Meet the Geek

Folge 8: IT-Security. Das beste Rezept bei Risikoappetit.

gepostet von am

Tobias Braun fühlte sich schon als 6-jähriger zur IT hingezogen und gab als Sechstklässler seinen Lehrern PC-Unterricht. Während des Zivildiensts baute er eine PHP-App, neben dem Studium entwickelte er Cloud-Anwendungen und unterrichtete als Tutor. Über ein Praktikum geriet er ins SAP-Sicherheits-Umfeld. Äußerst erfolgreiche Stationen bei mittelständischen und großen Unternehmen folgten. Ein Ausnahmetalent plaudert aus dem Nähkästchen.

Tobi Braun, IT-Security Profi

Name:
Tobias Braun
Alter:
25
Beruf:
Senior Manager Consulting IT-Security bei bee security, Köln
Programmiersprachen:
C++, C, Java, Groovy, PHP, Python, .NET, Bash, Batch, Grails, ABAP, …
in der IT seit:
der 6. Klasse
liebste Tools:
weniger Tools als Management-Konzepte, gern mit philosophischer Komponente
seine Inspiration:
Frau Selina und Sohn Levi

Über „Meet the Geek“

Tobi, wer so begnadet ist wie Du, dem war wahrscheinlich schon als Kind klar, dass seine Zukunft in der IT liegen wird.

Ganz und gar nicht! Klar, die IT hat mich schon immer interessiert und mir auch sehr gelegen. Aber ich habe noch viele andere Interessen. Meinen Zivildienst habe ich in der geschlossenen Psychiatrie gemacht, aber das hat mich eher vom Psychologie-Studium abgebracht. Währenddessen habe ich mit PHP eine Applikation für eine Wing-Tsun-Schule gebastelt. Literaturwissenschaft mochte ich auch, aber sah da weniger Möglichkeiten für meine große Freude an Innovation. Also wurde es die IT. An der Uni Bochum habe ich einen großartigen Lehrstuhl gefunden. Mathematik, Informatik, IT-Sicherheit, das war mein Ding. Elektrotechnik war dagegen eher weit abgeschlagen (schmunzelt).

Du hast nach einiger Zeit sogar selbst an der Uni unterrichtet.

Genau, “Einführung in die Kryptographie”. Zu dem Zeitpunkt war ich schon recht tief in das Thema IT-Sicherheit eingetaucht, beschäftigte mich neben dem Studium mit Trusted Computing. Das Präsentieren lag mir auch schon immer, ich mache das wirklich gern. Es hat einfach gepasst. Aber an der Uni bleiben wollte ich nicht. Heute leite ich mit großer Freude Seminare zum Thema IT-Security und Governance, Risk und Compliance, kurz GRC. Das sind komplexe Themen, die ich versuche, verständlich aufzubereiten, damit die Unternehmen die Prozesse nachhaltig implementieren können.

Mit Deiner Hilfe natürlich: Du bietest umfangreiche IT-Sicherheitsmaßnahmen wie zum Beispiel GRC an. Sind solche ganzheitlichen Ansätze für Unternehmen heutzutage noch zu umgehen?

Wohl kaum. Das hat zum Einen mit den gesetzlichen Anforderungen in Deutschland und der EU zu tun, die immer umfangreicher werden. In der elektronischen Welt herrschen zunehmend Gesetze aus der Papierwelt, was ja auch seine Richtigkeit hat. Ohne Ansätze wie GRC die geforderte Transparenz zu liefern und ethisch korrekt zu handeln, ist fast unmöglich. Zum Anderen verlangt die Marktdynamik von Unternehmen ein hohes Maß an Agilität, deren Prozesse durch GRC sinnvoll gesteuert werden können. Auch wenn die hohe Flexibilität eine große Herausforderung bedeutet. Die Compliance, also das regel- und gesetzeskonforme Auftreten von Unternehmen und die operative Umsetzung der Governance – der Geschäftsführung – erfordert unbedingt auch Risikomanagement. Damit ist nicht nur das Vermeiden regulatorischer Risiken gemeint. Es geht darum, die Einflüsse auf das Unternehmen zu kennen und das Erreichen von Zielen sicherzustellen. Und andersherum verhilft GRC dazu, Synergiepotenziale optimal auszuschöpfen und Wettbewerbsvorteile zu sichern.

