ISB

Zer­ti­fi­kats­lehr­gang „Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te (ISB) für Kre­dit­in­sti­tu­te” – 7. bis 10. Mai 2019

Mit dem KWG und der MaRisk ver­pflich­tet der Gesetz­ge­ber Kre­dit­in­sti­tu­te zur Sicher­stel­lung von Inte­gri­tät, Ver­füg­bar­keit, Authen­ti­zi­tät und Ver­trau­lich­keit der Daten in ihren IT-Sys­te­me und -Pro­zes­sen. Aber auch für den wirt­schaft­li­chen Erfolg eines Kre­dit­in­sti­tuts ist eine siche­re und effi­zi­en­te IT unbe­dingt erfor­der­lich.

Die neu­en „Bank­auf­sicht­li­chen Anfor­de­run­gen an die IT“ (BAIT) for­mu­lie­ren kon­kre­te Erwar­tun­gen. Unter ande­rem for­dert die Bun­des­an­stalt für Finanz­dienst­leis­tungs­auf­sicht in ihrer Richt­li­nie die neu ein­zu­rich­ten­de Funk­ti­on des “Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten”. Die­ser steu­ert den Infor­ma­ti­ons­si­cher­heits­pro­zess und berich­tet direkt an die Geschäfts­lei­tung.

In Koope­ra­ti­on mit dem Bank-Ver­lag hat SRC bereits vier Zer­ti­fi­kats­lehr­gän­ge zum “Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te (ISB) für Kre­dit­in­sti­tu­te” erfolg­reich durch­ge­führt. Nach der gro­ßen Reso­nanz und der anhal­ten­den Nach­fra­ge freu­en wir uns, dass der Bank-Ver­lag einen wei­te­ren Ter­min für die­sen vier­tä­gi­gen Zer­ti­fi­kats­lehr­gang mög­lich gemacht hat.

Vom 7. bis zum 10. Mai 2019 haben Sie erneut die Mög­lich­keit sich in den Räu­men der Bank-Ver­lag GmbH in Köln zum “Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten (ISB) für Kre­dit­in­sti­tu­te” fort­bil­den zu las­sen.

Im Team mit Hein­rich Lott­mann (TARGOBANK AG & Co. KGaA) und Alex­an­dros Mana­kos (HSBC Deutsch­land) refe­rie­ren die SRC-Exper­ten San­dro Amen­do­la, Flo­ri­an Schu­mann und Dr. Deniz Ulu­cay und infor­mie­ren Sie in die­sem Lehr­gang umfas­send über die Nor­men und Stan­dards nach ISO und IT-Grund­schutz, sowie über alle für Sie als ISB rele­van­ten gesetzlichen/regulatorischen Anfor­de­run­gen. Zudem wird auf die The­men IT-Risi­ken und -Not­fall­vor­sor­ge sowie Busi­ness Con­ti­nui­ty Manage­ment ein­ge­gan­gen.

Nach bestan­de­ner Abschluss­prü­fung erhal­ten Sie das Zer­ti­fi­kat „Informationssicherheitsbeauftragte/r für Kre­dit­in­sti­tu­te“.

Optio­nal haben Sie die Mög­lich­keit sich am 6. Mai 2019 in Köln das für den Lehr­gang erfor­der­li­che IT-Grund­la­gen­wis­sen in einem ein­tä­gi­gen Inten­siv­se­mi­nar im Vor­feld der Ver­an­stal­tung anzu­eig­nen. Hier geht es um Grund­la­gen, Begrif­fe, Ver­schlüs­se­lungs- und IT-Sicher­heits­tech­ni­ken in der Infor­ma­ti­ons­tech­nik.

Associate QSA

Asso­cia­te QSA – die Aus­bil­dung zum QSA

SRC bie­tet Men­to­ring-Pro­gramm für zukünf­ti­ge Sicherheitsgutachter/innen

 

Die QSA-Zulas­sung – der bis­he­ri­ge, unstruk­tu­rier­te Weg zum hoch­qua­li­fi­zier­ten Sicher­heits­gut­ach­ter

Um Umge­bun­gen, in denen Daten von Zahl­kar­ten ent­ge­gen­ge­nom­men und/oder wei­ter ver­ar­bei­tet wer­den, auf die Ein­hal­tung des Sicher­heits­stan­dards PCI DSS prü­fen zu kön­nen, ist eine umfang­rei­che Erfah­rung not­wen­dig. Für die Erfül­lung der ent­spre­chen­den Vor­be­din­gun­gen für die Zulas­sung als PCI DSS-Gut­ach­ter (Qua­li­fied Secu­ri­ty Asses­sor, QSA) – umfas­sen­de Berufs­er­fah­rung, PCI DSS-spe­zi­fi­sche Schu­lung und Prü­fung sowie min­des­tens zwei wei­te­re Akkre­di­tie­run­gen im Bereich Infor­ma­ti­ons­si­cher­heit und IT-Audi­tie­rung – gab es bis­her kei­nen stan­dar­di­sier­ten Weg.

