Lühack - ein CTF für Schülerinnen und Schüler.

Das Institut für IT-Sicherheit und das CTF-Team der Universität zu Lübeck richten jedes Jahr ein CTF für Schulen unter dem Namen Lühack aus. Lühack ist ein 24-Stunden CTF, das sein Debüt im Mai 2022 feierte.

Das nächste Lühack ist Lühack24, das am 23. und 24. Februar 2024 stattfinden wird.

Auf universitärer Ebene gibt es diverse Capture-the-Flag-Veranstaltungen (CTFs), bei denen Studierende und Universitäten ihre Fähigkeiten im Bereich der Informatik und speziell der IT-Sicherheit unter Beweis stellen können. An der Universität zu Lübeck (UzL) nutzen wir CTFs im Rahmen von Lehrveranstaltungen, um den Studierenden entsprechende Lehrinhalte zu vermitteln, und haben damit sehr gute Erfahrungen gemacht (Stichwort “Gamification in der Lehre”). Wir glauben daher, dass das Format auch für Schulen interessant sein dürfte, gerade im Hinblick darauf, dass 2022 das Schulfach Informatik in den Klassenstufen 7 und 8 zum Pflichtfach in Schleswig-Holstein wurde. Mit Lühack möchten wir Lehrerinnen und Lehrern einen Einblick in ein modernes Lehrformat bieten und Schülerinnen und Schüler für die Informatik und speziell die IT-Sicherheit zu begeistern.

Was genau ist das Lühack?

Um das Bewusstsein von Schülerinnen und Schülern für IT-Sicherheit zu stärken und einen sicheren Umgang mit Computern zu trainieren, veranstalten wir vom Institut für IT-Sicherheit der Universität zu Lübeck eine Art “Lange Nacht der IT-Sicherheit”. Dabei werden Aufgaben aus den verschiedenen Bereichen der IT-Sicherheit gestellt. Anders als bei der Langen Nacht der Mathematik ist das Lühack als CTF angelegt, bei dem die Schülerinnen und Schüler die Aufgaben in Teams bearbeiten und sich mit den anderen Teams in einem direkten Wettbewerb befinden. Zielgruppe sind Schülerinnen und Schüler der Sekundarstufe II. Das heißt allerdings nur, dass bei der Bearbeitung der Aufgaben mindestens das Wissen aus der Sekundarstufe I (vor allem aus dem Bereich Mathematik) vorausgesetzt wird. Nichts desto trotz können auch gerne talentierte Schülerinnen und Schüler der Sekundarstufe I den Teams beitreten und am CTF teilnehmen. Auch Schulen außerhalb Lübecks sind eingeladen, eigene Teams für Lühack aufzustellen und teilzunehmen.

Was ist ein CTF?

Ursprünglich ist Capture-the-Flag ein Spiel, das im Wald oder auf einer Wiese gespielt wird. Es treten Teams gegeneinander an und versuchen, die Flagge der gegnerischen Teams in die eigene Zone zu holen, während die eigene Flagge beschützt wird. Dieses Spielformat lässt sich sehr gut auf die IT-Sicherheit übertragen. Hier ist das Ziel, Schwachstellen in gegnerischen Computern zu finden und auszunutzen und gleichzeitig den eigenen Computer abzusichern. Für die Lehre wandelt man dieses Format leicht ab, indem die verwundbaren Systeme, Webseiten oder Dateien zentral durch die Organisatoren und Organisatorinnen gestellt werden. Dadurch müssen die Teilnehmenden keine Angriffe auf die eigenen Systeme befürchten. Dieses abgewandelte Format heißt Jeopardy und wird auch für das Lühack genutzt.

Warum sollten Schülerinnen und Schüler am Lühack teilnehmen?

Salopp gesagt: Weil hier gehackt werden darf. Wo ist das sonst erlaubt?

Während des Lühacks lernen Schülerinnen und Schüler spielerisch verschiedene Aspekte der IT-Sicherheit kennen. So müssen beispielsweise Verfahren des Secret Sharings angewandt, Verschlüsselungen gebrochen oder Schwachstellen in Webseiten ausgenutzt werden, um an die begehrten Flaggen zu kommen. Gespielt wird - wie im späteren Leben - in Teams. So können Schülerinnen und Schüler, die z.B. stark in Mathe sind, und Schülerinnen und Schüler, die evtl. schon erste Programmiererfahrung haben, ihre Stärken vereinen und sich gegen die anderen Teams behaupten. Es sind alle Hilfsmittel erlaubt, sodass Wissenslücken während des CTFs mit Hilfe des Internets gestopft werden können.

Warum sollten Schulen am Lühack teilnehmen?

Gamification ist eine moderne und erfolgreiche Möglichkeit, um spielerisch Lehrinhalte zu vermitteln. Während sich die Methoden der Gamification für die meisten Unterrichtsfächer oft noch im Entwicklungsstadium befinden, da sie von spezieller Software abhängen, ist die Gamification in der IT-Sicherheit schon lange Präsent und es existieren diverse Frameworks, die eine einfache Realisierung ermöglichen. Mit der Einführung der Informatik als Pflichtfach ab dem Schuljahr 2022/2023 werden alle Schülerinnen und Schüler in Schleswig-Holstein mit diesem Themenfeld konfrontiert. Die Motivation der Schülerinnen und Schüler für dieses neue Fach kann durch einen spielerischen Anteil gesteigert werden. Das Lühack bietet den Lehrkräften einen Einblick in mögliche Aufgabenstellungen und auch ein Blick auf die technische Umsetzung unserer CTF Plattform ist möglich, falls Sie das Format für Ihren Unterricht adaptieren möchten. Sie brauchen nur einen handelsüblichen Computer!

Warum bietet das ITS das Lühack an?

Der Bedarf an Fachkräften im Bereich IT-Sicherheit steigt seit Jahren. Das spüren auch wir am Institut für IT-Sicherheit, denn unsere Studierenden werden immer häufiger bereits während des Studiums von Firmen an- und abgeworben. Gleichzeitig sehen wir, dass die Zahl der Erstsemester im gesamten MINT Bereich stagnieren. Wir glauben, dass Lühack eine tolle Möglichkeit ist, um das Interesse an dem spannenden Feld der IT-Sicherheit bei den Schülerinnen und Schülern zu wecken. Somit stellt Lühack unseren Beitrag dar, um dem Fachkräftemangel entgegenzuwirken.

Falls Ihre Schule Interesse an der Teilnahme am Lühack hat und Sie noch weitere Fragen haben, kontaktieren Sie uns gerne.

Vergangene Lühacks

Lühack Datum Gewinner Team Gewinner Schule
Lühack23 27. - 28. Januar 2023 Die Antwort ist ja! Carl-Jacob-Burckhardt-Gymnasium (Lübeck)
Lühack22 13. - 14. Mai 2022 HACKfleisch Carl-Jacob-Burckhardt-Gymnasium (Lübeck)