Im Kampf gegen Hacker

Was ein System Engineer für Cybersecurity macht

01.02.2019 von Oliver Salzberger
Im Bereich Cybersecurity kommt es besonders darauf an, die technologische Weiterentwicklung nicht zu verschlafen. Ein System Engineer hat deshalb verantwortungsvolle Aufgaben: Es muss aktuelle und zukünftige Technologien erforschen, die technische Innovation kontinuierlich vorantreiben und Kunden mit diesem Wissen bestmöglich beraten.
  • Der Fachkräftemangel im Bereich Cybersecurity ist enorm und wird sich noch weiter verschärfen.
  • Ein System Engineer Cybersecurity erforscht Techniken in den Bereichen Cyber-Sicherheit, Netzwerkdesign und Forensik.
  • Zum Aufgabenbereich gehört zum Beispiel, Kunden vor Spear-Phishing-Kampagnen und APT-Attacken zu schützen.

Eine Branche, die bereits seit Jahren händeringend nach Fachpersonal sucht, ist die der IT-Security. Die Einstiegsmöglichkeiten sind dabei ebenso zahlreich wie vielfältig. Oft ist der Karriere in der IT-Branche bereits eine frühe Faszination für das Thema vorausgegangen. So auch bei Florian Siebert, System Engineer für Global Services and Intelligence (GSI) bei FireEye.

Der Beruf des System Engineers für Cybersecurity hat angesichts der ständigen Bedrohungslage für Unternehmen beste Zukunftsaussichten.
Foto: Joyseulay - shutterstock.com

Bereits im Alter von zwölf begann er, seinen hochgerüsteten PC zu zerlegen, und brachte sich selbst die Programmiersprache Pascal bei. Dass ihm die IT liegt, konnte er spätestens in Sommerprogrammierkursen für Schüler von Siemens feststellen, wo er erstmals mit der Siemens-Technik-Akademie in Kontakt kam. Seine neu erworbenen Kenntnisse setzte er dann auch privat in die Tat um, als er mit 14 Jahren sein Faible für das Thema IT-Security erkannte. Damals kompilierte er eine Firewall mit eigenem statischen Kernel und verwendete den TIS Proxy des Firewall-Toolkits.

Karriere in der Cybersecurity

Nach dem Fachabitur studierte er an der Siemens-Technik-Akademie Industrietechnologie mit Fachrichtung Datentechnik und Schwerpunkt Kommunikationstechnik. In dieser praxisorientierten, akademischen Ausbildung wurden ihm neben theoretischen Grundlagen der Mathematik und Elektrotechnik auch praktische Anwendungen wie Betriebssystem, Assembler, C, Java oder Datenbankabfragen mit SQL beigebracht. Über die Akademie kam Siebert auch an seinen ersten Job als Systemadministrator für Netzwerke bei einem international tätigen Konzern.

Florian Siebert: "Man kann sich auch vieles selbst durch Fachlektüre aneignen."
Foto: Siebert - FireEye

Im weiteren Verlauf seiner Karriere war er für verschiedene Unternehmen als Information Security Manager, IT-Security Consultant, System Engineer und IT-Security Engineer tätig. Schließlich kam er 2016 durch Zufall zu FireEye, wo er zunächst als Incident Analyst tätig war und seit August 2017 als Senior System Engineer für Global Services and Intelligence arbeitet.

Innovation an vorderster Front

Als GSI System Engineer ist Siebert für die Präsentation und technischen Aspekte bei Dienstleistungsangeboten des gesamten Unternehmensportfolios verantwortlich. Ihm obliegt die Erforschung aktueller und zukünftiger Technologien in den Bereichen Cyber-Sicherheit, Netzwerkdesign und Forensik. Damit gestaltet er die technische Zukunft von FireEye maßgeblich mit. Gleichzeitig ist er Ansprechpartner für potenzielle Kunden, um sie von der Leistungsfähigkeit der Lösungen und dem Know-how des Unternehmens zu überzeugen.

Der Sicherheitsspezialist arbeitet eng mit Partnern, Lösungsintegratoren und -anbietern sowie internen Ressourcen zusammen. Hier unterstützt er die Produktmanagement- und Entwicklungsteams bei technischen Support- oder Integrationsproblemen innerhalb der gesamten Produktpalette. Zudem hilft er den Vertriebsmannschaften weltweit in kritischen Phasen der Lösungsintegration oder bei schwierigen technischen Situationen, um Kundenprojekte erfolgreich zum Abschluss zu bringen. Er zählt damit zu den effektivsten und leistungsfähigsten technischen Vertriebsressourcen des Unternehmens und ist weltweit an mehrjährigen Projekten in großen IT-Netzwerken mit zahlreichen Standorten und mehreren Tausend Endpunkten beteiligt.

Ein weiterer wichtiger Punkt in Sieberts Alltag ist das Wissen über die neuesten Spear-Phishing-Kampagnen oder APT-Attacken, um seine Kunden effektiv schützen und verteidigen zu können. Von diesen Angriffen geht oft die größte Gefahr für Unternehmen und ihre sensiblen Daten aus. Dadurch bekommt er regelmäßig neuartige Tools und Angriffsmethoden zu Gesicht.

