Durch meine Arbeit als Security Consultant bei der scip AG habe ich die Branche der Information Security besser kennengelernt und Einblick in Dinge erhalten, die ich ausserhalb dieses Bereichs noch nicht gesehen habe.

Da ich bisher, wie viele andere, die in die Informationssicherheit einsteigen wollen, aus beruflicher Sicht hauptsächlich als System Engineer gearbeitet habe, möchte ich für Neueinsteiger einen kurzen Erfahrungsbericht vorstellen.

Information Security

Menschen, die in der Informationssicherheit tätig sind, haben meist eine hohe Affinität zu Sicherheit im Allgemeinen. Es ist eine Leidenschaft, die sie beruflich ausleben können.

Durch die Tatsache, dass viele Menschen Sicherheit bewusst ignorieren oder deren Wichtigkeit herunterspielen, bleibt die Anzahl an Leuten, die in dieser Branche tätig sind, vergleichsweise klein.

Dieses Tatsache ist beispielsweise IT-Supportern bestimmt schon mehrmals untergekommen:

• User setzen beim erstmaligen Gebrauch kurze Passwörter
• Diese Passwörter werden nach Ablauf lediglich inkrementell geändert
• Nach Änderung der Passwörter wird der IT-Support aufgeboten, die frisch vergessenen Passwörter erneut zurückzusetzen

Eine weitere beliebte Geschichte sind nicht gesperrte Arbeitsrechner. Seit ich die Funktion der Rechnersperre kenne, nutze ich sie sobald ich mich von meinem Rechner entferne. Umso erstaunter bin ich, dass es Leute gibt, die einen PC stundenlang unbeaufsichtigt lassen. Und kommt dann noch das Passwort auf dem Post-it am Bildschirm dazu ist es geschehen. In solchen Situationen war ich häufig der Einzige der sich daran störte und häufig eine Nachricht auf einem Editor hinterliess, um auf die unsichere Gewohnheit aufmerksam zu machen.

Noch erstaunlicher wurde es dann, wenn die betroffenen Personen ausriefen und sich darüber aufregten. Ganz so, als ob ihr Verhalten in bester Ordnung war und sie dies nicht einmal in Frage stellten. Natürlich konnte ich dies nicht verstehen. Denn genauso gut hätte ich via USB-Stick sämtliche geheimen Firmendaten, auf die die Betroffenen Zugriff hatten, einfach stehlen können.

Beispiele für unsicheres Verhalten gibt es also unzählige. Alle Personen, die meine Situation kennen oder nachvollziehen können, haben also ein anderes Verhältnis zu Sicherheit wie der durchschnittliche User (und schlimmstenfalls gar Administrator).

Dieses Verhältnis macht einen grossen Teil der Affinität zur Informationssicherheit aus. Einsteiger ohne diese Affinität werden wohl umso grössere Schwierigkeiten haben, sich zurechtzufinden, als jene mit.

Neue Trends

Die IT ist an sich schon eine sehr schnelllebige Branche. Was heute noch neu ist, wird morgen bereits mit etwas anderem ersetzt werden. In der Informationssicherheit ist diese Schnelllebigkeit noch extremer. Entsprechend bedeutet dies auch, dass man immer dazu bereit sein muss, Neues zu lernen und sich zu erarbeiten. Es gilt, wichtige Ereignisse als solche zu erkennen und entsprechend zu reagieren.

Ein Beispiel dafür ist der im Mai gefundene Schädling Flame. Viele Reaktionen waren masslos übertrieben und entbehrten jeglicher grundlegender Fachkentnnisse. Stefan Friedli fasste es schlussendlich bestens zusammen:

Für die meisten Benutzer und Firmen ändert sich nichts, ausser einem neuen Eintrag in der Datenbank ihres Virenscanners. (Quelle: 20 Minuten Online)

Ein weiteres Beispiel eines neuen Trends wäre die sogenannte BYOD-Strategie (Bring Your Own Device), die seit der Einführung des iPhone grassiert. Der Trend führt dazu, dass immer mehr Mitarbeiter mit privaten Geräten geschäftliche Daten bearbeiten. Diese Geräte stehen natürlich nicht unter der Kontrolle der für die Daten zuständigen Administratoren und sind aus dieser Sicht ein nicht zu unterschätzendes Gefahrenpotenzial.