Asso­cia­te QSA – der beglei­te­te Weg zum QSA

Mit dem neu­en Asso­cia­te QSA-Pro­gramm des Pay­ment Card Indus­try Secu­ri­ty Stan­dards Coun­cil (PCI SSC) ist jetzt ein Weg defi­niert, über den neue Talen­te mit einem Grund­maß an Berufs­er­fah­rung den Weg zur QSA-Zulas­sung beschrei­ten kön­nen.

Asso­cia­te QSA wer­den dabei durch einen erfah­re­nen QSA als Men­tor beglei­tet. Die Ent­wick­lung und zuneh­men­de Audit-Erfah­rung des Asso­cia­te QSA wer­den regel­mä­ßig reflek­tiert und doku­men­tiert. So wird kon­trol­liert und sicher­ge­stellt, dass die Mit­ar­bei­te­rin oder der Mit­ar­bei­ter bis zum Erlan­gen der QSA-Akkre­di­tie­rung umfas­sen­de Erfah­rung in allen rele­van­ten Berei­chen bekommt.

SRC bil­det aus

Das SRC-Team ist dafür bekannt, Prüf­stan­dards nicht nur als abzu­ar­bei­ten­de Check­lis­ten anzu­se­hen, son­dern ihre Anwen­dung auf kom­ple­xe Umge­bun­gen begrün­det her­zu­lei­ten und den Kun­den bei der Umset­zung und Inter­pre­ta­ti­on mög­lichst pra­xis­nah zu unter­stüt­zen. Hier­für ist eine umfas­sen­de Fach­kun­de und Erfah­rung in Kom­bi­na­ti­on mit einem stän­di­gen Aus­tausch mit ande­ren Exper­ten not­wen­dig.

SRC begrüßt daher die Defi­ni­ti­on eines schritt­wei­sen Vor­ge­hens zur Aus­bil­dung und Beglei­tung von Asso­cia­te QSA, wel­ches zum Auf­bau einer ent­spre­chen­den Qua­li­fi­ka­ti­on bei­trägt. SRC hat sich somit als Asso­cia­te QSA-Fir­ma regis­trie­ren las­sen und bereits die ers­te Mit­ar­bei­te­rin als Asso­cia­te QSA zuge­las­sen. So soll auch in Zukunft die Qua­li­tät der Audits in den sich stän­dig ver­än­dern­den Zah­lungs­ver­kehrs-Umge­bun­gen gewähr­leis­tet wer­den.

 

Unterschriebener Vertrag

SRC erhält Akkre­di­tie­rung für Kon­for­mi­täts­be­wer­tungs­stel­le (KBS) nach ISO 17065

Im ver­gan­ge­nen Monat hat die Deut­sche Akkre­di­tie­rungs­stel­le (DAkkS) der SRC Secu­ri­ty Rese­arch & Con­sul­ting GmbH die Akkre­di­tie­rung für ihre Kon­fo­mi­täts­be­wer­tungs­stel­le (KBS) nach ISO 17065 erteilt.

Die­se Akkre­di­tie­rung gilt für die Kon­fo­mi­täts­be­wer­tung von (qua­li­fi­zier­ten) Ver­trau­ens­diens­te­an­bie­tern, die Ver­trau­ens­diens­te gemäß den Anfor­de­run­gen der Ver­ord­nung (EU) Nr. 910/2014 (eID­AS) qua­li­fi­zie­ren las­sen möch­ten.

Die eID­AS-Ver­ord­nung ent­hält ver­bind­li­che euro­pa­weit gel­ten­de Rege­lun­gen in den Berei­chen „Elek­tro­ni­sche Iden­ti­fi­zie­rung“ und „Elek­tro­ni­sche Ver­trau­ens­diens­te“. Mit der Ver­ord­nung wer­den ein­heit­li­che Rah­men­be­din­gun­gen für die grenz­über­schrei­ten­de Nut­zung elek­tro­ni­scher Iden­ti­fi­zie­rungs­mit­tel und Ver­trau­ens­diens­te geschaf­fen.

