Mitarbeiterinterview

Vom Quan­ten­phy­si­ker zum Sicher­heits­ana­lys­ten bei SRC – Ein Mit­ar­bei­ter­in­ter­view

Das nach­fol­gen­de Mit­ar­bei­ter­in­ter­view mit Dr. Max Hett­rich gewährt einen Blick hin­ter die Kulis­sen von SRC. Wir bei SRC haben immer ein offe­nes Ohr für unse­re Mitarbeiter/innen und freu­en uns, dass wir Max zu sei­nem Wer­de­gang und sei­ner Arbeit bei SRC befra­gen durf­ten.

Hal­lo Max, stei­gen wir doch direkt ein. Wel­che Aus­bil­dung hast Du?

Ich bin Phy­si­ker. Nach mei­nem Stu­di­um habe ich zunächst in der aka­de­mi­schen For­schung gear­bei­tet und zwar in der expe­ri­men­tel­len Quan­ten­op­tik. Da ging es viel um Laser, Vaku­um­kam­mern, und eben Quan­ten­phy­sik. Aber auch um Com­pu­ter­si­mu­la­tio­nen und digi­ta­le Mess­tech­nik. Das IT-The­ma war also schon immer da, wenn auch nicht an ers­ter Stel­le.

Wie bist Du auf SRC und die Stel­len­an­zei­ge auf­merk­sam gewor­den und war­um hast Du Dich bei SRC bewor­ben?

Auf SRC bin ich über einen dama­li­gen Arbeits­kol­le­gen auf­merk­sam gewor­den, der wie­der­um einen Mit­ar­bei­ter bei SRC kann­te. Nach­dem ich dann erfah­ren hat­te, dass bei SRC Phy­si­ker durch­aus ger­ne gese­hen sind, und mich IT-Sicher­heits­the­men schon immer inter­es­siert haben, war mei­ne Neu­gier geweckt.

Wie lan­ge bist Du schon bei SRC?

Ich habe im Juli 2017 bei SRC ange­fan­gen, vor einem knap­pen Jahr also.

Wie ver­lief Dei­ne Ein­ar­bei­tung?

Sehr sorg­fäl­tig durch­dacht und struk­tu­riert. Die Ver­ant­wort­li­chen haben sich wirk­lich genau über­legt, wel­che Pro­jek­te hier­für Fra­ge kom­men. Dabei hat­te ich immer genug Frei­raum, um her­aus­zu­fin­den, wel­che The­men mir am meis­ten lie­gen.

An wel­chen The­men arbei­test Du aktu­ell?

Zum einen beschäf­ti­ge ich mich viel Com­pli­an­ce-Fra­gen im IT-Sicher­heits­um­feld, zum ande­ren mit Rever­se Engi­nee­ring von Soft­ware für mobi­le Gerä­te, um deren Sicher­heit gegen ver­schie­de Angriffs­sze­na­ri­en zu bewer­ten. Das sind zwei durch­aus unter­schied­li­che The­men­fel­der, die sich aber her­vor­ra­gend ergän­zen.

Was sind Dei­ne wesent­li­chen Auf­ga­ben und Tätig­kei­ten im Arbeits­all­tag?

In Com­pli­an­ce-Pro­jek­ten geht es immer dar­um, das Sys­tem eines Kun­den zu ana­ly­sie­ren, und zu bewer­ten, ob es regu­la­to­ri­schen Anfor­de­run­gen genügt. Da kein Sys­tem dem ande­ren gleicht, wird das nie lang­wei­lig.

Beim Rever­se Engi­nee­ring ist das Ziel, die Funk­ti­on von Soft­ware zu ver­ste­hen, und evtl. vor­han­de­ne ver­bor­ge­ne Assets zu extra­hie­ren, ohne Zugriff auf den Quell­code zu haben. Das erfor­dert bei­spiels­wei­se das Lesen und ana­ly­sie­ren von nati­vem Code oder auch das Debug­gen und Instru­men­tie­ren von lau­fen­den Pro­gram­men.

