/ The Grid - Programm

Sechs Monate. 15 Tracks.
Reale Techniken.

Ein strukturiertes, narratives Cybersecurity-Programm mit realistischen Angriffstechniken und praxisnahen Breach-Szenarien.

6Monate
14Tracks
146+Challenges
10OWASP-Risiken
Monat 1

Recruitment

4

Tracks

28

Challenges

5

Stunden

Der Einstieg folgt einer klar geführten Spur durch zentrale Grundlagen: SQL Injection, DoS und Kryptografie. Statt Frontalunterricht erhalten Teilnehmende kurze hands-on Demos und geführte Micro-Challenges. Jede Challenge basiert auf einem realen Angriff und wird in einer kontrollierten Lab-Umgebung nachgestellt.

Ergebnis

Kernschwachstellen erkennen, erklären und anhand funktionsfähiger Demos nachvollziehen können.

Monat 2

Rookie

2

Tracks

35

Challenges

5.5

Stunden

Die erste Mission für Sine Nomine beginnt: Eindringen in Solstice Bank, um Geldwäschepraktiken der wohlhabenden Kundschaft offenzulegen. Im Verlauf wird klar, dass Solstice nur die Oberfläche ist und alle Spuren zu Vaulture Capital führen.

Das ist nicht nur ein einzelner Angriff, sondern der Auftakt zu etwas Größerem. Über The Rabbit Hole sammeln Teilnehmende Erkenntnisse über Vaulture Capital, kartieren Systeme und bauen ihre Fähigkeiten aus. Bis Ende Monat 2 sind die OWASP Top 10 abgedeckt, Zielsysteme profiliert und die Grundlage für die finale Simulation gelegt.

Ergebnis

Anwendungen kartieren, Risiken priorisieren und ein Team sauber briefen.

Monat 3

Novice

2

Tracks

14

Challenges

9

Stunden

Jetzt wird das bis dahin Gelernte gegen Vaulture Capital eingesetzt - in einer Live Session vor Ort. Teams scannen, exploitieren und exfiltrieren in Echtzeit in einer düsteren Private-Banking-Storyline.

Danach geht es in die Bits n Bites App: eine mobile Delivery-Plattform mit unsicheren APIs, Broken Authentication, ausnutzbaren XSS-Pfaden, schwacher Kryptografie und Blind-SQL-Injection-Risiken. Der Fokus liegt darauf, unsichere Muster moderner Mobile- und Web-Systeme zu erkennen und Ergebnisse in konkrete Defensivmaßnahmen zu übersetzen.

Empfohlener Track

Operation Bits n Bites

Operation Bits n Bites

Bits n Bites führt Teilnehmende in die Bits-n-Bites-Plattform: eine elegante Liefer-App, die Sine Nomine für eine Geldwäschefront hält. Die Tarnung ist ein normales Kundenkonto. Die Mission: das Finanznetzwerk von innen kartieren. Dafür werden Broken-Access-Control-Schwachstellen durchbrochen, injizierbare Endpunkte ausgenutzt, Authentifizierungsabläufe umgangen und Transaktionsmuster nachverfolgt, die keine legitime Liefer-App jemals erzeugen sollte.

Abdeckung der OWASP Top 10 (2025)

  • A01Broken Access Control
    • Insecure Direct Object References ermöglichen Zugriff auf MFA-Einstellungen anderer Nutzer.
    • Missbrauche Mass-Assignment-Schwachstellen, um Account-Ownership-Felder zu überschreiben, die die API nie hätte offenlegen sollen.
    • Server-Side Request Forgery über XML External Entity Injection ermöglicht den Zugriff auf interne Dienste.
  • A02Security Misconfiguration
    • Stelle vermeintlich gelöschte Nachrichten aus dem browserseitigen localStorage wieder her, den die Plattform nicht geleert hat, und finde so den Namen der Bank hinter der Geldwäscheoperation.
  • A04Cryptographic Failures
    • Stelle hartcodierte Verschlüsselungsschlüssel aus clientseitigem JavaScript wieder her und nutze sie, um geschützte Fahrer-Metadaten zu entschlüsseln.
  • A05Injection
    • Führe Boolean-basierte Blind-SQL-Injection gegen den Restaurant-Suchendpunkt aus. Ergebnisse erscheinen oder verschwinden abhängig von injizierten Bedingungen und leaken Daten, die die UI verbergen sollte.
    • Umgehe schwache Sanitizing-Filter mit Payloads in anderer Groß- und Kleinschreibung, um Stored XSS über den Fahrer-Händler-Chat auszuliefern und Authentifizierungstokens in Echtzeit zu stehlen.
    • XXE-Payloads verwandeln eine XML-Exportfunktion in ein Gateway zu internen Finanzledgern.
  • A07Authentication Failures
    • Gültige Konten werden enumeriert, indem unterschiedliche Reaktionen des Login-Flows auf registrierte und nicht registrierte Nutzer beobachtet werden.
    • MFA-Abläufe werden übernommen, indem Second-Factor-Challenges auf ein vom Angreifer kontrolliertes Konto umgeleitet und die abgefangenen Codes anschließend zum Zurücksetzen des Zielpassworts genutzt werden.
  • A08Software and Data Integrity Failures
    • Ein generischer Update-Endpunkt hängt gepostete Objekte blind an, ohne Ownership zu prüfen, und ermöglicht dadurch eine vollständige MFA-Übernahme mit einer einzigen präparierten Anfrage.
Diesen Track entdecken
Ergebnis

