Ein CTF (Capture The Flag) ist ein Sicherheitswettbewerb, bei dem Teilnehmende praxisnahe Aufgaben aus der IT-Sicherheit lösen — etwa Schwachstellen in Webanwendungen finden, Binärdateien reverse-engineeren oder Kryptographie-Rätsel knacken. Formate sind Jeopardy (einzelne Aufgaben) und Attack-Defense (Live-Systeme angreifen und verteidigen).
Im ISMS-Kontext bieten CTFs eine praxisorientierte Ergänzung zum Awareness-Programm nach ISO 27001 Annex A Control A.6.3 (Bewusstsein, Ausbildung und Schulung). Für IT-Sicherheitsteams sind CTFs ein effektives Trainingsmittel, das technische Fähigkeiten unter realistischen Bedingungen schult. Interne CTFs können als Team-Building-Maßnahme dienen und gleichzeitig Kompetenzlücken aufdecken. Plattformen wie Hack The Box, TryHackMe und OverTheWire bieten permanente Übungsumgebungen.