Wie sieht Dein typi­scher Arbeits­all­tag aus? Bist Du viel auf Rei­sen?

Meis­tens arbei­te ich in mei­nem Büro in der SRC Geschäfts­stel­le in Wies­ba­den. Ich bin, unty­pisch für ein Bera­tungs­un­ter­neh­men, eher wenig auf Rei­sen, da sich die meis­ten Arbei­ten ein­fach am bes­ten erle­di­gen las­sen, wenn man vor Ort mit den Kol­le­gen in direk­tem Kon­takt steht.

Was gefällt Dir beson­ders bei SRC?

Beson­ders posi­tiv fin­de ich die recht fla­che Hier­ar­chie, und gro­ße Frei­heit, was die Aus­wahl der Betä­ti­gungs­fel­der betrifft.

Und wie emp­fin­dest Du die Arbeits­at­mo­sphä­re bei SRC?

Ich emp­fin­de die Atmo­sphä­re hier als über­aus ange­nehm. Die Tat­sa­che, dass SRC mit ca. 120 Mit­ar­bei­tern ein eher klei­nes Unter­neh­men ist, erlaubt eine recht zwang­lo­se und direk­te Kom­mu­ni­ka­ti­on unter­ein­an­der. Ich glau­be, dass vie­le Kon­flik­te dadurch erst gar nicht ent­ste­hen.

Stich­wort Work-Life-Balan­ce: Wie lässt sich bei SRC die Arbeit mit Dei­nem Pri­vat­le­ben ver­ein­ba­ren?

Das klappt wirk­lich pri­ma! Unse­re Arbeits­zei­ten bei SRC sind fle­xi­bel, ange­fal­le­ne Über­stun­den wer­den immer pro­to­kol­liert, und kön­nen spä­ter aus­ge­gli­chen wer­den.

Was müs­sen Dei­ner Mei­nung nach Bewer­ber mit­brin­gen, um bei SRC erfolg­reich zu sein?

Ich den­ke, das wich­tigs­te ist ein aus­ge­präg­tes ana­ly­ti­sches Den­ken, und star­ke Eigen­in­itia­ti­ve. Hat man in einem Tätig­keits­feld der SRC bereits Erfah­rung, ist das natür­lich umso bes­ser. Mein Ein­druck ist aber, dass auch Gene­ra­lis­ten bei der SRC ger­ne gese­hen sind. Man hat dann die Mög­lich­keit, sich je nach Bedarf das nöti­ge Spe­zi­al­wis­sen zu enger umgrenz­ten The­men anzu­eig­nen.

Eine letz­te Fra­ge: Was wür­dest Du poten­zi­el­len Bewer­bern raten?

Kei­ne fal­sche Scheu! Ob einem die Tätig­keits­fel­der von SRC zusa­gen, kann man recht gut her­aus­fin­den, wenn man sich ein biss­chen auf der Web­site und unse­rem Kar­rie­re­por­tal umsieht. Falls das der Fall ist: Ein­fach mal sei­ne Unter­la­gen vor­bei­schi­cken!

Bildhintergrund IT-Security

SRC unter­stützt aktiv lang­jäh­ri­ge Part­ner­schaft mit der Alli­anz für Cyber­si­cher­heit

Durch­füh­rung eines kos­ten­lo­sen Web App­li­ca­ti­on Secu­ri­ty Scans

SRC ist seit vie­len Jah­ren Part­ner der Alli­anz für Cyber­si­cher­heit. Als akti­ve Unter­stüt­zung die­ser Part­ner­schaft hat SRC im Jahr 2018 eine kos­ten­lo­se Durch­füh­rung eines Web App­li­ca­ti­on Secu­ri­ty Scans für maxi­mal fünf Mit­glie­der der Alli­anz ange­bo­ten.