Einen ethischen Exploit-Workflow entwerfen und operativ durchführen können.

Monat 4

Intermediate

2

Tracks

23

Challenges

6

Stunden

Kein System ist unangreifbar, weil Menschen immer Teil der Angriffsfläche sind. Nach dem Fokus auf Code steht jetzt Social Engineering im Mittelpunkt - also Angriffe, die Verhalten statt Softwarefehler ausnutzen.

Mit Phishing, Pretexting, Whaling und verwandten Techniken bauen Teilnehmende eine vollständige Angriffskette auf: von der ersten Ansprache bis zur Exfiltration.

Empfohlener Track

The Human Factor

The Human Factor

Jedes Schloss hat einen Schlüssel. Jeder Schlüssel hat eine Person. In The Human Factor folgen Teilnehmende der Geldspur von Bits n Bites zu Banco Maximus, einer Bank, die sich als sicherheitsparanoides Fintech vermarktet, ihr Vertrauen aber in ihre Mitarbeitenden setzt. Die Angriffsfläche ist kein Code, sondern Gewohnheit, Ehrgeiz und das grundlegende menschliche Bedürfnis, hilfreich zu sein. Teilnehmende führen Open-Source-Reconnaissance durch, erstellen Zieldossiers, entwerfen maßgeschneiderte Köder und setzen eine vollständige Social-Engineering-Kampagne um, die klassisches Pretexting mit modernen Techniken wie Supply-Chain-Analyse und KI-Prompt-Injection verbindet.

Abdeckung der OWASP Top 10 (2025)

  • A03Software Supply Chain Failures
    • Analysiere eine Software Bill of Materials, um ein bösartiges npm-Paket mit eingebetteter Redirect-Infrastruktur zu identifizieren, analog zu Angriffen wie event-stream (2018) und ua-parser-js (2021).
    • Ernte CI/CD-Job-Tokens aus der Pipeline-Konfiguration eines kompromittierten Entwicklers, um dauerhaften Zugriff auf das Build-System zu erhalten.
  • A05Injection
    • Makrobasierte Payloads rufen URLDownloadToFile und WinExec auf, um Remote-Binaries herunterzuladen und auszuführen, wenn ein Ziel ein präpariertes Dokument öffnet.
    • Formuliere Prompt-Injection-Payloads, versteckt in 1px weißem Text, die KI-gestützte E-Mail-Assistenten dazu bringen, Zugangsdaten und persönliche Daten an ein vom Angreifer kontrolliertes Postfach weiterzuleiten.
  • A06Insecure Design
    • Extrahiere Mitarbeiternamen und Rollen aus PDF-Metadaten, die die Organisation vor der Veröffentlichung nicht bereinigt hat.
    • Geo-Tracking-Links werden hinter legitimen Calendly-Einladungen getarnt und IP-Geolokation mit bekannten Bürostandorten abgeglichen, um die physische Umgebung eines Ziels zu kartieren.
Diesen Track entdecken
Ergebnis

Social-Engineering-Angriffe erkennen, praktisch nachvollziehen und angemessen abwehren.

Monat 5

Advanced

2

Tracks

19

Challenges

16.5

Stunden

Monat 5 beginnt bei ILIAS, einem schnell wachsenden AI-Scale-up mit gefährlich fehlkonfigurierter Cloud. Was mit einem offengelegten Credential in einem ausführlichen Produktionslog beginnt, entwickelt sich zur vollständigen Kompromittierung der Organisation. Teilnehmende nutzen VM-Metadatenservices aus, missbrauchen IAM-Rollen, extrahieren Secrets aus Key Vaults und eskalieren bis zum Subscription Owner.

