Schwachstellen identifizieren, Verantwortung übernehmen, echte Sicherheit schaffen – und dabei praxisnah lernen: Darum geht es beim Hacker Contest der TU Darmstadt.
27 Studierende, neun Teams, ein Ziel: sich im sicheren Umgang mit Schwachstellen schulen – von der Analyse über das Hacking bis hin zur verantwortungsvollen Meldung. Der Hacker Contest hat erneut gezeigt, wie praxisnahe Ausbildung im Bereich IT-Sicherheit aussehen kann – und welchen Beitrag Nachwuchstalente zur digitalen Sicherheit leisten.
Von der Theorie zur Praxis
Das bewährte Konzept des HackerContests setzte auch in diesem Wintersemester auf ein mehrstufiges Lehrformat. Die Teilnehmenden erlangten fundiertes Wissen zu Penetrationstests, Schwachstellenanalysen und Responsible Disclosure – also dem professionellen Umgang mit entdeckten Sicherheitslücken.
Im PentestLab konnten sie dieses Wissen direkt anwenden und in realitätsnahen Szenarien erproben. Viele der Studierenden lobten die praxisnahe Gestaltung: Unterschiedliche Angriffstechniken ausprobieren, kreativ denken, komplexe Angriffsketten durchdringen – all das wurde im PentestLab trainiert.
Sicherheitslücken mit echtem Einfluss
In einer Praxisaufgabe analysierten die Studierenden populäre Open-Source-Software – mit dem Ziel, sicherheitsrelevante Schwachstellen zu identifizieren. Die Ergebnisse zeigen: Die Findings gingen weit über akademische Übungen hinaus und hatten reale Relevanz.
Tobias Hamann, Managing Security Consultant im usd HeroLab: „Die Studierenden haben gezeigt, dass sie in der Lage sind, komplexe Sicherheitsprobleme zu analysieren und Schwachstellen zu identifizieren, die auch für Unternehmen und Entwicklerteams hochrelevant sind. Ein beachtlicher Beitrag zu #moresecurity.“
Responsible Disclosure: Sicherheit ist mehr als nur Hacking
In der Praxisaufgabe konnten die Studierenden jedoch nicht nur die technische Sicherheitsanalyse trainieren, sondern auch eine verantwortungsvolle Sicherheitskommunikation.
Tim Wörner, Managing Security Consultant im usd HeroLab: „Verantwortungsvolle Sicherheitsforschung bedeutet nicht nur, Schwachstellen zu finden, sondern sie auch klar zu dokumentieren, sinnvoll zu kommunizieren und dabei alle Beteiligten mitzudenken – das haben die Teilnehmenden hier beeindruckend gezeigt.“
Die Studierenden meldeten ihre Findings direkt an die jeweiligen Entwickler*innen. Einige Sicherheitslücken wurden bereits zeitnah behoben, bei anderen ist die Rückmeldung noch offen oder in Bearbeitung. Mehrere Teilnehmende erhielten positives Feedback – ein starkes Signal aus der Praxis.
Die Meldungen orientierten sich an der usd Responsible Disclosure Policy. Ziel: Schwachstellen verantwortungsvoll behandeln und Entwicklerteams die Möglichkeit geben, sie zu beheben, bevor Details öffentlich werden.
Matthias Göhring, Head of usd HeroLab: „Wir haben die Studierenden ermutigt, ihre Responsible-Disclosure-Findings eigenständig zu veröffentlichen. Wir sind gespannt auf die Ergebnisse.“
Ein Student hat seine Schwachstellen bereits hier veröffentlicht: Finding Security Vulnerabilities in Open-Source Repos. Solche Veröffentlichungen leisten einen wichtigen Beitrag: Sie informieren Nutzer*innen über notwendige Updates, sensibilisieren für Sicherheitsrisiken und fördern den Wissensaustausch in der Security-Community.
Hacker Contest: Mehr als nur ein Wettbewerb
Der Hacker Contest an der TU Darmstadt zeigt: IT-Sicherheit erfordert technisches Know-how und Verantwortung.
Wir danken allen Teilnehmenden für ihr Engagement und ihren Beitrag zu #moresecurity. Wir freuen uns darauf, die weitere Entwicklung ihrer Findings zu verfolgen.
