizuschalten.

Hints sind Hinweise die dir helfen wenn du nicht weiterkommst. Sie kosten Punkte – aber nur wenn du sie öffnest. Schau erst selbst, bevor du kaufst.

Der erste Hint jeder Challenge ist kostenlos.

Bei den Linux/Bash- und Netzwerk-Challenges gibt es einen „Instanz starten"-Button. Danach bekommst du einen SSH-Befehl angezeigt – z.B.:

ssh [email protected] -p 10042

Passwort ist immer ctf. Die Instanz läuft 60 Minuten, danach wird sie automatisch beendet.

In dieser Reihenfolge: Hint kaufen → Google → Kollegen fragen → kurze Pause machen → nochmal probieren. Die Lösung ist immer da, manchmal braucht man nur einen anderen Blickwinkel.

Spoiler sind natürlich tabu solange das CTF läuft.

Für den Einstieg reichen: ein Browser, CyberChef und ein Texteditor (Notepad++ oder VS Code). Der Rest ergibt sich aus den Challenges selbst.

Eine kuratierte Tool-Liste findest du auf der Tools-Seite.

Ja. Die meisten Challenges sind browserbasiert oder nutzen Tools die auf Windows verfügbar sind. Für SSH-Verbindungen reicht PowerShell oder der eingebaute SSH-Client ab Windows 10.

Nein. Der Einsatz von KI-Tools ist nicht erlaubt – und das hat einen guten Grund: Wer eine KI nach der Lösung fragt, lernt nichts. Das Ziel dieser Veranstaltung ist nicht, Flags zu sammeln, sondern zu verstehen warum etwas funktioniert.

Eine KI die dir die Antwort gibt ist wie ein Taschenrechner beim Kopfrechnen-Training. Technisch möglich, aber komplett am Ziel vorbei.

Google, Dokumentationen, Man-Pages und die Hints in der Challenge selbst sind ausdrücklich erlaubt – und oft hilfreicher als du denkst.

Dann hast du eine Flag – aber keine Ahnung warum. Das ist dein Problem, nicht unseres. Die Challenges kommen wieder, das Wissen bleibt (oder bleibt eben nicht).

Außerdem macht es keinen Spaß. Ehrlich.