Karriere in der IT-Sicherheit

Aktuell kommt es zu 31 Millionen Hackerangriffen – am Tag! Um Unternehmen und staatliche Behörden vor enormen Schäden zu schützen, sind IT-Sicherheits-Expertinnen und -Experten gefragt. Wir stellen drei junge Akademiker vor, die in ganz unterschiedlichen Bereichen der Cybersicherheit arbeiten.

Ob kleines Start-up, großer Konzern oder staatliche Behörde: IT-Sicherheit ist für Unternehmen und andere Einrichtungen branchenübergreifend ein wichtiges Thema. Doch nicht alle haben das Know-how, um sich und ihre Daten ausreichend vor Angriffen oder Manipulationen von außen zu schützen. Hier kommen IT-Sicherheitsberater wie Jonathan Haist ins Spiel. Im Auftrag von Unternehmen führt der 28-Jährige zum Beispiel sogenannte Penetrationstests durch. Das heißt, er hackt sich in deren Webanwendungen und IT-Systeme, um Schwachstellen ausfindig zu machen. „Nicht selten sind die Unternehmen überrascht, wie gefährdet ihre Systeme sind“, sagt der Berater, der seit zwei Jahren für den IT-Sicherheitsdienstleister Secuvera in der Nähe von Stuttgart arbeitet und berufsbegleitend einen Master in IT-Sicherheitsmanagement an der Hochschule Aalen absolviert.

Um die Sicherheit der Daten zu gewährleisten, mit denen eine Firma oder Einrichtung arbeitet, braucht es häufig mehr als digitale Schutzmaßnahmen. „Eine Firewall nützt wenig, wenn theoretisch eine Person in der Lage ist, einfach in den sicherheitskritischen Bereich eines Unternehmens hineinzuspazieren. Deshalb umfasst ein ganzheitliches Sicherheitskonzept nicht nur technische Aspekte, sondern sichert auch die Informationen auf Papier und in den Köpfen der Mitarbeiter.“ Auch die physische Sicherheit wie eine Zugangssteuerung für bestimmte Unternehmensbereiche, etwa in Form von Chipkarten, sowie das Schulen von Mitarbeitern zum Thema Informationssicherheit gehören dazu.

Cyberattacken und fehlende Backups können bis zur Insolvenz führen

Die Kunden von Jonathan Haist kommen aus den unterschiedlichsten Branchen, vom Finanz- bis zum Energiesektor. Auch wenn als Beispiel für die Gefahr von Cyberattacken gerne kritische Infrastrukturen wie Atomkraftwerke oder Stromnetze herangezogen werden, sollte sich laut dem Berater jedes Unternehmen Gedanken über IT-Sicherheit machen. Denn steht bei einem Automobilhersteller ein Produktionsband still, kann schnell ein riesiger wirtschaftlicher Schaden entstehen. IT-Systeme, die für die Produktion verantwortlich sind, müssen deshalb besonders geschützt sein. Das Gleiche gilt für Forschungsdaten oder personenbezogene Daten wie Krankheitsverläufe von Patienten. Für den Worst Case braucht es nicht mal einen Hackerangriff. „Wenn bestimmte Daten verloren gehen, weil sie zum Beispiel ausversehen gelöscht werden und kein Backup vorhanden ist, kann das enorme Folgen haben und im schlimmsten Fall zur Insolvenz führen.“

Für seinen Job benötigt Jonathan Haist nicht nur das entsprechende Fachwissen und Erfahrung. „Man darf nicht unterschätzen, wie wichtig die Kommunikation mit den Kunden ist.“ Gerade bei kleineren Firmen muss häufig erst Überzeugungsarbeit geleistet werden. „Das finde ich besonders spannend.“ Ebenfalls wichtig: Kreativität. „Viele Schwachstellen findet man nur, wenn man bei der Suche kreativ wird und sich Möglichkeiten überlegt, wie diese ausgenutzt werden könnten.“