Als EU-Ver­ord­nung ist die­se unmit­tel­bar gel­ten­des Recht in allen 28 EU-Mit­glied­staa­ten sowie im Euro­päi­schen Wirt­schafts­raum.

Bürostühle an einem Roundtable in einem Konferenzraum

Chan­cen & Risi­ken im Smart Mete­ring

Bei­trag von SRC zum Exper­ten Round­ta­ble zu der Sicher­heits­per­spek­ti­ve für Smart Mete­ring

Am 22. August 2018 nah­men Dr. Deniz Ulu­cay und Dr. Jens Oberen­der, Seni­or Con­sul­tant bei SRC, am Exper­ten Round­ta­ble in Köln teil. Sie wur­de aus­ge­rich­tet vom eco – Ver­band der Inter­net­wirt­schaft und beschäf­tig­te sich mit dem The­ma  „Smart Ener­gie: Nicht ohne mein „Smart Meter?“.

Zusam­men­ge­kom­men waren Ver­tre­ter von Unter­neh­men, die mit der Umset­zung der Ener­gie-Ver­ord­nung betraut sind. Lie­fe­ran­ten für Smart Meter Gate­ways waren eben­so ver­tre­ten wie Netz­be­trei­ber und Star­tups, etwa aus dem Bereich der Visua­li­sie­rung. In die­sem Zusam­men­hang leis­te­te Dr. Oberen­der einen Impuls­bei­trag. Aus­ge­hend von den Erfah­run­gen der Prüf­stel­le bei der Eva­lua­ti­on von Secu­ri­ty Modu­les und Smart Meter Gate­ways, schil­dert der Seni­or Con­sul­tant Chan­cen und Risi­ken im Smart Mete­ring. Mit einem risi­ko­ba­sier­ten Ansatz schil­der­te er die vor­an­ge­gan­ge­nen Akti­vi­tä­ten der Stan­dar­di­sie­rer und zu nut­zen­de Unter­neh­mens­chan­cen, aber auch deren Risi­ken.

Der voll­stän­di­ge Bei­trag kann hier als PDF her­un­ter­ge­la­den wer­den. Für wei­te­re Fra­gen zu die­sem The­ma ste­hen wir Ihnen ger­ne zur Ver­fü­gung.

Feuerkünstler im Zeitraffer

SRC Smart Ener­gie Exper­te bei Round­ta­ble in Köln

Am Mitt­woch, den 22. August 2018, fin­det in Köln ein Exper­ten-Round­ta­ble statt. Aus­ge­rich­tet vom eco – Ver­band der Inter­net­wirt­schaft, zeich­nen sich die Exper­ten-Round­ta­bles vor allem durch hohe Exper­ti­se, mul­ti­dis­zi­pli­nä­re Blick­win­kel und hohe Dis­kus­si­ons­in­ten­si­tät aus.

Im August steht die Ver­an­stal­tung unter dem Mot­to „Smart Ener­gie: Nicht ohne mein „Smart Meter?“ und ver­tieft unter ande­rem das vor­her gegan­ge­ne Round­ta­ble zu dem The­ma „Smart Home“. Bereits seit vie­len Jah­ren wird über das Smart Mete­ring gespro­chen, jedoch scheint die eigent­li­che Ent­wick­lung den dama­li­gen Pla­nun­gen und Pro­gno­sen weit hin­ter­her zu hän­gen. In der am 22.08.2018 statt­fin­den­den Exper­ten­run­de soll nun über neue Rah­men­be­din­gun­gen, neue Ansät­ze und neue Erfolgs­fak­to­ren dis­ku­tiert wer­den.

Dr. Jens Oberen­der, Seni­or Con­sul­tant bei SRC, wird in einem Bei­trag zum the­ma­ti­schen Feld „Sicher­heit und Per­spek­ti­ven des Smart Meters“ erör­tern, ob Smart Meters und ihre Umge­bung als sicher betrach­tet wer­den kön­nen. Dr. Oberen­der greift dazu auf sei­ne lang­jäh­ri­ge Erfah­rung aus den Bera­tungs­pro­jek­ten rund um die Zer­ti­fi­zie­rung der Smart Meter Gate­ways zurück.

Cloud Security

SRC baut Kom­pe­ten­zen in Cloud Secu­ri­ty aus

Cloud Com­pu­ting stellt hohe Anfor­de­run­gen an die IT-Sicher­heit

Cloud Com­pu­ting ist längst zur Nor­ma­li­tät gewor­den, und immer mehr Unter­neh­men lagern Tei­le ihrer Infra­struk­tu­ren und Ser­vices in die Cloud aus, um fle­xi­bler agie­ren zu kön­nen.

