Labs & CTFs - Hacking legal üben
Theorie hält nicht lange. Echte Skills entstehen, wenn du selbst Systeme analysierst, Schwachstellen findest und Exploits sauber nachvollziehst - in Umgebungen, in denen du das ausdrücklich darfst. Dieser Hub zeigt dir die wichtigsten Plattformen, einen klaren Lernpfad und die ethischen Spielregeln.
Themen in diesem Bereich
6 GuidesEigenes Hacking-Lab
VirtualBox, Kali Linux und bewusst anfällige VMs - isoliert und legal auf eigener Hardware.
CTF-Einstieg
Wie Capture-The-Flag-Wettbewerbe funktionieren und wie du beim ersten Event nicht untergehst.
Linux-Grundlagen
Shell, Dateirechte, Prozesse - ohne Linux bringen dir Labs wenig.
Netzwerk-Grundlagen
TCP/IP, Routing, DNS - verstehe, was Nmap & Wireshark dir eigentlich zeigen.
Tools im Lab
Nmap, Wireshark, Burp Suite - die Werkzeuge, mit denen du in Labs arbeitest.
Recht & Ethik
Was beim Üben legal ist - und wo CTF-Spaß zur Straftat wird.
Vom ersten Befehl zum ersten CTF
Wer direkt mit Hack The Box startet, gibt meistens nach drei Tagen frustriert auf. Dieser Pfad bringt dich Schritt für Schritt dorthin - realistisch in 6-12 Wochen, je nach Zeitbudget.
- 01
Linux & Kommandozeile sicher beherrschen
OverTheWire 'Bandit' Level 0-20 in 1-2 Wochen. Danach fühlt sich die Shell wie Zuhause an.
Weiterlesen → - 02
Erste geführte CTFs auf TryHackMe
Pre-Security Path und Complete Beginner Path. Hier lernst du Netzwerke, Web und einfache Angriffe verstehen.
Plattform öffnen ↗ - 03
Eigenes Lab aufbauen
VirtualBox + Kali Linux + Metasploitable / DVWA. Frei experimentieren ohne Punkte- oder Zeitdruck.
Weiterlesen → - 04
Erste echte CTF-Wettbewerbe
PicoCTF oder einsteigerfreundliche Online-Events. Im Team teilnehmen lernt man am schnellsten.
Weiterlesen →
Die wichtigsten Übungs-Plattformen
Alle hier gelisteten Plattformen sind ausdrücklich zum Angreifen freigegeben. Du brauchst keine Genehmigung - nur einen Account und Zeit zum Üben.
TryHackMe
Geführte Lernpfade mit Schritt-für-Schritt-Anleitungen. Ideal für den ersten Kontakt mit Linux, Netzwerken und Web-Angriffen.
Zur Plattform ↗Hack The Box
Realistische Maschinen ohne Anleitung. Academy-Modul für strukturiertes Lernen, Labs für freies Üben.
Zur Plattform ↗PortSwigger Web Security Academy
Kostenlos, exzellent strukturiert. Der Standard für Web-Sicherheit, von SQL Injection bis OAuth-Angriffen.
Zur Plattform ↗OverTheWire
Klassische Shell- und Linux-Wargames. 'Bandit' ist der beste Einstieg in die Kommandozeile.
Zur Plattform ↗PicoCTF
Von Carnegie Mellon, ursprünglich für Schüler. Sehr zugängliche Crypto-, Web- und Forensik-Challenges.
Zur Plattform ↗Root-Me
Große Sammlung kategorisierter Challenges mit klarer Schwierigkeitsangabe.
Zur Plattform ↗Ethik & Scope -
nicht verhandelbar
Labs und CTFs sind legal, weil die Betreiber dir bestimmte Systeme freigeben. Sobald du diesen Rahmen verlässt - etwa die Infrastruktur der Plattform selbst angreifst oder fremde Spieler-Konten attackierst - wirst du strafbar. Diese fünf Regeln gelten überall.
- Nur im Scope der Plattform agieren - keine Infrastruktur-Tests gegen TryHackMe-Server selbst.
- VPN-Verbindungen der Plattform nutzen und nach der Session sauber trennen.
- Tools und Exploits nur gegen ausdrücklich freigegebene Ziele einsetzen.
- Bei Bug Bounties strikt im definierten Programm-Scope bleiben.
- Persönliche Daten anderer Spieler nie weitergeben oder veröffentlichen.
Wichtig: Ein erfolgreicher Exploit gegen ein fremdes System - auch „nur zum Testen“ - ist nach §§ 202a, 202c, 303a/b StGB strafbar. CTF-Wissen verleiht keine Lizenz, sondern Verantwortung.
Vertiefe einzelne Bereiche
Eigenes Hacking-Lab aufbauen
Schritt-für-Schritt mit VirtualBox, Kali Linux und Metasploitable.
CTF-Einstieg für Anfänger
Kategorien, Tools und Strategien für deinen ersten Wettbewerb.
Komplette Lern-Roadmap
Wo du Labs und CTFs in deinen Gesamtweg einordnest.
Vom CTF zum Beruf
Wie du CTF-Erfolge in Bewerbungen und Zertifikate übersetzt.
Häufige Fragen
Was ist ein CTF (Capture The Flag)?
+
Ein CTF ist ein Sicherheits-Wettbewerb in einer abgeschlossenen, ausdrücklich freigegebenen Umgebung. Du löst Challenges aus Bereichen wie Web, Krypto, Reverse Engineering oder Forensik und findest 'Flags' - kurze Zeichenketten als Beweis, dass du die Aufgabe gelöst hast.
Sind CTFs und Lab-Plattformen legal?
+
Ja. TryHackMe, Hack The Box, PortSwigger Academy, OverTheWire und offizielle CTF-Events stellen Systeme bereit, die explizit zum Angreifen freigegeben sind. Solange du im Scope der Plattform bleibst, ist das vollständig legal.
Brauche ich ein eigenes Lab, wenn es Online-Plattformen gibt?
+
Ein eigenes Lab ergänzt Plattformen ideal. Du lernst, Systeme selbst aufzusetzen, Netzwerke zu konfigurieren und ohne Zeit- oder Punktedruck zu üben. Für Einsteiger reicht TryHackMe - sobald du tiefer einsteigen willst, lohnt sich ein eigenes Lab.
Mit welchem Lab oder CTF sollte ich anfangen?
+
Für absolute Anfänger: TryHackMe (Pre-Security & Complete Beginner Path). Für leichte Vorkenntnisse: PortSwigger Web Security Academy für Web-Themen oder OverTheWire 'Bandit' für Linux. Hack The Box Academy ist strukturierter, HTB Labs eher fortgeschritten.
Was tun, wenn ich bei einer Challenge feststecke?
+
Write-ups lesen - aber erst, nachdem du mindestens 30-60 Minuten selbst probiert hast. Notiere, was du versucht hast, vergleiche mit einer Lösung, und verstehe jeden Schritt. Lernen passiert beim Verstehen, nicht beim Kopieren.
Darf ich Write-ups veröffentlichen?
+
Nur, wenn die Plattform es ausdrücklich erlaubt. Hack The Box verbietet Write-ups zu aktiven Maschinen, erlaubt sie aber nach Retire. TryHackMe-Rooms haben individuelle Regeln. Lies vor dem Veröffentlichen immer die Plattform-Policy.