Da herkömmliche Schutzstrategien nicht mehr greifen, müssen neue erstellt, evaluiert und eingeführt werden. Dies natürlich im besten Falle so schnell wie nur möglich.

Grundwissen

Alle oben besprochenen Eigenschaften sind sicher sehr wichtig und nicht zu unterschätzende Faktoren. Allerdings setzt die Informationssicherheit ein sehr solides IT-Grundwissen voraus, ohne das es nicht möglich ist, viele Abläufe zu verstehen. So sollten Begriffe wie beispielsweise Three-Way-Handshake, asymmetrische und symmetrische Verschlüsselung, Exploit, Vulnerability, Risk Assessment oder Firewall (unter vielen, vielen weiteren) nicht unbekannt sein und zumindest im Ansatz verstanden sein.

Wer über kein Grundwissen verfügt wird nicht in der Lage sein, Entscheidungen zu treffen, die dieses Grundwissen dringendst voraussetzen, und wird früher oder später eine Fehlentscheidung treffen, die möglicherweise gravierende Folgen mit sich zieht.

Grundwissen beinhaltet für mich allerdings nicht nur technisches Wissen, sondern auch Wissen über Firmen und Erfahrungen mit der Art und Weise, wie sie funktionieren. Ein rein akademischer Ansatz, der nur mit idealen Voraussetzungen funktioniert, wird in der realen Wirtschaft zwangsläufig versagen.

Des weiteren beinhaltet Grundwissen für mich auch ein Verständnis der menschlichen Psyche. Wer nicht versteht, dass ein Verwaltungsratsmitglied einen anderen Kommunikationsansatz wie ein Netzwerkadministrator benötigt, wird trotz bestem technischen Wissen und ausgezeichneter, korrekter Analyse häufig erfolglos sein.

Community

Schlussendlich empfiehlt es sich, sich in die Community einzubringen. Twitter bietet sich hierfür bestens an, da viele Profis der Branche über Twitter direkt ansprechbar sind und viel Wissen darüber verteilen und zur Verfügung stellen.

Ein Einstieg wird auch erleichtert, wenn man keine unbekannte Persönlichkeit ist, sondern vorgägnig auf sich aufmerksam gemacht hat. Vorzugsweise nicht mit peinlichen Nacktfotos, wie es heute unter Hollywoodsternchen verbreitet ist, sondern mit wohlüberlegten Fragen, Überlegungen und Äusserungen zu aktuellen Themen und Anlässen.

Auch an Konferenzen, Treffen und ähnlichen Anlässen lassen sich gut Kontakte knüpfen. Im November findet beispielsweise zum 3. Mal die hashdays-Konferenz in Luzern statt, an der man hautnah die neusten Entwicklungen aus der Community präsentiert bekommt.

Wer sich aktiv einbringt, wird auch etwas dafür zurückerhalten. Allerdings wird der Einstieg nicht einfach passieren. Man muss sich anstrengen und am Ball bleiben, um nicht in der Flut von “Eintagsfliegen” unterzugehen.

Schlusswort

Die Branche der Informationssicherheit ist ein Kapitel für sich. Wo IT ist, ist auch Security. Und dies ist im heutigen Informationszeitalter nun mal überall.

Diese Tatsache macht die Informationssicherheit zu einem der interessantesten Gebiete, auf denen man arbeiten kann, denn man erhält Einblick in die unterschiedlichsten Branchen, Systeme und Kulturen. Für alle Einsteiger oder die, die einsteigen wollen: Bleibt dran, gebt nicht auf und geht stetig Euren Weg. Denn der Weg ist das Ziel!

Über den Autor

Links

• http://www.20min.ch/digital/news/story/18919129
• https://twitter.com
• https://twitter.com/#!/stfn42
• https://www.hashdays.ch