Die Her­aus­for­de­run­gen an Sicher­heit in der Cloud gehen jedoch über her­kömm­li­che IT-Sicher­heits-Anfor­de­run­gen hin­aus. So muss bei­spiels­wei­se tech­nisch gewähr­leis­tet sein, dass nur befug­te Per­so­nen auf die sen­si­ti­ven Daten zugrei­fen kön­nen. Beson­de­re Sorg­falt muss auf die Absi­che­rung der Cloud-Manage­ment-Schnitt­stel­le gelegt wer­den. Die orga­ni­sa­to­risch größ­te Her­aus­for­de­rung besteht in der Ver­tei­lung der Sicher­heits-Ver­ant­wort­lich­kei­ten auf meh­re­re Par­tei­en. Genau das muss auch bei der Gestal­tung von Ver­trä­gen und bei der Erfül­lung von Com­pli­an­ce-Vor­ga­ben berück­sich­tigt wer­den.

Feh­ler­haf­te Kon­fi­gu­ra­ti­on von Cloud­kon­ten – Mil­li­ar­den Daten frei zugäng­lich im Netz

Wie bri­sant die­ses The­ma ist, zeigt auch ein kürz­li­cher Vor­fall. Auf­grund von feh­ler­haf­ten Kon­fi­gu­ra­tio­nen von Ama­zon Cloud Simp­le Sto­rage Ser­vices (Ama­zon S3) Spei­cher­ein­hei­ten und Web­ser­vern lan­de­ten etli­che ver­trau­li­che Doku­men­te frei für jeden zugäng­lich im Netz. Dazu gehör­ten u. a. Gehalts­ab­rech­nun­gen, ver­trau­li­che Patent­an­mel­dun­gen und gehei­me Bau­plä­ne für Pro­duk­te im Ent­wick­lungs­pro­zess. Aus dem Bericht der Sicher­heits­fir­ma „Digi­tal Shadows“ geht her­vor, dass ca. 1,5 Mil­li­ar­den Daten im Netz gelan­det sei­en. Gera­de die ver­trau­li­chen Daten, wie z.B. inter­ne Berich­te, Fotos von Waren­häu­sern oder Rechen­zen­tren oder Auf­lis­tun­gen von Sicher­heits­lü­cken in fir­men­in­ter­ner Soft­ware, kön­nen von Angrei­fern für Hacker­an­grif­fe auf die Fir­ma oder für Dieb­stäh­le miss­braucht wer­den.

SRC-Mit­ar­bei­ter erwer­ben Cer­ti­fi­ca­te of Cloud Secu­ri­ty Know­ledge

SRC beglei­tet sei­ne Kun­den bei die­sen Her­aus­for­de­run­gen mit Kom­pe­tenz. Dazu haben meh­re­re Mit­ar­bei­ter das Cer­ti­fi­ca­te of Cloud Secu­ri­ty Know­ledge (CCSK) der Cloud Secu­ri­ty Alli­an­ce erwor­ben.

Das CCSK ist das ers­te Zer­ti­fi­kat für Cloud-Sicher­heit, das der welt­weit füh­ren­de Cloud-Sicher­heits-Anbie­ter, die Cloud Secu­ri­ty Alli­an­ce, anbie­tet. Die Cloud Secu­ri­ty Alli­an­ce ist eine Non-Pro­fit-Orga­ni­sa­ti­on und ent­wi­ckelt – in Koope­ra­ti­on mit ENISA – den anbie­ter­un­ab­hän­gi­gen Stan­dard für Cloud Secu­ri­ty. Durch den Erwerb des Zer­ti­fi­kats erlang­ten die SRC-Mit­ar­bei­ter die not­wen­di­ge Brei­te und Tie­fe an Wis­sen, um ganz­heit­li­che Cloud-Sicher­heits­pro­gram­me zum Schutz sen­si­bler Infor­ma­tio­nen ent­spre­chend welt­weit aner­kann­ter Stan­dards zu imple­men­tie­ren.

International Common Criteria Conference

SRC hält Vor­trag zu JTEMS auf der Inter­na­tio­nal Com­mon Cri­te­ria Con­fe­rence in Ams­ter­dam

Vom 30. Okto­ber bis zum 01. Novem­ber fin­det die 17. Inter­na­tio­nal Com­mon Cri­te­ria Con­fe­rence in Ams­ter­dam statt. Die Inter­na­tio­nal Com­mon Cri­te­ria Con­fe­rence wird mit Unter­stüt­zung des Com­mon Cri­te­ria Anwen­der­fo­rums (CCUF) prä­sen­tiert. Die CCUF bie­tet einen Sprach- und Kom­mu­ni­ka­ti­ons­ka­nal zwi­schen der CC-Com­mu­ni­ty und den Orga­ni­sa­ti­ons­ko­mi­tees der Com­mon Cri­te­ria, den CCRA-Mit­glieds­or­ga­ni­sa­tio­nen (natio­na­le Pro­gram­me) und den poli­ti­schen Ent­schei­dungs­trä­gern.