Anschließend folgt Apex Meridian: Der kryptografische Service Whisper CORE bietet keine offensichtliche Angriffsfläche. Keine Injection Points. Keine geleakten Tokens. Nur Verhalten. Teilnehmende analysieren timingbasierte Side Channels, Error Oracles und Padding Oracles, entschlüsseln Bearer Tokens statistisch und rekonstruieren aus Service Responses einen internen API-Katalog.

Monat 5 schult den Blick für komplexe Systeme, in denen die kritische Schwachstelle selten offensichtlich ist.

Empfohlener Track

Skyfall - Einbruch in die Cloud

Skyfall - Einbruch in die Cloud

ILIAS ist ein rasant wachsendes KI-Scale-up, das Entscheidungen getroffen hat, die viele Engineering-Teams unter Druck treffen: schnell vorankommen, häufig ausliefern, später aufräumen. In Skyfall werden die Folgen ausgenutzt. Ausgehend von nichts weiter als einer öffentlichen Registrierungsseite wird sichtbar, dass ein einfaches Konto Zugriff auf den internen Arceus-Cloud-Tenant von ILIAS ermöglicht. Von dort führen SSH-Zugangsdaten in den Debug-Logs von Arceus Lens auf eine Deployment-VM. Über den Metadatendienst, die Arceus CLI, einen Secret Vault und einen Service Principal eskaliert die Angriffskette bis zum vollständigen Directory Owner.

Abdeckung der OWASP Top 10 (2025)

  • A01Broken Access Control
    • Entdecke, dass ein öffentlicher Registrierungsprozess Nutzer dem internen Arceus-Cloud-Tenant von ILIAS zuweist und dadurch Zugriff auf Infrastruktur gewährt, die nur für Mitarbeitende gedacht war.
    • Der Metadatendienst der Deployment-VM gibt Managed-Identity-Tokens für Ressourcen zurück, die diese Identität nie hätte erreichen sollen.
    • Ordne ein Vault-Secret dem Service Principal der DevAI Automation Engine zu und eskaliere mit einer einzigen Rollenzuweisung vom externen Nutzer zum vollständigen Directory Owner.
  • A02Security Misconfiguration
    • Extrahiere SSH-Zugangsdaten aus Arceus-Lens-Debug-Logs, die das Produktionsmonitoring nie hätte ausgeben dürfen.
    • Die Arceus CLI weist einer Managed Identity einer VM VaultReader zu und verschafft Zugriff auf Secrets, die Zugangsdaten eines Service Principals enthalten.
    • Skaliere Cloud-Ressourcen bis an ihre Maximalgrenzen, um zu demonstrieren, wie uneingeschränkte Ressourcenrichtlinien kostenbasierte Denial-of-Service-Angriffe ermöglichen.
Diesen Track entdecken
Ergebnis

Cloud-Fehlkonfigurationen zu einer vollständigen Organisationskompromittierung verketten und Secrets aus Systemen extrahieren können, die keine offensichtliche Angriffsfläche bieten.

Monat 6

Graduate

1

Tracks

22

Challenges

10

Stunden

Die Abschlussmission führt alle Inhalte von The Grid zusammen. Sine Nomine steht unter Angriff, und eine rivalisierende Gruppe koordiniert ihre Operationen über ein Forum im Dark Web. Um erfolgreich zu sein, müssen Teilnehmende zugleich wie Angreifer und Verteidiger denken: Systeme analysieren, Schwachstellen ausnutzen, Fehler beheben und die gewonnenen Erkenntnisse auf reale Engineering-Kontexte übertragen.

Das ist die finale Prüfung: kontrolliert angreifen, wirksam absichern und The Grid erfolgreich abschließen.

Ergebnis

Reale Systeme mit offensiver Erfahrung und Engineering-Kompetenz verteidigen.

Bereit für The Grid?

The Grid verbindet technische Tiefe mit realistischen Angriffsszenarien und macht aus theoretischem Security-Wissen anwendbare Engineering-Kompetenz. Entwicklerteams lernen, Schwachstellen aus Angreiferperspektive zu verstehen und anschließend wirksam zu verhindern.

Das Programm unterstützt Teams dabei, Risiken früher zu erkennen, technische Entscheidungen sicherer zu treffen und Security Awareness nachhaltig in Entwicklungsprozesse zu integrieren.

Kontaktieren Sie uns