Bereits zum vierten Mal luden die Partner Laokoon Security, IBM und CGI zur Cyber Security Challenge nach Bonn – diesmal unter dem galaktischen Motto „Flag Wars“. 27 Teams aus Universitäten, Behörden und der Privatwirtschaft traten zum Hackathon gegeneinander an. Dass dabei auch Künstliche Intelligenz eine zunehmend wichtige Rolle spielt, zeigte sich im Laufe des Tages deutlich.
Ein Capture the Flag – kurz CTF – ist in der Hacker-Community längst mehr als ein Wettbewerb. Es ist ein Lernformat, ein Netzwerktreffen und ein Gradmesser für den Stand der Cybersicherheit zugleich. Beim CTF 2026 „Flag Wars“, angelehnt an das Universum der Star-Wars-Filme, traten 27 Teams aus dem gesamten Bundesgebiet gegeneinander an. Über 200 Personen hatten sich angemeldet.
Uni-Teams unter anderem aus Bonn, Bochum, Paderborn und dem niederländischen Delft traten ebenso an wie Teams der Bundespolizei, der Bundeswehr sowie Vertreter aus KRITIS und der Privatwirtschaft.
„Beim dritten Mal ist es Tradition – jetzt sind wir bei Nummer vier“, stellte Veranstalter Moritz Samrock bei der Begrüßung von „Flag Wars“ fest. Ein Jahr Planung liege hinter dem Team, vieles sei bewusst überarbeitet worden – von der Plattform bis zum Zeitpunkt der Veranstaltung, die erstmals ins erste Quartal verlegt wurde.
Offensive Fähigkeiten aus militärischer Perspektive
Den Auftakt machte in diesem Jahr ein besonderer Schirmherr: Kapitän zur See Sven Janssen, Kommandeur des Zentrums für Cyber-Operationen (ZCO) der Bundeswehr, gab einen ebenso nachdenklichen wie praxisnahen Impuls zu Ethik, Moral und dem Einsatz offensiver Fähigkeiten in einer Demokratie.
„Kriege werden an Land gewonnen, auf See verloren, aus der Luft niedergehalten – und im Cyberraum begonnen“, eröffnete Kapitän Janssen seinen Vortrag mit einer provokanten These. Verschiedene Punkte ließen sich daraus ableiten, so auch die aktuelle Situation eines hybriden Krieges, bei dem der Cyberraum längst Ort des Gefechts ist.
Für militärische Operationen in besagtem Cyberraum gelte aber stets, dass in das Gesamtbild passen müssen. Laut Kapitän Janssen gelte dabei stets: „Es geht nicht darum zu hacken, was hackbar ist. Es geht darum zu hacken, was sinnvoll ist.“
Auf die Frage nach der demokratischen Legitimität offensiver Cyber-Fähigkeiten antwortete der Kommandeur unmissverständlich: „Die Bundeswehr ist eine Parlamentsarmee. Wir machen nichts, was nicht der parlamentarischen Kontrolle unterliegt. Nichts. Wir sind keine Freelancer.“
OSINT und Incident Response – ein Blick hinter die Kulissen
Anschließend folgte ein technischer Vortrag von Dr. Alana Gramm und Christina Eggert von der IBM X-Force zu Incident Response und OSINT. Eggert beschrieb ihren Berufsalltag pragmatisch: „Wenn ihr als Hacker irgendwo bei einem Unternehmen eingebrochen seid, ist es mein Job, eure Spuren zu finden – oder das, was ihr alles schon da drin fabriziert habt.“
Anhand eines fiktiven, aber an reale Fälle angelehnten Ransomware-Szenarios zeigten beide, wie aus einer einzigen Phishing-Mail ein unternehmensweiter Verschlüsselungsangriff entstehen kann – und wie Forensiker diesen Weg Schritt für Schritt rekonstruieren. Die Vorträge im Rahmen von „Flag Wars“ sind noch als Stream auf YouTube verfügbar.
Sechs Stunden hacken – mit KI im Rücken
Dann ging es mit dem eigentlichen Hackathon los: Von 12 bis 18 Uhr wurde intensiv gehackt. Wie in den Vorjahren umfassten die Challenges ein breites Spektrum: Kryptografie, Web-Hacking, Reverse Engineering, Forensik und OSINT. Besonders spannend in diesem Jahr: der spürbare Einfluss von KI auf die Lösungsansätze.
Hier sei die Technologie seit dem letzten Bonner Hackathon vor anderthalb Jahren deutlich fortgeschritten, hätte den Menschen aber noch nicht ersetzt. „Besonders bei einfacheren Challenges wurde deutlich, dass KI hier schon sehr gute Arbeit leistet,“ stellte Samrock fest.
Der Mitveranstalter hatte das Thema bereits in seiner Eröffnung klar angesprochen: „Ich werde KI nicht verbieten – das ist eine Utopie. Es soll aber nicht derjenige gewinnen, der die große Claude-Lizenz hat und da 200 Euro im Monat zahlt.“ KI sei grundsätzlich erlaubt, die Teilnehmenden sollten sich aber selbst fragen, ob sie dabei noch etwas lernen.
Genau das stehe bei CTFs wie „Flag Wars“ allerdings im Vordergrund: das Lernen. Samrocks Erfahrung auch als Teilnehmer ähnlicher Veranstaltungen: „Aus solchen CTF-Events lernt man immer am meisten von den Challenges, die man nicht geschafft hat, zu lösen.“ Die Teilnehmenden sollten nach dem harten Wettbewerb in einen Austausch über Herausforderungen kommen.
Sieger der „Flag Wars“
Nach sechs intensiven Stunden stand das Ergebnis fest. Den ersten Platz sicherten sich die FlutschFingers von der Ruhr-Universität Bochum, gefolgt von den FluxFingers – ebenfalls aus Bochum. Den dritten Platz belegte /upb/hack von der Universität Paderborn. Als Hauptpreise konnten erneut Übungsszenarien von Hack The Box und des SANS-Instituts gewonnen werden.
Ab 18 Uhr war die Tastatur Nebensache: Pizza, Bier und Networking standen im Vordergrund. Mit einem Augenzwinkern hatte Samrock das Ziel des Abends bereits zu Beginn formuliert: „Schaltet heute Abend die Rivalität aus und kommt in Kontakt miteinander.“ Die Veranstalter ziehen eine rundum positive Bilanz – und Laokoon Security, IBM sowie CGI sind bereits in der Planung für die nächste Ausgabe.
„Good Luck, Have Fun – und mögen die Skills mit euch sein“, hatte Samrock zum Start der „Flag Wars“ gerufen. Nach Ansicht des Veranstalters ging dieser Wunsch auf.
Mit WhatsApp immer auf dem neuesten Stand bleiben!
Abonnieren Sie unseren WhatsApp-Kanal, um die Neuigkeiten direkt auf Ihr Handy zu erhalten. Einfach den QR-Code auf Ihrem Smartphone einscannen oder – sollten Sie hier bereits mit Ihrem Mobile lesen – diesem Link folgen:
