Eigenes Hacking-Lab aufbauen

CTF-Plattformen wie TryHackMe sind ein hervorragender Einstieg - aber sie geben dir keine volle Kontrolle. Du kannst die Netzwerktopologie nicht ändern, keine eigenen Dienste konfigurieren, kein Logging nach Wunsch einrichten. Ein eigenes Lab löst das: Du bist gleichzeitig Angreifer, Verteidiger und Netzwerkadministrator.

Dieser Unterschied hat enorme Lernwirkung. Wer versteht, wie ein Dienst falsch konfiguriert wird, versteht auch, wie er richtig konfiguriert wird. Wer eine Schwachstelle selbst einbaut, versteht sie tiefer als jeder, der sie nur in einem fremden System ausnutzt. Und wer sein Lab vollständig dokumentiert, hat am Ende ein Portfolio-Artefakt, das kein Zertifikat ersetzen kann.

• Volle Kontrolle über Netzwerk, Dienste, Betriebssystemversion und Konfiguration
• Offline nutzbar - kein Abo, kein Internetausfall, kein Plattform-Downtime
• Snapshots erlauben gefahrloses Experimentieren ohne Konsequenzen
• Realitätsnahe Szenarien mit mehreren VMs (Web + DB + Reverse Proxy + Logging)
• Jede Übung ist potenzielles Portfolio-Material

Die häufigste Frage: Reicht mein Rechner? Die ehrliche Antwort: In den meisten Fällen ja. Virtualisierung ist speicherhungrig - RAM ist die entscheidende Ressource. CPU-Leistung spielt eine untergeordnete Rolle, solange du keinen Kryptographie-Benchmark auf allen VMs gleichzeitig laufen lässt.

Mit 8 GB RAM läuft ein einfaches Einsteiger-Setup: Kali Linux als Angriffs-VM (2 GB RAM) plus eine Ziel-VM wie Juice Shop (1-2 GB). Das reicht für Web Security Basics und CTF-Übungen. Parallel laufende Browser-Tabs auf dem Host werden aber spürbar eingeschränkt.

Mit 16 GB RAM wird es komfortabel. Zwei bis drei VMs parallel, der Host läuft flüssig. Das ist der ideale Einstiegspunkt für ein ernsthaftes Heimlabor. Ein SOC-Lab mit einer Windows-VM, einem Log-Collector und einer Angriffs-VM ist gut abdeckbar.

Mit 32 GB RAM öffnen sich Active-Directory-Szenarien: Domain Controller, ein oder zwei Member-Machines, eine Kali-VM - das ist der Standard für fortgeschrittene Pentest-Vorbereitung.

Eine SSD ist stark empfohlen: VM-Starts, Snapshots und parallele I/O-Zugriffe sind auf einer HDD qualvoll langsam. Ein externer USB-3-SSD-Stick als VM-Speicher ist ein günstiger Kompromiss, wenn die interne Disk knapp ist.

Ein Hypervisor ist die Software, die virtuelle Maschinen auf deinem Host-System ausführt. Für Homelab-Zwecke gibt es drei relevante Optionen:

Empfehlung für den Einstieg: VirtualBox auf Windows/Linux, UTM auf Apple Silicon Mac. Wähle eines und lerne es grundlich - der Hypervisor-Wechsel später kostet meist nur eine Re-Import-Stunde.

Netzwerkkonfiguration ist der kritischste Aspekt eines sicheren Homelabs - und der am häufigsten unterschaetzte. Die drei relevanten Modi in VirtualBox und VMware:

Host-only: Alle VMs kommunizieren nur untereinander und mit dem Host. Kein Internetausgang, keine Verbindung zu anderen Geräten im Heimnetz. Das ist der Standardmodus für dein Lab. Angreifende VM und Ziel-VM sehen sich, aber niemand außerhalb des Hosts sieht sie.

NAT: Die VM erhält Internetzugang über den Host als Router, ist aber von außen nicht erreichbar. Sinnvoll, wenn deine Kali-VM Updates benötigt oder du Online-Tools nutzen möchtest - aber nicht im selben Netz wie die Ziel-VMs.

Bridged (Brücken-Modus) - tabu für Ziel-VMs: Die VM erscheint als vollwertiges Gerät in deinem Heimnetz mit eigener IP. Verwundbare Ziel-VMs im Bridged-Modus sind für alle Geräte in deinem Heimnetz erreichbar - das ist ein echtes Sicherheitsrisiko. Bridged darf höchstens für deine Angriffs-VM in seltenen Ausnahmen verwendet werden, niemals für Ziel-VMs.

Praktische Empfehlung: Lege ein dediziertes Host-only-Netz an (z. B. 10.13.37.0/24) und weise Ziel-VMs statische IPs zu. So ändert sich nichts nach einem Neustart und du kennst immer die IP deiner Ziel-VMs.

Snapshots sind das Sicherheitsnetz des Homelabs. Sie frieren den Zustand einer VM - Disk, RAM, Netzwerkkonfiguration - zu einem bestimmten Zeitpunkt ein. Du kannst jederzeit dorthin zurückkehren, ohne die VM neu aufsetzen zu müssen.

• Snapshot nach Basisinstallation und Grundkonfiguration anlegen (Golden Snapshot)
• Vor jeder neuen Übung oder Angriffssimulation neuen Snapshot erstellen
• Snapshots mit klaren Namen versehen: Datum + Beschreibung, nicht 'Snapshot 3'
• Ältere Snapshots regelmäßig löschen, um Speicherplatz zu behalten
• Für wichtige Laborkonfigurationen: vollständige VM-Exporte als Backup außerhalb des Snapshot-Baums

Reproducibility ist ein unterschaetzter Lernvorteil: Wer einen Lab-Aufbau in einer README dokumentiert (Hypervisor-Version, VM-Image, Netzwerkkonfiguration, installierte Pakete), kann ihn auf einem anderen Rechner oder nach einem Jahr neu aufbauen - und versteht dabei, was er gebaut hat.

Die folgenden drei Aufbauten decken die häufigsten Lernziele ab. Starte mit dem, das deinem Ziel am nächsten liegt.

Einsteiger-Web (Kali + Juice Shop + DVWA)

Komponenten: Kali Linux (2 GB RAM), OWASP Juice Shop als Docker-Container oder VM (1 GB RAM), DVWA (kann auf der Juice-Shop-VM mitlaufen). Alle VMs im gleichen Host-only-Netz.

Lernziel: OWASP Top 10 verstehen und praktisch nachvollziehen - SQL Injection, XSS, IDOR, Broken Authentication. Erste Erfahrung mit Burp Suite als HTTP-Proxy.

Erste Übung: Juice Shop in Burp Suite proxyen, eine einfache SQL-Injection auf dem Login-Formular nachvollziehen, Request und Response im Repeater analysieren, Lessons Learned dokumentieren.

SOC-orientiert (Windows 10 + Sysmon + Elastic oder Wazuh)

Komponenten: Windows 10 VM mit installiertem Sysmon (Sysinternals, SwiftOnSecurity-Konfiguration), Wazuh-Agent oder Elastic Agent für Log-Forwarding, separater Elastic-Stack oder Wazuh-Manager (kann als Docker auf dem Host laufen).

Lernziel: Windows-Eventlogs und Sysmon-Events verstehen, Suche und Korrelation im SIEM, einfache Angriffs-Signaturen (z. B. Nmap-Scan) im Dashboard sichtbar machen.

Erste Übung: Nmap-Scan von Kali gegen die Windows-VM durchführen, den Scan in Elastic/Wazuh identifizieren, Alert-Regel erstellen, im Dashboard verifizieren.

Web-Security (Burp + verwundbare App + Logging-Container)

Komponenten: Kali mit Burp Suite Pro oder Community, OWASP WebGoat oder PentesterLab-Images als Ziel, ein leichtgewichtiger Log-Container (z. B. Nginx-Accesslog via Logspout), optionaler Portswigger-eigener Browser.

Lernziel: Vollständige Web-Angriffskette verstehen: Recon, aktive Schwachstellen-Suche, Exploitation, Dokumentation. Gleichzeitig: Logging auf der Defensiv-Seite beobachten.

Erste Übung: WebGoat-Modul zu Path Traversal aufrufen, in Burp Suite den Request manipulieren, Serverantwort analysieren, Gegenmaßnahme im Nginx-Log nachverfolgen.

Ein gut dokumentiertes Homelab ist mehr wert als die meisten Einsteiger-Zertifikate - weil es demonstriert, dass jemand nicht nur gelernt hat, sondern auch strukturiert arbeitet und Ergebnisse kommunizieren kann.

Die einfachste Form: Ein GitHub-Repository mit einem Ordner pro Lab-Aufbau. In jedem Ordner liegt eine README.md mit folgendem Grundgeruest:

• Lab-Name und Ziel (ein Satz: was wird hier trainiert?)
• Komponenten: Hypervisor, VM-Images, Netzwerkmodus, Software-Versionen
• Erste Schritte: Wie richtet man das Lab neu ein? (Reproduzierbarkeit)
• Durchgeführte Übungen: Kurzbeschreibung + Beobachtung + Lessons Learned
• Offene Punkte: Was willst du als nächstes mit diesem Setup ausprobieren?

Screenshots sind erlaubt und hilfreich, aber überlade die README nicht. Zwei Bilder mit erklärenden Bildunterschriften sind wertvoller als zwanzig uncommentierte Terminal-Screenshots.

Ein Homelab ist nur so sicher wie seine Konfiguration. Diese Regeln sind nicht verhandelbar:

• Keine echten Zugangsdaten, Passwörter, E-Mail-Adressen oder Produktionsdaten im Lab
• Verwundbare VMs ausschließlich im Host-only-Netz betreiben - kein Bridged-Modus
• Lab-VMs nicht ins Internet exponieren - kein Port-Forwarding, kein DDNS
• Kein VPN-Split-Tunneling, das Lab-Traffic über dein VPN laufen lässt
• Snapshots regelmäßig anlegen und benennen
• Nicht genutztes Lab vollständig herunterfahren - nicht nur pausieren
• Kali-VM regelmäßig aktualisieren, aber nicht während einer laufenden Übung

Installiere diese Woche VirtualBox und richte ein Host-only-Netz ein. Lade Kali Linux als OVA-Appliance herunter (ca. 3 GB) und importiere es. Installiere OWASP Juice Shop als Docker-Container auf einer zweiten Ubuntu-VM. Verbinde beide VMs im Host-only-Netz und öffne Juice Shop im Kali-Browser. Lege danach einen Golden Snapshot der Kali-VM an. Das ist dein funktionierendes Einsteiger-Lab.