Wenn der Ernstfall eintritt, muss schnell gehandelt werden

Kommt es zu einem IT-Sicherheitsvorfall bei einer Behörde oder einem Unternehmen, werden häufig auch Expertinnen und Experten wie Letitia Kernschmidt gerufen. Die 29-Jährige arbeitet im Computer Emergency Response Team (CERT Bund) beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn. Als Anfang 2019 bekannt wurde, dass ein Hackerangriff auf deutsche Politiker und Prominente stattgefunden hat, bei dem unter anderem Kontaktdaten wie Handynummern und Adressen geleakt wurden, schrillten hier sofort die Alarmglocken. In einem solchen Fall helfen Leitita Kernschmidt und ihre Kolleginnen und Kollegen bei der technischen Analyse, informieren Betroffene, untersuchen Ähnlichkeiten zu anderen Vorfällen, um auf die Tätergruppe zu schließen und erstellen Handlungsempfehlungen als Schutz vor weiteren Angriffen. Das CERT Bund ist rund um die Uhr in Rufbereitschaft. „Viele der Fälle, an denen wir arbeiten, sind von großer Dimension und dementsprechend auch von öffentlichem Interesse“, erzählt Letitia Kernschmidt. Ihre Freunde, die von einem Vorfall wie dem Polit-Leak aus der Tagesschau erfahren, fragen dann gerne mal nach, ob sie an der Aufklärung beteiligt ist.

Vielseitige Fähigkeiten sind gefragt

Programmierkenntnisse sind für ihren Job unabdingbar, denn Letitia Kernschmidt muss verstehen, wie die Malware funktioniert, die die Täter nutzen und sich mit entsprechenden Abwehrmaßnahmen auskennen. Neben dem fachlichen Know-how sind auch Fremdsprachenkenntnisse erforderlich, denn viele der Informationen, mit denen das BSI arbeitet, kommen von europäischen Partnern. Außerdem kommunizieren die Sicherheitsexperten sowohl mit IT-Fachleuten in den betroffenen Einrichtungen und Unternehmen als auch mit Parteien und Bundestagsabgeordneten. Je nach Schwere eines Vorfalls wird ein Krisenteam gebildet, dass nicht nur für die technische Aufarbeitung zuständig ist, sondern beispielsweise auch das Briefing des BSI-Präsidenten übernimmt, wenn dieser vor die Presse treten muss.

„Als ich damals während des Studiums angefangen habe, mich mit IT-Sicherheit zu beschäftigen, bin ich erstmal total paranoid geworden. Je tiefer man in die Materie eintaucht, desto mehr lernt man aber auch darüber, wie man sich schützen kann und wird auch im Privaten vorsichtiger“, berichtet Letitia Kernschmidt, die Information Systems studiert hat. „Nach meinem Abschluss wollte ich gerne etwas mit gesellschaftlichem Mehrwert machen, bei dem es nicht nur um das Erreichen wirtschaftlicher Ziele geht.“ Wie andernorts in der IT auch, ist sie als Frau eher eine Ausnahme in ihrem Team. „Unsere Frauenquote ist definitiv noch ausbaufähig. Der öffentliche Dienst ist allerdings gerade für Frauen attraktiv. Zum Beispiel, was das Thema Familienplanung angeht – Stichwort Teilzeit und Telearbeit.“ Auch wenn bei kritischen Vorfällen Überstunden notwendig sind, wird auf einen Ausgleich geachtet.

