Prompt Injection
Andrea Hauser
Als Person, die keine Erfahrungen im Bereich der Informationssicherheit oder der Informatik besitzt, sieht der Einstieg ins Security Testing beinahe unmöglich aus. Dass ein erfolgreicher Quereinstieg möglich ist, kann an meinem eigenen Beispiel aufgezeigt werden.
Wie der Weg dahin möglich ist und was für Tipps es für den erfolgreichen Einstieg gibt, wird nachfolgend genauer behandelt.
Der Bereich Security Testing bezieht sich auf die “Angriffs”-Seite in der IT-Security Branche. Das heisst als Security Tester führt man unter anderem Penetration Tests oder Social Engineering Kampagnen und noch viele weitere Testformen durch. Wie die effektiven Aufgaben aussehen, kann ganz unterschiedlich ausfallen. Da die Bereiche sehr verschieden sind und sie sich immer weiterentwickeln, kann und muss der Wissenshorizont jederzeit erweitert werden.
Als aller Erstes muss man für sich selbst herausfinden, ob die Branche das richtige ist. Denn ohne dieses Wissen und den Willen das Ziel (Arbeiten in der IT-Security) zu erreichen, ist der Weg dorthin zu aufwändig. Erst nach diesem langen Weg festzustellen, dass die Arbeit nicht das ist, was man sich vorgestellt oder erhofft hat, wäre schade. Denn so wie es in den Filmen gezeigt ist, wird es sicher nicht. Denn hinter einem Angriff stecken oft viele Abklärungen. Auch zu erwähnen ist, dass die Arbeit nach dem erledigten Angriff noch nicht zu Ende ist. Dann muss nämlich der Bericht für den Kunden erstellt werden, indem festgehalten ist, was getestet wurde, wo die Schwachstellen vorhanden sind und wie diese Schwachstellen angegangen werden können.
Man muss definitiv aufgeschlossen und bereit sein, immer wieder etwas Neues zu lernen. Denn in einer sich immer schneller verändernden Umgebung kann man nicht einfach auf einem alten Wissensstand stehen bleiben. Was zum Beispiel vor zwei Jahren die beste Möglichkeit war, eine Schwachstelle auszunutzen, wird in den meisten Fällen heute so nicht mehr funktionieren. Die grundsätzlichen Überlegungen, die dahinterstecken, können durchaus noch dieselben sein; die Technologie hat sich allerdings in diesem Zeitraum stark weiterentwickelt.
Um den Umstieg zu schaffen, braucht es meiner Meinung nach eine gute Grundausbildung in der Informatik. Man braucht grundlegende Kenntnisse in den folgenden Bereichen:
Man muss allerdings nicht in jedem Bereich ein Profi sein. Doch zumindest ein Verständnis für alle Bereiche sollte man haben. Und in mindestens einem dieser Bereiche sollte man sich gut auskennen. Wie man sich diese Kenntnisse aneignen kann, wird im weiteren Verlauf noch erklärt.
Wenn noch machbar (genügend Zeit und Wille) wäre das Beste sicher eine Informatiklehre zu absolvieren, denn dann bekommt man viele Grundlagen mit, welche für die tägliche Arbeit nötig sind.
Falls dies nicht mehr machbar oder gewünscht ist, kann auch ein Studium zum Beispiel an einer Fachhochschule angestrebt werden. Dies ist auch der Weg, den ich gewählt habe. Im Nachhinein kann ich sagen, dass ich teilweise während des Studiums und auch während der Arbeit froh gewesen wäre, wenn ich vorher schon in der Informatik gearbeitet hätte. Wenn ich nochmals wählen könnte, würde ich bereits als erste Lehre die Informatiklehre abschliessen. Es ist klar zu erwähnen, dass das Informatikstudium nicht ohne Aufwand zu bewältigen ist.
Mit genügend Interesse und Zeit ist es durchaus möglich, sich das ganze selbst beizubringen. Denn viele der bekanntesten Leute in der IT-Security Szene sind als Quereinsteiger in die Branche gelangt. Wobei es in der heutigen Einstellungslandschaft leider so aussieht, als würde immer mehr Wert auf ein entsprechendes Diplom gelegt werden. Diesen Weg würde ich deshalb nicht empfehlen.
Wie man sich aufs Security Testing vorbereiten kann, auch wenn man erst in der Ausbildung oder im Studium ist.
Sich von Anfang an in die Community mit einbringen. Das kann wie folgt gemacht werden:
Man sollte schon früh beginnen ein Netzwerk aufzubauen. Beginnen kann man damit, Leute aus der Branche auf Twitter zu suchen. Twitter ist besonders erwähnenswert, da sich viele Informationen im IT-Security Bereich sehr schnell darüber verbreiten. Um also die neusten und spannendsten Informationen mitzubekommen, ist es zu empfehlen sich einen Twitter Account anzulegen, falls noch keiner besteht. Wenn schon ein Account erstellt wurde, sollte man den Leuten, die man im besten Fall an Konferenzen bereits kennengelernt hat, auf Twitter zu folgen. Falls man noch keine Leute aus der Branche kennt, kann man damit beginnen, dem lokalen OWASP zu folgen und auch mal IT-Security Veranstaltungen auf Twitter zu suchen. So bekommt man mit, welche Leute sich damit beschäftigen und kann so beginnen sein Netzwerk aufzubauen. Auch im Bereich Anstellungen kann sich Twitter als nützlich erweisen. Es werden darüber nämlich teilweise auch Stellen angeboten.
Um auch schon mal erste Erfahrungen im Ausnutzen von Schwachstellen zu sammeln, können eigens dafür aufgezogene Projekte genutzt werden. Hier gibt es unter anderem WebGoat und das Hacking-Lab welches beides Projekte von OWASP sind. Daneben gibt es noch viele andere Projekte, welche in einem ähnlichen Stil aufgebaut sind.
Um den Einstig zu schaffen, ist ein gutes Grundwissen in der Informatik unumgänglich. Verschiedene Wege können eingeschlagen werden, um das Ziel erreichen zu können. In jedem Fall braucht es Passion und den Willen zu lernen, denn in der IT-Security gibt es ständig neue Entwicklungen.
Unsere Spezialisten kontaktieren Sie gern!
Andrea Hauser
Andrea Hauser
Andrea Hauser
Andrea Hauser
Unsere Spezialisten kontaktieren Sie gern!