SRC wird auch in die­sem Jahr aktiv an der Kon­fe­renz teil­neh­men. Im Rah­men eines Vor­trags unse­res Exper­ten Sven-Mar­tin Hüh­ne mit dem­Ti­tel “JTEMS – a Pay­ment Sche­me Inde­pen­dent Frame­work for POI Ter­mi­nal spe­ci­fic Secu­ri­ty Eva­lua­ti­ons based on Com­mon Cri­te­ria” wird das JTEMS Frame­work vor­ge­stellt und der aktu­el­le „Stand der Din­ge“ erläu­tert. Der Vor­trag behan­delt die Vor­tei­le einer auf CC basie­ren­den und Pay­ment Sche­me unab­hän­gi­gen Eva­lu­ie­rungs- und Zer­ti­fi­zie­rungs­vor­ge­hens­wei­se für POI Ter­mi­nals. Das Frame­work ist ein geleb­tes Bei­spiel für die akti­ve Nut­zung der CC Metho­de von inter­es­sier­ten Par­tei­en aus der Pri­vat­wirt­schaft (Deut­sche Kre­dit­wirt­schaft und UK Finan­ce bzw. Common.SECC). Dabei wird auch auf die Mög­lich­keit der Ein­bet­tung des JTEMS-Frame­work in aktu­el­len Dis­kus­sio­nen der EU Kom­mis­si­on für ein „European Secu­ri­ty Cer­ti­fi­ca­ti­on Sche­me“ ein­ge­gan­gen.

In der Panel Dis­kus­si­on „The Why and How of Using CC in Pri­va­te Sche­mes“ wer­den die­se Aspek­te aus Sicht von Anwen­dern aus der euro­päi­schen Kre­dit­wirt­schaft von Regi­ne Quent­mei­er im Aus­tausch mit Ver­tre­tern ande­rer Wirt­schafts­be­rei­che erör­tert.

CSCUBS 2018

SRC lie­fert Stu­die­ren­den Ein­blick in span­nen­de Pro­jek­te im Rah­men der CSCUBS 2018

Die 5th Com­pu­ter Sci­ence Con­fe­rence for Uni­ver­si­ty of Bonn Stu­dents im Rück­blick

Die CSCUBS 2018 fand am 16. Mai in den Räum­lich­kei­ten der Uni­ver­si­tät Bonn statt.Organisiert wur­de die Ver­an­stal­tung von Dok­to­ran­den und MSc-Stu­den­ten und hat­te zum Ziel, die For­schung in der Infor­ma­tik und den wis­sen­schaft­li­chen Aus­tausch unter den Stu­die­ren­den zu för­dern. Die Betei­li­gung von For­schern und Prak­ti­kern wur­de eben­falls geför­dert. Die Stu­die­ren­den hat­ten zudem die Mög­lich­keit eige­ne Bei­trä­ge ein­zu­rei­chen, die neue For­schungs- oder Ent­wick­lungs­ar­bei­ten im Zusam­men­hang mit der Infor­ma­tik beschrei­ben. Dazu gehör­ten auch Uni­ver­si­täts­pro­jek­te, Dis­ser­ta­tio­nen und Ergeb­nis­se ande­rer Berufs- oder Frei­zeit­ak­ti­vi­tä­ten. Dar­über hin­aus hiel­ten, abge­se­hen von den Spon­sor­fir­men, auch die Stu­den­ten selbst Vor­trä­ge.