Neben der Einführung von ganzheitlichen Ansätzen wie GRC oder ISMS, also Informationssicherheitsmanagement, bietest Du noch eine Reihe anderer Maßnahmen im Security-Bereich an.

Genau, wir führen zum Beispiel Assessments zur Etablierung eines dauerhaften Basisschutzes durch, aber bieten vor allen Dingen einen holistischen Ansatz an, um an das Thema Sicherheit ranzugehen. Wir unterstützen Unternehmen bei der ganzheitlichen Betrachtung ihres Security Lifecycles, und da kommen auch Maßnahmen wie Reviews, Patches, Berechtigungsmanagement oder Notfallpläne zum Tragen.

Aber auch Penetration Tests stehen auf dem Programm. Da kommt der Hacker in Dir durch, oder?

(lacht) Der Ethical Hacker, bitte. Aber ist schon richtig, bei Pen Tests tue ich das, was ein Eindringling tun würde.

Und das wäre?

Ein Standardvorgehen gibt es nicht, da Unternehmen ja unterschiedliche Prozesse haben. Es ist eine ausführliche Recherche notwendig, damit ich einschätzen kann, mit welchen Problemen ich im jeweiligen Kontext konfrontiert werde. Es gilt, verschiedene Ebenen zu betrachten, wir haben hier die Software, dort den Leak, da das Darknet zum Beispiel, dann viele ungebundene Systeme…. Zunächst betreibe ich also Scoping, stelle fest, welche Risiken es gibt und auch, welche der Kunde als solche ansieht. Aus Unternehmenssicht sind beispielsweise unnötige Berechtigungen ein Risiko. Aus den Erkenntnissen leite ich Testfälle ab, bewerte sie und stelle reale sowie theoretische Risiken als Hypothesen im System heraus. Dann hole ich mir die Erlaubnis der verschiedenen Stellen. Dem Pen-Test muss eine Einwilligung von ganz oben vorausgehen. Die Vorgehensweisen und Ziele müssen klar feststehen und mit den entscheidenden Ebenen abgestimmt sein. Man operiert ja sozusagen am offenen Herzen des Unternehmens. Und dann gehts los. Ich suche mir ein Tor und dringe ein, um die Systemempfindlichkeit auf die Probe zu stellen und die Hypothesen zu überprüfen, die ich bei der Sichtung des Ist-Zustands aufgestellt habe. Je tiefer es hineingeht, desto mehr Hypothesen entwickeln sich. Dokumentation ist in diesem Fall unerlässlich, und natürlich muss ich die Ergebnisse auch so aufbereiten, dass sie für den Kunden nachvollziehbar sind. Aus den Funden, die ich gemacht habe, leite ich Maßnahmen ab. In der Management-Präsentation stelle ich dann vor, was getan werden sollte.

<

figure>

<

figcaption> Schwierige Themen verständlich aufbereiten, das ist Tobis Ding

IT-Security
Und alle so: Aaaaaah! Schwierige Themen verständlich aufbereiten, das ist Tobis Ding.

Ich kann mir vorstellen, dass einige Leute erstmal irritiert sind, wenn sie auf den mit Spezialwissen ausgestatteten Sicherheitsexperten warten und dann da ein 25-jähriger hereinspaziert kommt.

Ja, und dann macht er ihnen auch noch alles kaputt! (lacht) Nein, im Ernst, viele sind erstmal skeptisch und fragen sich, wie das gehen kann. Dann lege ich los und werde fachlich recht schnell anerkannt. Bei Präsentationen ist das ähnlich. Ich kann in so einem Kontext recht seriös wirken (lacht). Dass manche sich trotzdem nicht gern Anweisungen geben lassen von einem Typen, der halb so alt ist wie sie, ist ja auch verständlich. Meist mache ich gute Erfahrungen und lerne nette und interessante Menschen kennen.

