Was macht man in der IT-Sicherheit? Interview mit Tobias Braun

Jobs in der IT-Sicherheit sind aus dem Informatik-Umfeld nicht mehr wegzudenken. Durch die Infektion mit Malware oder Manipulation von Computersystemen werden personenbezogene Daten oder Zugangsberechtigungen abgegriffen und missbraucht. Daten werden mit Ransomware (Krypto-/Erpressungstrojaner) verschlüsselt, um Lösegelder zu erpressen. Systeme werden gekapert, um sie für kriminelle Handlungen zu nutzen.

Namen wie WannaCry, Petya oder Goldeneye machen Schlagzeilen und lehren das Fürchten. Schlagen Trojaner bzw. Ransomware oder datengierige Hacker tatsächlich zu, richten sich alle Blicke auf die IT-Sicherheit und genauer auf die Information Security Manager, mit der Frage: Wird es ihnen gelingen, ihr Unternehmen gegen den Feind zu verteidigen? IT Security Manager haben ein zwiegespaltenes Image: irgendwo zwischen Cyber-Superheld, der unermüdlich gegen Bedrohungen kämpft, und nerdigem Typ, der verbreitete Stereotype des ITlers, der ITlerin bedient und sich hinter Pizzakartons und Bildschirmen vergräbt. Doch wie sieht der Arbeitsalltag in Jobs der IT-Sicherheit wirklich aus? Wir haben mit Information Security Manager Tobias Braun gesprochen, räumen mit Klischees auf und stellen fest: IT Security Management ist ein durchaus kreativer Job, der schnelles Denken und Spaß an Gedankenspielen erfordert.

Welche Aufgaben hat ein IT Security Manager überhaupt?

Tobias: Ich arbeite als Information Security Manager und bin für Dinge wie Webfreigaben (Pentest), Information Security Management, Incident Management und Compliance Management in der IT verantwortlich. Meine Aufgabe ist es, Menschen und Konzerne vor digitalen Angriffen zu schützen. Dazu brauche ich auch einen gewissen Freiraum, um meine Kreativität entfalten und mögliche Angriffsszenarien vorhersehen zu können. Gleichzeitig ist jeder kreative Prozess in der Informationssicherheit Teil eines im Sinne der Effizienz möglichst standardisierten Ganzen. Natürlich kenne auch ich das Bild des abgefahrenen Hackers, der mit unkonventioneller Denke im entscheidenden Augenblick eine scheinbar unlösbare Aufgabe knackt – klingt auf jeden Fall wesentlich cooler als das stereotype Klischee des introvertierten Nerds. Tatsächlich ist mein Job aber ein Mittelding. Klar habe ich kreative Momente, aber die gehen unweigerlich auch mit der Arbeit an trockenen Algorithmen, Risikobewertungen und Mathematik einher.

Wie viel Kreativität steckt denn tatsächlich in Jobs rum um die IT-Sicherheit?

Tobias: Information Security Management, Incident Management und Compliance Management sind das, wonach sie klingen: reine Managementaufgaben. Der kreativste Arbeitsbereich ist sicherlich das Pentesting, also die Freigabe von Anwendungen, die aus dem Internet aus erreichbar sind. Hierbei betrachte ich Anwendungen aus der Sicht eines regulären Nutzers und suche nach allen möglichen und unmöglichen Wege, die App auf nicht vorgesehene Weise zu nutzen. So kann ich potenzielle Risiken für das Unternehmen oder anderen Personen identifizieren. Keine Anwendung gleicht dabei der anderen. Es gibt zwar immer wiederkehrende Strukturen und Systeme, aber jede Anwendung steht in einem individuellen Kontext mit einer individuellen Lösung für eine individuelle Aufgabe. Während der Entwicklungsphase einer Anwendung machen sich Developer und Operators Gedanken über die Wirkungsweise und den Zweck der App. Mein Job ist es, über diesen Zweck hinauszudenken und zu schauen, wie die Anwendung missbraucht werden könnte. Ich muss genau analysieren, was die Anwendung tatsächlich tut oder wozu sie genutzt werden kann und ob ich mit ihr potentiell gefährliche Aktionen durchführen kann. Ich betrachte die Software aus allen möglichen Winkeln und versuche, Schlupflöcher zu finden. Das erfordert durchaus viel Kreativität und Phantasie.

Was macht dir als Information Securtiy Manager am meisten Spaß?

Tobias: Am spannendsten finde ich meine Arbeit, wenn ich mich ganzheitlich mit der Sicherheit unterschiedlichster Systeme beschäftigen zu kann. Ich lerne so die unterschiedlichsten IT Systeme und Wirkweisen kennen und beschäftige mich mit deren Analyse aus den verschiedensten Blickwinkeln. Das ist sehr abwechslungsreich und wird nie langweilig. Zum Beispiel hatte ich einmal die Aufgabe, digitale Schließsysteme zu prüfen. Hier war eine Analyse auf allen Ebenen gefordert: IoT, Mobile, Server. Zudem gingen die potenziellen Angriffsszenarien über herkömmliche digitale Bedrohungen hinaus, weil hier auch physikalische Sicherheit eine Rolle spielt. Wenn wir dann nach längerer Analyse endlich verstehen, was alles hinter einem System steckt, Wege entdecken, Anwendungen auf neue, ungewünschte Weisen zu nutzen und so mögliche Angriffsflächen identifizieren, wissen wir, dass wir gute Arbeit geleistet haben.

Welchen Rat hast Du für Berufseinsteiger, die Information Security Manager werden möchten?

Tobias: Informationssicherheit ist sehr komplex, interdisziplinär und abwechslungsreich. Ihr solltet viel Begeisterung für Technik, Menschen und Prozesse mitbringen und Durchhaltevermögen. Es gibt unzählbare Möglichkeiten, sich zu verwirklichen und Erfolg zu haben. Dazu braucht es keinen nervenaufreibenden Hackerangriff, den es abzuwehren gibt – das ist eher Stoff für Cyberkrimis als Alltag. Im echten Leben arbeiten wir die meiste Zeit präventiv, tüfteln, malen uns Szenarien aus – und leisten so einen enorm wichtigen Beitrag zur Sicherheit.

Du findest Dich und Deine bisherige Ausbildung oder Skill-Set in der Arbeit in der IT-Sicherheit wieder und möchtest gerne Berufserfahrung in dieser Branche sammeln? Dann schau auf unserer Jobbörse vorbei, dort findest Du bestimmt den richtigen Job in Deiner Nähe.