SRC Mit­ar­bei­ter lie­fert Stu­die­ren­den Ein­blick in span­nen­de Pro­jek­te

Auch Max Hett­rich von SRC berich­te­te in einem Vor­trag über die Tätig­keits­fel­der der Fir­ma. Der Fokus lag dabei auf dem The­ma „Pay­ment Evol­ving“. Dabei geht es dar­um, die „Giro­card ins Han­dy zu brin­gen“. Inter­es­sant ist dabei vor allem, wie die Sicher­heits­eva­lu­ie­rung für die Zah­lungs­kar­ten bis­her aus­sieht und wel­che neu­en Her­aus­for­de­run­gen sich nun in Zukunft fürs mobi­le Bezah­len erge­ben. So wird bei der Sicher­heits­eva­lu­ie­rung von Smart­pho­ne-basier­ten Lösun­gen Rever­se Engi­ne­eing der ver­wen­de­ten Appli­ka­tio­nen eine zen­tra­le Rol­le spie­len. Dabei ver­setzt sich der Prü­fer in die Rol­le eines Angrei­fes, und ver­sucht, Wege zu fin­den um die Zah­lungs­ap­pli­ka­ti­on zu kom­pro­mit­tie­ren. Dies ist ein zen­tra­ler Bau­stein um die Wirk­sam­keit der imple­men­tier­ten Schutz­me­cha­nis­men bewer­ten zu kön­nen. Wo in der Ver­gan­gen­heit vor allem die Prüf­stel­le der SRC die Sicher­heit von Zah­lungs­kar­ten eva­lu­iert hat, wird in Zukunft auch die Abtei­lung für Pene­tra­ti­on Tes­ting ihre Exper­ti­se bei der Bewer­tung von mobi­len Lösun­gen ein­brin­gen.

Dar­über hin­aus beinhal­te­te der Vor­trag auch all­ge­mei­ne­re The­men, wie z.B. die Tätig­keits­fel­der und Arbeits­at­mo­sphä­re der SRC. Aus dem Kern­ge­schäft der Zah­lungs­kar­ten ent­stan­den über die vie­len Jah­re, die SRC bereits besteht, auch eine Viel­zahl wei­te­re Geschäfts­fel­der. Es wur­de außer­dem dar­auf ein­ge­gan­gen, was SRC als Arbeit­ge­ber beson­ders macht und wel­che Qua­li­tä­ten SRC lie­fert.

Fazit und Ein­drü­cke aus Sicht der SRC

Der hohe Anteil inter­na­tio­na­ler Stu­die­ren­der, die akti­ve Betei­li­gung an der Ver­an­stal­tung und die durch­gän­gig eigen­stän­di­ge Orga­ni­sa­ti­on der CSCUBS beein­druck­ten uns nach­hal­tig“, so Jochen Schu­ma­cher von SRC. Das BSI, BC Tech­no­lo­gies und SRC beglei­te­ten die CSCUBS 2018 mit Vor­trä­gen. Beson­ders freu­te uns, dass der Pra­xis-Bei­trag von SRC Stoff für eine ergie­bi­ge Dis­kus­si­on lie­fer­te. Die Sicher­heit des moder­nen Zah­lungs­ver­kehrs ist ein The­ma, dass auch die Stu­die­ren­den bewegt. Das beleg­ten die vie­len gehalt­vol­len Gesprä­che im Ple­num und der per­sön­li­che Aus­tausch am eigens ein­ge­rich­te­ten Stand von SRCDie CSCUBS 2018 war eine über­aus gelun­ge­ne und infor­ma­ti­ve Ver­an­stal­tung. SRC freut sich auf die Neu­auf­la­ge 2019.

Bild­quel­le: https://twitter.com/CSCUBS_Bonn
Mitarbeiterinterview

Vom Quan­ten­phy­si­ker zum Sicher­heits­ana­lys­ten bei SRC – Ein Mit­ar­bei­ter­in­ter­view

Das nach­fol­gen­de Mit­ar­bei­ter­in­ter­view mit Dr. Max Hett­rich gewährt einen Blick hin­ter die Kulis­sen von SRC. Wir bei SRC haben immer ein offe­nes Ohr für unse­re Mitarbeiter/innen und freu­en uns, dass wir Max zu sei­nem Wer­de­gang und sei­ner Arbeit bei SRC befra­gen durf­ten.

Hal­lo Max, stei­gen wir doch direkt ein. Wel­che Aus­bil­dung hast Du?

Ich bin Phy­si­ker. Nach mei­nem Stu­di­um habe ich zunächst in der aka­de­mi­schen For­schung gear­bei­tet und zwar in der expe­ri­men­tel­len Quan­ten­op­tik. Da ging es viel um Laser, Vaku­um­kam­mern, und eben Quan­ten­phy­sik. Aber auch um Com­pu­ter­si­mu­la­tio­nen und digi­ta­le Mess­tech­nik. Das IT-The­ma war also schon immer da, wenn auch nicht an ers­ter Stel­le.

Wie bist Du auf SRC und die Stel­len­an­zei­ge auf­merk­sam gewor­den und war­um hast Du Dich bei SRC bewor­ben?