Wis­sens­wer­tes zu den Web App­li­ca­ti­on Secu­ri­ty Scans

Web App­li­ca­ti­on Secu­ri­ty Scans haben das Ziel, Feh­ler in der Archi­tek­tur und der Kon­fi­gu­ra­ti­on der unter­such­ten Web­an­wen­dung zu iden­ti­fi­zie­ren. Sol­che Schwach­stel­len könn­ten aus­ge­nutzt wer­den, um bei­spiels­wei­se Inhal­te der Sei­te zu ver­än­dern (XSS, Cross Site Scrip­ting). Auch Inhal­te der Daten­bank könn­ten her­un­ter­ge­la­den oder admi­nis­tra­ti­ve Rech­te erlangt wer­den. Wird ein Sys­tem auf die­se Art kom­pro­mit­tiert, dann könn­te die­ses für wei­te­re Angrif­fe in Rich­tung der eige­nen inter­nen Infra­struk­tur ver­wen­det wer­den.

SRC prüft, im Gegen­satz zu voll­au­to­ma­ti­sier­ten Web App­li­ca­ti­on Secu­ri­ty Scans, auch Sei­ten, die der Benut­zer erst nach der Regis­trie­rung oder Anmel­dung ange­zeigt bekommt. Bei voll­au­to­ma­ti­sier­ten Scans ohne Berück­sich­ti­gung von Authen­ti­fi­zie­rungs­pro­zes­sen kön­nen sol­che Schwach­stel­len nicht auf­ge­deckt wer­den. Genau das erlaubt jedoch der Web App­li­ca­ti­on Secu­ri­ty Scan und bie­tet somit einen umfäng­li­che­res Sca­n­er­geb­nis.

Die Durch­füh­rung der Scans erfolgt „non-dest­ruc­tive“ und „non-instrusi­ve“. Das bedeu­tet, dass Schwach­stel­len iden­ti­fi­ziert wer­den. Es geht, wie bei­spiels­wei­se bei den Pene­tra­ti­ons­tests, nicht um den Ver­such, die auf­ge­deck­ten Schwach­stel­len auch aus­zu­nut­zen. Die Scandurch­füh­rung erfolgt in enger Abspra­che mit dem Teil­neh­mer.

Gro­ße Nach­fra­ge bei den Mit­glie­dern der Alli­anz

Die von SRC ange­bo­te­nen Web App­li­ca­ti­on Secu­ri­ty Scans stie­ßen auf gro­ße Nach­fra­ge unter den Mit­glie­dern der Alli­anz. Aus die­sem Grund sind die fünf ange­bo­te­nen Scans bereits ver­grif­fen. Eine Nach­be­richt­erstat­tung über die Durch­füh­rung der Scans ist dem­nächst in unse­rem Blog zu fin­den. Wei­te­re Details fin­den Sie auch auf den Web­sei­ten der Alli­anz für Cyber­si­cher­heit.

KRITIS 2018

Kri­ti­scher Tag 2018 | Wis­sen und Erfah­run­gen im ange­reg­ten Aus­tausch

Der Kri­ti­sche Tag

Am 25. April 2018 fand der ers­te Kri­ti­sche Tag im Kon­fe­renz­zen­trum von SRC statt. Damit fei­er­te eine Ver­an­stal­tungs­rei­he ihre Pre­mie­re, die eine hoch­ka­rä­ti­ge Platt­form für den Aus­tausch bie­tet. Die­se rich­tet sich in ers­ter Linie an Ver­tre­ter von Unter­neh­men, die eine kri­ti­sche Infra­struk­tur (KRITIS) betrei­ben. Der Kri­ti­sche Tag dient vor allem dem Auf­bau per­sön­li­cher Kon­tak­te, sowie dem Aus­tausch von Erfah­run­gen und Best-Prac­tices zur IT- und phy­si­schen Sicher­heit kri­ti­scher Infra­struk­tu­ren.