Tobi, als Profi kannst Du uns sicher verraten: Was sind denn aktuell die größten Bedrohungen für die IT-Sicherheit?

Ein echtes Problem sind in meinen Augen Leaks. Gerade kürzlich wurden Millionen von PayPal-Daten gestohlen. Ransomware ist auch ein mieses Verbrechen, gegen das Unternehmen sich nur durch flächendeckende interne Prozesse schützen können. Jeder Mitarbeiter muss zum Beispiel genau wissen, welche Anhänge er öffnen darf und welche er vorher dem IT-ler vorlegen sollte, damit sie geprüft werden. Überhaupt sind die Prozesse im Unternehmen oft ein Risiko in sich. Eine Segregation of Duty lohnt sich immer. Aber auch Schwachstellen erweisen sich oft als Gefahr für die Sicherheit. Zum Beispiel sind bei Webanwendungen SQL-Angriffe möglich. Gutes Patchmanagement kann Schwachstellen bei Open SSL mindern. Das allergrößte Risiko ist und bleibt aber das, das wir nicht kennen.

Wogegen kann man sich schützen, wogegen nicht?

Da wir alle Menschen sind, können wir uns nicht vor Fehlern schützen. Man kann niemals ausschließen, dass eine Anwendung Lücken hat. Wovor wir uns schützen können, das ist fehlende Transparenz. Wo Transparenz herrscht, können hohe unkalkulierbare Risiken zumindest abgeschwächt werden.

Ich habe ein altes Interview mit Dir gelesen. Damals warst Du im 4. Semester und Dir war schon klar: “Ich möchte später neue Technologien und Verfahren entwickeln, die die Sicherheit für zukünftige Entwicklungen gewährleisten.” Ist es dazu gekommen?

In modifizierter und meines Erachtens umfassenderer Form: Die Entwicklung neuer Verfahren und Konzepte ist mein täglich Brot. Es geht mir heute darum, Systeme und Konzepte zu entwickeln, die es Menschen ermöglichen, ohne Angst vor Bedrohungen zu arbeiten.

Du sprichst ungeheuer viele Programmiersprachen! Entwickelst Du denn gerne selber?

Oh ja! Für meine Bachelorarbeit habe ich eine App entwickelt, bei der man das Gerät via Klopfzeichen und Micro-Timing entsperren kann. Die Idee dazu stammt aus meinen Kindertagen: Oft haben wir Lager gebaut, in die nur Eingeweihte reindurften, die den richtigen Code klopfen konnten. Ich mag es, wenn man solche Spielereien einbringen kann. Ein bisschen Charme und Witz heben eine App echt von dem Einheitsbrei ab. Inzwischen habe ich ja das Glück, das hobbymäßig machen zu können und kann mich dementsprechend grenzenlos austoben. Derzeit baue ich mit meiner Frau an einer Food-Lifecycle-Management-App. Das macht großen Spaß, denn wir haben ständig neue Ideen.

Was kann die App denn alles?

Einiges! Zunächst schlägt sie dir verschiedene Gerichte vor, die Du über Schieben nach rechts oder links als lecker oder nicht lecker einstufst. Dann bekommst du Rezepte und es gibt für die, die sowas mögen, die Möglichkeit, die Lebensmittel in der genauen Menge liefern zu lassen. Wenn die App weiß, was du wann eingekauft hast, kann sie dich vorwarnen: “Die Champignons stehen nun schon drei Tage in deiner Küche. Du solltest sie bald zubereiten.” Mit der Zeit entwickelt die App ein Gefühl für deine Vorlieben und weiß auch, was du schon lange nicht mehr hattest. Darauf weist sie dich dann hin, natürlich mit Rezeptideen. Die Rezepte schreibt übrigens meine Schwiegermutter, es ist also ein echtes Familienprojekt.

Lieber Tobi, vielen Dank für das interessante Gespräch!