Partner von:

Was macht eigentlich ein Security-Analyst?

Eine Hand auf einer Tastatur [Quelle: freeimages.com, sqback]

Quelle: freeimages.com, sqback

IT-Sicherheitslücken sind nicht nur für Privatpersonen ein Problem. Viele Unternehmen fürchten, dass ihre Server, E-Mail-Accounts oder Geschäftskonten Ziel von kriminellen Cyber-Attacken werden.

Hackern das Handwerk zu legen, bevor sie diese Schwachstellen ausnutzen können, ist die Aufgabe der Security Analysts bei TÜV Rheinland. Sie simulieren Angriffe auf sensible Daten, um potentielle Sicherheitslücken aufzudecken und zu schließen. Einer von diesen "legalen Hackern" ist Dr. Daniel Hamburg (35), Head of Security Engineering bei TÜV Rheinland. Wir haben mit ihm über seine Arbeit gesprochen.

Herr Dr. Hamburg, stellen Sie sich bitte kurz vor.

Ich habe an der Ruhr-Universität Bochum Elektro- und Informationstechnik studiert, mich dann dem damals neu gegründeten Vertiefungsbereich IT-Sicherheit zugewandt und hier zunächst meine Diplomarbeit geschrieben, später darin auch promoviert. Anschließend habe ich berufliche Erfahrungen in der Beratung rund um Informationssicherheit gesammelt. Seit April 2011 bin ich verantwortlich für das Security Engineering Team von TÜV Rheinland mit insgesamt 13 Security Analysts.

Wie wird man "professioneller Hacker" beziehungsweise korrekt formuliert: Security Analyst?

Die meisten Security Analysts haben ein technisches Studium absolviert, zum Beispiel Informatik oder Informationstechnik. Ein Studium ist aber keine zwingende Voraussetzung. Es gibt auch Security Analysts mit einer technischen Ausbildung, zum Beispiel als Fachinformatiker. Wichtiger als das Studium oder die Ausbildung ist der Spaß an der IT, kombiniert mit der Neugier, hinter die Kulissen zu schauen, herauszufinden, wie etwas funktioniert und natürlich auch, wie sich technische Systeme ausnutzen lassen. Diese Eigenschaften machen einen guten Security Analyst aus.

Viele starten gleich nach dem Studium bei TÜV Rheinland. Selbstverständlich haben sie zu diesem Zeitpunkt noch keine Erfahrung im Bereich Penetrationstests und Sicherheitsanalysen, also der Simulation von Angriffen. Im Rahmen von Kursen und durch die Mitarbeit in kleineren Projekten erlernen die Mitarbeiter das notwendige Handwerkszeug.

Was sind die typischen Aufträge, die Sie tagtäglich für Ihre Kunden ausführen?

Sehr häufig werden wir beauftragt, die aus dem Internet erreichbaren Systeme eines Kunden zu analysieren, zum Beipiel Firewall-Systeme, Zugänge für externe Mitarbeiter oder Partner. Immer häufiger analysieren wir auch Internet-Anwendungen wie Web-Shops oder Online-Banking-Zugänge, aber auch Applikationen, die nur über das firmeninterne Netzwerk bereitgestellt werden. Daneben stellen uns die Kunden auch Aufgaben wie die Analyse von Mainframe-Lösungen, SAP-Systemen oder von Hardwarekomponenten.

Gibt es Schwachstellen, die Ihnen immer wieder begegnen?

Leider ja. Auch wenn wir beobachten, dass die IT-Sicherheit in Organisationen insgesamt zunimmt, stoßen wir immer wieder auf die gleichen Probleme. Typisch sind Systeme, die mit veralteter Software betrieben werden. Oft sind die Sicherheitslücken für diese Systeme nicht nur bekannt, im Internet werden dafür sogar entsprechende Angriffstools angeboten. Bei Web-Anwendungen treffen wir häufig auf Schwachstellen aus der OWASP Top 10 (Open Web Application Security Projekt). Die erstmals vor zehn Jahren veröffentlichte Rangliste der zehn schwerwiegendsten Sicherheitsschwachstellen von Webanwendungen gilt unter Sicherheitsexperten und Webentwicklern als de-facto-Standard. Obwohl die meisten dieser Schwachstellen seit Jahren bekannt sind und es auch sehr gute Anleitungen dafür gibt, wie diese sich bei der Entwicklung von Web-Anwendungen vermeiden lassen, sind sie einfach nicht auszumerzen.

Ein weiterer Punkt betrifft Client-Server-Applikationen, also Software, bei denen ein Benutzer eine lokale Software (Client) nutzt, um auf einen Server zuzugreifen. Dabei sollten die kritischen Sicherheitsfunktionen primär auf dem Server implementiert werden, da ein Angreifer den Client manipulieren kann. Leider treffen wir jedoch immer wieder auf Software, bei denen der Großteil oder sogar die gesamte Sicherheitsfunktionalität im Client implementiert ist.

Uns geht es darum, nicht nur die Schwachstellen aufzuzeigen, sondern Unternehmen dabei zu unterstützen, diese auch zu beseitigen. Denn erst dann erhöht die Organisation die Sicherheit ihrer Systeme und Informationen und erzielt einen wirklichen Mehrwert.

Cloud-Lösungen gelten in der Industrie in punkto Sicherheit oft als risikoreich. Ist das wirklich der Fall?

Es gibt in der IT-Sicherheit eine alte Binsenweisheit: Nichts ist zu 100 Prozent sicher. Dies gilt genauso für Cloud-Lösungen. Aber natürlich gibt es auch hier unterschiedliche Sicherheitsniveaus. Weil es national und international noch keine verbindlichen Normen für Cloud Security gibt, hat TÜV Rheinland eine Zertifizierung für Cloud-Anbieter

entwickelt, die zu den umfassendsten Standards für die Datenwolke gehört. Bei einem Provider mit dem Prüfsiegel "Certified Cloud Service" können User davon ausgehen, dass wir die Cloud-Lösung einer anspruchsvollen Prüfung unterzogen haben und sie hohe Anforderungen in Bezug auf Seriosität, Qualität und Sicherheit erfüllt.

Hand aufs Herz: Wenn Sie die freie Wahl hätten, was würden Sie gern mal offiziell hacken?

(lacht) Ob Unternehmen oder Behörden: Wir haben sehr spannende Auftraggeber, die uns immer wieder interessante Aufgaben stellen. Insofern vermisse ich nichts.

nach oben
Veranstaltungen für ITler
Verwandte Artikel

Hol dir Karriere-Infos,

Jobs und Events

regelmäßig in dein Postfach

Kommentare (0)

Zum Kommentieren bitte einloggen.

Das könnte dich auch interessieren