Der Tages­ab­lauf

Schon nach Ankunft der ers­ten Teil­neh­mer begann ein reger Aus­tausch zu den The­men. Zum Start des Kri­ti­schen Tages doku­men­tier­te der aus­ge­buch­te Saal den Infor­ma­ti­ons­be­darf der Teil­neh­mer.

Hoch­ka­rä­ti­ge Spre­cher gaben einen Über­blick über das The­ma KRITIS. Isa­bel Münch, Fach­be­reichs­lei­te­rin CK3 und Ver­tre­te­rin des Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI), erläu­ter­te Vor­ge­hen und Abläu­fe in der Auf­sichts­be­hör­de. Ran­dolf Sker­ka, Bereichs­lei­ter bei SRC und Ver­ant­wort­li­cher für das The­ma Prü­fung nach §8a (3) BSIG, schil­der­te die ers­ten Erfah­run­gen aus Per­spek­ti­ve der prü­fen­den Stel­le. Das Kli­ni­kum Lünen hat den Nach­weis der Prü­fung nach §8a (3) BSIG als Ers­tes erbracht. Ralf Plo­mann, IT-Lei­ter des Kli­ni­kums Lünen, gab ein­drucks­vol­le Ein­bli­cke über die Ent­wick­lung der Kran­ken­haus­or­ga­ni­sa­ti­on zur Vor­be­rei­tung auf die Prü­fung. Für die fach­li­che Abrun­dung des Vor­mit­tags sorg­te Prof. Dr. med. Andre­as Becker, der ver­deut­lich­te, dass fun­dier­te Bran­chen­kom­pe­tenz ein wesent­li­cher und unver­zicht­ba­rer Grund­stein einer sinn­vol­le Prü­fung ist.

Die Exper­ten­vor­trä­ge ver­mit­tel­ten den Teil­neh­mern eine 360°-Sicht auf die wei­test­ge­hend und aus gutem Grund unscharf for­mu­lier­ten Anfor­de­run­gen der BSI-Prü­fun­gen.

Zum Abschluss des Vor­mit­tags schil­der­te der bil­den­de Künst­ler Frank Rog­ge sei­ne Sicht auf die Fra­gen der Kri­ti­ka­li­tät im Bereich künst­le­ri­schen Schaf­fens.

Der Nach­mit­tag wur­de voll­um­fäng­lich den Inter­es­sens­schwer­punk­ten der Teil­neh­mer gewid­met. Unter der Mode­ra­ti­on von Jochen Schu­ma­cher, Mit­or­ga­ni­sa­tor bei SRC, wur­de der Ablauf des Nach­mit­ta­ges gestal­tet.

Die Teil­neh­mer orga­ni­sier­ten eigen­stän­dig die viel­fäl­ti­gen Inhal­te für neun Ses­si­ons.

Die wich­tigs­ten Ergeb­nis­se des Nach­mit­tags

Aus der Ses­si­on „Zer­ti­fi­zie­rungs­fin­dings an das BSI über­sen­den“ wur­de deut­lich, dass das BSI zum Bei­spiel kei­ne „klas­si­schen“ und bis ins letz­te tech­ni­sche Detail aus­for­mu­lier­ten Fin­dings bzw. Abwei­chun­gen erwar­tet. Sinn­voll ist ein grob beschrie­be­ner Rah­men der Abwei­chun­gen und die Beschrei­bung eines Hand­lungs­we­ges im Prüf­be­richt. Den­noch muss für jedes Risi­ko inner­halb einer kri­ti­schen Infra­struk­tur eine ent­spre­chen­de Maß­nah­me vor­han­den sein. Das hat für das BSI enor­me Bedeu­tung.

Das BSI wünscht sich die enge Koope­ra­ti­on mit den ver­schie­de­nen Kri­tis-Unter­neh­men. Das Ziel ist, die Sicher­heit der IT in Deutsch­land zu stär­ken.