Unternehmen gehackt? Das ist zu tun!
1. Bestätigung & Analyse
Bevor erste Maßnahmen gezogen werden, gilt es zu klären: Welche Systeme sind von dem Angriff betroffen? Welchen Daten wurden geklaut und in welchem Ausmaß? Besonders im Fall von Ransomware, muss zunächst eine offizielle Analyse des Schadens gefahren werden. Oftmals legen Angreifer angeblich gestohlene Daten vor – auch deren Echtheit und Herkunft gilt es zu bestätigen.
2. Faktor Mensch
Maschinen mögen berechenbar sein, die nächsten Schritte des Angreifers jedoch nicht. Das sofortige Schließen einer Sicherheitslücke, ist nicht zwingend der richtige Weg. Oftmals ist es sinnvoller, zunächst alle Stellen zu identifizieren, an denen der Eindringling sich bereits eingenistet hat, um dann alle Verbindungen zu kappen. Wer sich ausschließlich auf die Beseitigung von Malware konzentriert, sieht nur die Hälfte des Problems.
3. Schnelles Handeln
Ist ein Hacker einmal erfolgreich in das System eingedrungen, so wird er versuchen, über einzelne Systeme hinaus die Kontrolle über das gesamte Netzwerk auszuweiten. Die Malware sucht dafür nach gemappten Laufwerken auf infizierten Laptops oder Desktops und verbreitet sich tiefer in die Netzwerk-Fileshares hinein. Aus Mangel an Zeit müssen Organisationen so schnell wie möglich mit allen zur Verfügung stehenden Ressourcen arbeiten, um den Schaden so gering wie möglich zu halten.
4. Ziel vor Augen
Wurde ein Cyberangriff entdeckt, müssen Unternehmen schnell und akkurat reagieren. Damit dies gelingt, braucht es einen Incident Response Plan, der für jede Organisation individuell auszuarbeiten ist und nach den jeweiligen Bedürfnissen priorisiert.
5. Schweigen ist Gold
Nicht alle Angreifer erwarten eine Reaktion. Es kommt vor, dass Angreifer weiterziehen, wenn ihre Forderungen unbeachtet bleiben. Dies ist beispielsweise der Fall, wenn Hacker mit dem Ausnutzen einer bestimmten Schwachstelle hunderte von Unternehmen im Visier hatten. Doch es gibt auch jene, die ungeduldig werden, sollten sie keine Reaktion bekommen. Egal wie, sollte jede Interaktion mit den Cyberkriminellen auf ein Minimum beschränkt und juristisch begleitet werden.
6. Kommunikation & Transparenz
Die Aufarbeitung eines Cyberangriffs hat viel mit richtiger Kommunikation zu tun: Intern sind Mitarbeiter der verschiedenen Fachabteilungen auf die für sie relevanten Informationen zum Status Quo und dem weiteren Vorgehen angewiesen. Nach außen ist die Offenlegung des Angriffes an Partner und Kunden Teil der Schadensminderung. Oft fürchten Organisationen nach einem Sicherheitsvorfall Imageschäden. Tatsächlich ist die Toleranz der Betroffenen umso höher, je transparenter Unternehmen agieren.
7. Lösegeld-Zahlungen
Im Fall von Ransomware ist es nicht immer die richtige Entscheidung, das Lösegeld zu zahlen. Eine Garantie, dass es bei einer Zahlung bleibt, ist zu keinem Zeitpunkt gegeben. Auch eine Rückgabe der gestohlen Daten oder eine Entschlüsselung kann mit keiner Summe sichergestellt werden. Cybersecurity-Experten, die Erfahrung mit Ransomware-Angriffen haben, können die risikoärmste Entscheidung für jeden Einzelfall am besten abschätzen.
8. Sofortiger Handlungsbedarf
Die Wahrscheinlichkeit ist groß, dass nach dem ersten Angriff weitere Cyberkriminelle versuchen werden, in das Netzwerk einzudringen. Die IT-Abteilung muss die Sicherheitsvorkehrungen deshalb so schnell wie möglich erhöhen. Dazu gehört auch die Aufklärung aller beteiligten Ebenen im Unternehmen – fachspezifisch aufbereitet für technische Mitarbeiter, die Rechtsabteilung und das Management.
9. Vorsorge statt Nachsorge
Das Aufrüsten der Technologie ist die eine Seite der Vorsorge. Dazu gehören auch Penetrationstest, die dabei helfen, die eigenen Sicherheitskontrollen zu bewerten, Schwachstellen zu identifizieren und sofort zu beheben. Die andere Seite ist das Bewusstmachen darüber, dass hinter fast jedem Angriff ein bestimmtes Ziel steckt. Mithilfe von Threat Intelligence (nicht zu verwechseln mit IoC-Feeds) und einem genauen Täter-Profiling kann identifiziert werden, welches Ziel die Hacker verfolgen und an welchen Daten sie interessiert sind.

Aussichten und Tipps für Neueinsteiger

Da gerade im Bereich Cybersecurity der Fachkräftemangel enorm ist und sich diese Situation in den kommenden Jahren laut Prognosen noch weiter verschärfen wird, haben Berufseinsteiger hervorragende Chancen. Zusätzlich empfiehlt Siebert Produktschulungen, um IT und Arbeitsumgebungen zu verstehen. Ebenso sieht er allgemeine und produktunabhängige Kurse und Zertifizierungen wie beispielsweise SANS als empfehlenswert an, meint aber: "Man kann sich auch vieles selbst durch Fachlektüre aneignen."

Auch wenn nicht immer alles perfekt läuft, hat er an seiner Arbeit viel Spaß und ist immer noch fasziniert davon, sein Hobby zum Beruf gemacht zu haben. "Es ist wirklich cool, wenn du dein Unternehmen in Berichten über beispielsweise Advanced Persistent Threats oder Hackergruppen in den Nachrichten siehst, von denen du schon ein paar Wochen zuvor erfahren hast und zu denen du die nicht öffentlichen Hintergründe kennst."