Auf SRC bin ich über einen dama­li­gen Arbeits­kol­le­gen auf­merk­sam gewor­den, der wie­der­um einen Mit­ar­bei­ter bei SRC kann­te. Nach­dem ich dann erfah­ren hat­te, dass bei SRC Phy­si­ker durch­aus ger­ne gese­hen sind, und mich IT-Sicher­heits­the­men schon immer inter­es­siert haben, war mei­ne Neu­gier geweckt.

Wie lan­ge bist Du schon bei SRC?

Ich habe im Juli 2017 bei SRC ange­fan­gen, vor einem knap­pen Jahr also.

Wie ver­lief Dei­ne Ein­ar­bei­tung?

Sehr sorg­fäl­tig durch­dacht und struk­tu­riert. Die Ver­ant­wort­li­chen haben sich wirk­lich genau über­legt, wel­che Pro­jek­te hier­für Fra­ge kom­men. Dabei hat­te ich immer genug Frei­raum, um her­aus­zu­fin­den, wel­che The­men mir am meis­ten lie­gen.

An wel­chen The­men arbei­test Du aktu­ell?

Zum einen beschäf­ti­ge ich mich viel Com­pli­an­ce-Fra­gen im IT-Sicher­heits­um­feld, zum ande­ren mit Rever­se Engi­nee­ring von Soft­ware für mobi­le Gerä­te, um deren Sicher­heit gegen ver­schie­de Angriffs­sze­na­ri­en zu bewer­ten. Das sind zwei durch­aus unter­schied­li­che The­men­fel­der, die sich aber her­vor­ra­gend ergän­zen.

Was sind Dei­ne wesent­li­chen Auf­ga­ben und Tätig­kei­ten im Arbeits­all­tag?

In Com­pli­an­ce-Pro­jek­ten geht es immer dar­um, das Sys­tem eines Kun­den zu ana­ly­sie­ren, und zu bewer­ten, ob es regu­la­to­ri­schen Anfor­de­run­gen genügt. Da kein Sys­tem dem ande­ren gleicht, wird das nie lang­wei­lig.

Beim Rever­se Engi­nee­ring ist das Ziel, die Funk­ti­on von Soft­ware zu ver­ste­hen, und evtl. vor­han­de­ne ver­bor­ge­ne Assets zu extra­hie­ren, ohne Zugriff auf den Quell­code zu haben. Das erfor­dert bei­spiels­wei­se das Lesen und ana­ly­sie­ren von nati­vem Code oder auch das Debug­gen und Instru­men­tie­ren von lau­fen­den Pro­gram­men.

Wie sieht Dein typi­scher Arbeits­all­tag aus? Bist Du viel auf Rei­sen?

Meis­tens arbei­te ich in mei­nem Büro in der SRC Geschäfts­stel­le in Wies­ba­den. Ich bin, unty­pisch für ein Bera­tungs­un­ter­neh­men, eher wenig auf Rei­sen, da sich die meis­ten Arbei­ten ein­fach am bes­ten erle­di­gen las­sen, wenn man vor Ort mit den Kol­le­gen in direk­tem Kon­takt steht.

Was gefällt Dir beson­ders bei SRC?

Beson­ders posi­tiv fin­de ich die recht fla­che Hier­ar­chie, und gro­ße Frei­heit, was die Aus­wahl der Betä­ti­gungs­fel­der betrifft.

Und wie emp­fin­dest Du die Arbeits­at­mo­sphä­re bei SRC?

Ich emp­fin­de die Atmo­sphä­re hier als über­aus ange­nehm. Die Tat­sa­che, dass SRC mit ca. 120 Mit­ar­bei­tern ein eher klei­nes Unter­neh­men ist, erlaubt eine recht zwang­lo­se und direk­te Kom­mu­ni­ka­ti­on unter­ein­an­der. Ich glau­be, dass vie­le Kon­flik­te dadurch erst gar nicht ent­ste­hen.

Stich­wort Work-Life-Balan­ce: Wie lässt sich bei SRC die Arbeit mit Dei­nem Pri­vat­le­ben ver­ein­ba­ren?

Das klappt wirk­lich pri­ma! Unse­re Arbeits­zei­ten bei SRC sind fle­xi­bel, ange­fal­le­ne Über­stun­den wer­den immer pro­to­kol­liert, und kön­nen spä­ter aus­ge­gli­chen wer­den.

Was müs­sen Dei­ner Mei­nung nach Bewer­ber mit­brin­gen, um bei SRC erfolg­reich zu sein?