In der Ses­si­on „Awa­reness für IT-Sicher­heit im Unter­neh­men“ stell­te Ralf Plo­mann die Metho­de und Maß­nah­men­um­set­zung im Kli­ni­kum Lünen vor. Wich­tig sei hier der indi­vi­du­el­le Ansatz. Jeder Ein­zel­ne im Unter­neh­men sei für die IT-Sicher­heit ver­ant­wort­lich. In der per­sön­li­chen Anspra­che müs­se jeder Mit­ar­bei­ter dort abge­holt wer­den, wo er gera­de ste­he. Das gilt nach Plo­mann beson­ders, weil fast nie­mand mehr Richt­li­ni­en lesen wür­de. Des­halb sei­en krea­ti­ve­re Ansät­ze zu wäh­len. Ralf Plo­manns Wunsch für die Zukunft: „Awa­reness für IT-Sicher­heit soll­te bereits in der Schu­le ab Sekun­dar­stu­fe II begin­nen.“ Im Ver­lauf der wei­te­ren Ses­si­on kris­tal­li­sier­te sich ein kla­rer Trend zu eLear­ning-Platt­for­men für die Ver­bes­se­rung der Awa­reness her­aus.

In einer wei­te­ren Ses­si­on wid­me­ten sich die Teil­neh­mer der siche­ren und ein­fa­chen Ein­gren­zung des Scopes. In der Dis­kus­si­on wur­de vor allem das Pyra­mi­den-Modell favo­ri­siert. Die als kri­tisch ein­ge­stuf­te Dienst­leis­tung ist der bes­te Start­punkt zur Defi­ni­ti­on des Scope. Geht es bei­spiels­wei­se um die kri­ti­sche Infra­struk­tur Klär­werk, muss zur Defi­ni­ti­on des Scope her­aus­ge­fun­den und fest­ge­hal­ten wer­den, wel­che Sys­te­me das Was­ser klä­ren, wel­che Aus­wir­kun­gen ein Aus­fall hät­te und wie die­ser Aus­fall durch ande­re Metho­den kom­pen­siert und somit die kri­ti­sche Dienst­leis­tung auf­recht erhal­ten wer­den kann.

Mit die­ser Metho­de bewegt man sich sys­te­ma­tisch zum äuße­ren Peri­me­ter. Gelangt man zu nicht mehr kri­ti­schen Sys­te­men, ist die Gren­ze des Scopes erreicht.

Fazit des ers­ten „Kri­ti­schen Tag“ aus Sicht von SRC

Aus­druck der fas­zi­nie­ren­den Atmo­sphä­re war die Wei­ter­füh­rung der bila­te­ra­len Kom­mu­ni­ka­ti­on der Teil­neh­mer zwi­schen den ein­zel­nen Ses­si­ons. Die Rück­mel­dun­gen beleg­ten, dass die Teil­neh­mer vie­le neue Kon­tak­te knüp­fen und Erkennt­nis­se aus ande­ren KRI­TIS-Pro­jek­ten gewin­nen konn­ten.

Die ins­ge­samt posi­ti­ve Reso­nanz der Teil­neh­mer zeigt uns als SRC, dass der Kri­ti­sche Tag ein sinn­vol­ler Hub für den Aus­tausch von Infor­ma­tio­nen zu KRI­TIS-Pro­jek­ten zwi­schen den beteilg­ten Akteu­ren ist. Unser Dank gilt allen Teil­neh­mern, die mit Ihrer Offen­heit und ihrem Enga­ge­ment fun­da­men­tal zum Gelin­gen des kri­ti­schen Tages bei­tru­gen.

Den Kri­ti­schen Tag betrach­ten wir als gelun­ge­nes Expe­ri­ment. Das moti­viert uns, in die Vor­be­rei­tun­gen für eine Neu­auf­la­ge ein­zu­stei­gen.