IT-Security Insights #2: Alexander ist Hackern auf der Spur

Im Rahmen unserer Blog-Serie „IT-Security Insights” habe ich Alexander getroffen. Wie er mit seinem Team Cyber Angriffe identifiziert und proaktiv mit Pentests IT-Systeme vor Cyber Angriffen schützt, erzählt er mir im Interview. Ich verspreche Euch, es wird spannend!

Alexander, Du bist Squad Lead im Security Consulting für das Thema Incident Response Service. Was bedeutet das und wie bist Du dazu gekommen?

Alexander: Während meines Studiums und auch im Rahmen meiner Promotion habe ich mich mit IT-Foresic und Cyber Abwehr beschäftigt. Als ich zur T-Systems gewechselt bin, konnte ich mich als Consultant voll auf das Thema Penetration Testing & Forensic stürzen. Aktuell bauen wir einen Forensik-Service für externe Kundschaft auf. Intern machen wir das schon lange und erfolgreich und bieten den Incident Response- & Handling-Service jetzt auch für Großkundschaft an. Damit helfen wir 24/7 betroffenen Unternehmen, bei einem Cyber-Angriff herauszufinden, was genau passiert ist, wie die Angriffe ins Unternehmensnetzwerk kamen und was sie angerichtet haben.

Was genau dürfen wir uns denn unter Deinem Job vorstellen?

Alexander: Während mein Team bei der Kundeschaft vor Ort ist, bin ich die Sammelstelle für alle möglichen Störungen in deren Projekteinsätzen und kümmere mich um Lösungen.

Wenn Kunden oder Kundinnen angegriffen wurden, bin ich erster Ansprechpartner für sie. Ich mache eine erste Beurteilung und kann sie dann entweder beruhigen oder muss die schlechte Nachricht überbringen, dass ein großer Schaden entstanden ist. In diesem Fall schlage ich Maßnahmen vor, die den Angriff stoppen und analysiere, was genau zu tun ist.

Meine Vertriebs-Teams unterstütze ich mit Präsentationen für die Kundschaft und Angebotserstellung. Regelmäßig einmal im Monat führe ich bei uns im Konzern Show-Hacking-Events durch, um die Security Awareness bei unseren Beschäftigten zu erhöhen.

Wie sehen normale Arbeitswochen für Dein Team aus?

Alexander: Ein Pentester hat eine gewisse Planungssicherheit, da kann schon Wochen im Voraus geplant und vorbereitet werden. Es gibt feste Zuordnungen zu einzelnen Tests, die die Mitarbeitenden dann komplett eigenverantwortlich planen, konzipieren, durchführen und Abschlussberichte erstellen. Bei großen Testreihen werden die verschiedenen Tests durch Projektleiter*innen koordiniert und zusammenführt.

Die Forensiker haben die Herausforderung, dass Vorfälle ja ungeplant passieren. Da muss schnell reagiert und Prioritäten auch mal verschoben werden. In großen Projekten ist das Team dann meist recht lange gebunden. Wenn nur kleinere Projekte anstehen, hat man auch mal mehrere Projekte gleichzeitig in der Verantwortung. Ein klassischer „9-to-5 Job“- ist das nicht, denn wenn was passiert, kämpfen Firmen ums Überleben und dann helfen wir, ohne auf die Uhr zu schauen. Wenn ganze Produktionsanlagen wegen eines Cyber-Angriffs stillstehen, geht es um die Existenz vieler.

Die großen Cyber-Angriffe, die es bis in die Tagesschau oder Presse geschafft haben, kennst Du die alle?

Alexander: Wenn im Spiegel steht „Die Fachkräfte sind vor Ort“, dann sind meist wir das. Manche Firmen versuchen aber natürlich alles, um nicht in die Öffentlichkeit zu kommen, wenn sie angegriffen wurden. Und wir schützen unsere Teams vor der Öffentlichkeit, denn oft stecken hinter den groß angelegten Angriffen ja irgendwelche Geheimdienste, mafia- ähnliche Gruppen oder autokratisch geführte Länder. Daher legen wir großen Wert darauf, dass unsere Namen nicht in der Presse auftauchen. Hin und wieder tauchen wir als Firma in Presseerklärungen auf, zuletzt beim DFB.

Wie groß sind Deine Projektteams?

Alexander: Unsere Kundschaft ist über alle Branchen und Unternehmensgrößen verteilt. Die Angriffe reichen von plumpen Versuchen bis hin zu komplexen, teuren ausgeklügelten Angriffsszenarien. Je nach Komplexität sind wir zwischen 2 und 30 Mitarbeitende. Bei großen Projekten mit Unterstützung aus anderen Teams, wie z. B. Fachkräfte für das Darknet, Datalake-Analysten, Auditoren etc.

Warum sollten sich neue Beschäftigte für Dich und Dein Squad entscheiden?

Alexander: Wir haben hochinteressante Projekte und tolle Kundschaft. Wir testen laufend neue Systeme und nicht zum x-ten Mal den Webauftritt eines Frisörsalons. Wir sind so groß, uns vertrauen Großunternehmen, Behörden, Staaten. Wir machen technisch und inhaltlich die interessanten Sachen. Die Corona WarnApp wurde zum Beispiel von uns entwickelt und getestet. Wir haben einen wichtigen Job und haben Einfluss auf die Gesellschaft.

Wir sind ein Team von Expert*innen, die gerne ihr Wissen teilen und sich gegenseitig unterstützen. Man muss sich nicht entscheiden: Will ich angreifen oder untersuchen? Hier kann man beides machen und arbeitet außerdem eng mit den anderen Teams der Telekom Security zusammen. Mit der Lauschabwehr röntgen wir Handys, die Prüfstelle ätzt uns Chips ab, es gibt nichts, was wir nicht können in der Cyber Defense. Man erlebt bei uns schräges und ungewöhnliches Zeug, langweilig wird es bei uns nicht.

Alexander, das war ein toller Einblick in den spannenden und ungewöhnlichen Arbeitsalltag Deines Squads. Danke dafür!

Wer jetzt Lust auf das Thema Incident Response & IT- Forensic-Beratung hat, findet bei uns in der Deutschen Telekom Security GmbH Einstiegsmöglichkeiten in verschiedenen Leveln. 

Und wer Bedarf an einer Forensischen oder Incident Handling-Beratung hat, schreibt bitte eine Mail an telekom.security@telekom.de.