Ich den­ke, das wich­tigs­te ist ein aus­ge­präg­tes ana­ly­ti­sches Den­ken, und star­ke Eigen­in­itia­ti­ve. Hat man in einem Tätig­keits­feld der SRC bereits Erfah­rung, ist das natür­lich umso bes­ser. Mein Ein­druck ist aber, dass auch Gene­ra­lis­ten bei der SRC ger­ne gese­hen sind. Man hat dann die Mög­lich­keit, sich je nach Bedarf das nöti­ge Spe­zi­al­wis­sen zu enger umgrenz­ten The­men anzu­eig­nen.

Eine letz­te Fra­ge: Was wür­dest Du poten­zi­el­len Bewer­bern raten?

Kei­ne fal­sche Scheu! Ob einem die Tätig­keits­fel­der von SRC zusa­gen, kann man recht gut her­aus­fin­den, wenn man sich ein biss­chen auf der Web­site und unse­rem Kar­rie­re­por­tal umsieht. Falls das der Fall ist: Ein­fach mal sei­ne Unter­la­gen vor­bei­schi­cken!

Bildhintergrund IT-Security

SRC unter­stützt aktiv lang­jäh­ri­ge Part­ner­schaft mit der Alli­anz für Cyber­si­cher­heit

Durch­füh­rung eines kos­ten­lo­sen Web App­li­ca­ti­on Secu­ri­ty Scans

SRC ist seit vie­len Jah­ren Part­ner der Alli­anz für Cyber­si­cher­heit. Als akti­ve Unter­stüt­zung die­ser Part­ner­schaft hat SRC im Jahr 2018 eine kos­ten­lo­se Durch­füh­rung eines Web App­li­ca­ti­on Secu­ri­ty Scans für maxi­mal fünf Mit­glie­der der Alli­anz ange­bo­ten.

Wis­sens­wer­tes zu den Web App­li­ca­ti­on Secu­ri­ty Scans

Web App­li­ca­ti­on Secu­ri­ty Scans haben das Ziel, Feh­ler in der Archi­tek­tur und der Kon­fi­gu­ra­ti­on der unter­such­ten Web­an­wen­dung zu iden­ti­fi­zie­ren. Sol­che Schwach­stel­len könn­ten aus­ge­nutzt wer­den, um bei­spiels­wei­se Inhal­te der Sei­te zu ver­än­dern (XSS, Cross Site Scrip­ting). Auch Inhal­te der Daten­bank könn­ten her­un­ter­ge­la­den oder admi­nis­tra­ti­ve Rech­te erlangt wer­den. Wird ein Sys­tem auf die­se Art kom­pro­mit­tiert, dann könn­te die­ses für wei­te­re Angrif­fe in Rich­tung der eige­nen inter­nen Infra­struk­tur ver­wen­det wer­den.

SRC prüft, im Gegen­satz zu voll­au­to­ma­ti­sier­ten Web App­li­ca­ti­on Secu­ri­ty Scans, auch Sei­ten, die der Benut­zer erst nach der Regis­trie­rung oder Anmel­dung ange­zeigt bekommt. Bei voll­au­to­ma­ti­sier­ten Scans ohne Berück­sich­ti­gung von Authen­ti­fi­zie­rungs­pro­zes­sen kön­nen sol­che Schwach­stel­len nicht auf­ge­deckt wer­den. Genau das erlaubt jedoch der Web App­li­ca­ti­on Secu­ri­ty Scan und bie­tet somit einen umfäng­li­che­res Sca­n­er­geb­nis.

Die Durch­füh­rung der Scans erfolgt „non-dest­ruc­tive“ und „non-instrusi­ve“. Das bedeu­tet, dass Schwach­stel­len iden­ti­fi­ziert wer­den. Es geht, wie bei­spiels­wei­se bei den Pene­tra­ti­ons­tests, nicht um den Ver­such, die auf­ge­deck­ten Schwach­stel­len auch aus­zu­nut­zen. Die Scandurch­füh­rung erfolgt in enger Abspra­che mit dem Teil­neh­mer.

Gro­ße Nach­fra­ge bei den Mit­glie­dern der Alli­anz

Die von SRC ange­bo­te­nen Web App­li­ca­ti­on Secu­ri­ty Scans stie­ßen auf gro­ße Nach­fra­ge unter den Mit­glie­dern der Alli­anz. Aus die­sem Grund sind die fünf ange­bo­te­nen Scans bereits ver­grif­fen. Eine Nach­be­richt­erstat­tung über die Durch­füh­rung der Scans ist dem­nächst in unse­rem Blog zu fin­den. Wei­te­re Details fin­den Sie auch auf den Web­sei­ten der Alli­anz für Cyber­si­cher­heit.