Als “Selfmade-Hacker” beim BND

Hacken darf das BSI selbst bislang nicht. Für Cyberaufklärung ist in Deutschland der Bundesnachrichtendienst (BND) zuständig und beschäftigt dazu eigene Hacker. Einer von ihnen ist Lukas K., 31. Für den BND dringt er in ausländische IT-Systeme ein und sammelt dort Informationen und Daten, die etwa zur Terrorismusbekämpfung dienen. „Wenn man sich in dem Bereich Hacking ausprobieren möchte und das legal, gibt es nicht viele Möglichkeiten“, sagt der Informatiker über die Wahl seines Arbeitgebers. Vieles hat er sich während des Studiums selbst beigebracht: „Wie das halt so läuft: Man eignet sich Wissen an, spielt damit herum, denkt sich eigene Systeme aus und hackt sie, lernt dabei noch mehr.“ Nach dem Studium arbeitete er eine Zeit lang bei einer Penetrationstest-Firma, seine Fähigkeiten als Hacker stellte er außerdem europaweit bei diversen „Capture the Flag“-Wettbewerben unter Beweis, bei denen es darum geht, als Schnellster einen extra dafür aufgesetzten Server zu knacken. „Das macht Spaß, ist aber am Ende nur eine Simulation.“ So führte ihn sein Weg zum BND.

Bürojob mit Nervenkitzelgarantie

Obwohl er seine Aufträge vom Schreibtisch aus erledigt, ist der Nervenkitzel Teil des Jobs. „Mein Vorteil ist, dass ich mehr technische Möglichkeiten als andere Hacker und entsprechende Befugnisse habe.“ Trotzdem kann es mehrere Wochen dauern, bis es ihm gelingt, in ein fremdes System einzudringen. Wie andere Agenten des BND auch, musste er sich vor Jobantritt einer umfangreichen Sicherheitsüberprüfung unterziehen, die regelmäßig wiederholt wird. Bewerber müssen ihr ganzes Leben aufblättern, insbesondere Auslandsbezüge werden intensiv überprüft. So soll ausgeschlossen werden, dass jemand beispielsweise für einen fremden Nachrichtendienst arbeitet. Direkte Verwandte und enge Freunde wissen, wo Lukas K. arbeitet. „Wenn mich jemand nach meinem Job fragt, den ich nicht gut kenne, sage ich meist, dass ich bei einem Amt in der IT arbeite. Dann fragen die meisten nicht weiter nach.“

Interesse am Thema über den Hörsaal hinaus ist der Schlüssel zum Erfolg

Vor einem Einsatz wird er von seinen Kollegen ausführlich gebrieft, damit er weiß, welche Informationen von Bedeutung sein könnten. Das können zum Beispiel Dokumente oder E-Mails sein, die anschließend vom BND ausgewertet werden. „Man kann sich das Hacken eines Systems wie bei einem verschlossenen Haus vorstellen: Ich klopfe gegen Fenster und Türen; suche ein Schlupfloch, durch das ich ins Innere dringen kann. Irgendwann finde ich eine Stelle, an der sich das System ungewohnt verhält, quasi ein offenes ‚Fenster‘ – dann weiß ich: Hier komme ich rein“, beschreibt Lukas K. sein Vorgehen. Moralische Bedenken hat er dabei keine. „Für mich ist es wichtig zu wissen, dass alles, was ich tue, vorab genehmigt wurde. Ich bin der Meinung, dass diese Arbeit notwendig ist. Ich arbeite im Rahmen der Gesetze und im Interesse der Öffentlichkeit. Meist geht es ja darum, die Bundesregierung zu informieren, Menschen zu schützen oder gar Anschläge zu verhindern.“ Auch wenn der BND entsprechende Sicherheitsvorkehrungen trifft, besteht ein latentes Risiko, dass Lukas dabei von anderen Nachrichtendiensten beobachtet werden und auffliegen könnte. Angst hat er aber keine. Wie Letitia Kernschmidt und Jonathan Haist beschäftigt auch er sich privat viel mit dem Thema IT-Sicherheit, um sich auf dem Laufenden zu halten. „Ein IT-Studium ist natürlich eine gute Grundlage. Wer das beruflich machen und wirklich gut darin werden will, muss sich aber – egal, was er studiert – selbstständig damit befassen.“