Thought Leadership
Wir leben in einem Zeitalter, in dem sich nicht nur verändert hat, was wir meinen, wenn wir von „Hacking” sprechen, sondern die IT-Sicherheitsbranche selbst sich wandelt.
Weder der dynamische Paradigmenwechsel noch das intellektuelle Wettrüsten zwischen IT Sicherheit und Cyberkriminellen sind etwas grundlegend Neues. Derzeit sieht es nicht danach aus, als würde der Wettlauf an Geschwindigkeit verlieren. Und das, obwohl permanent neue IT-Sicherheitslösungen auf den Markt kommen, die Nutzer geschult und weit striktere Richtlinien im Hinblick auf die gängige Programmierpraxis angewendet werden.
Was einst als geheimnisvolle, schwarze Kunst begann, Hacking – inklusive aller Spielarten des White Hat-Hackings, wozu auch Pentesting und Cybersecurity gehören – ist inzwischen zu einem festen Bestandteil unseres täglichen Lebens geworden. Sei es in Form künstlicher Intelligenz für selbststeuernde Geräte, seien es durch Manipulationen, die dazu führen, dass Dinge entgegen ihrer eigentlichen Bestimmung eingesetzt werden, sei es als Schlagzeile in den Abendnachrichten oder als unerwartete Wendung in einem Hollywood-Film. Es ist offiziell: Hacking ist in unser aller Bewusstsein angekommen und fester Bestandteil unserer Kultur.
Wir leben in einem Zeitalter in dem Hacking mehr geworden ist als ein Job. Es repräsentiert eine Haltung, ja, einen Lebensstil. Die Welt aus dieser Perspektive zu betrachten, verändert grundsätzlich die Sicht auf das Leben und wie man es interpretiert. Die schwarze Kunst, einst mit muffigen Souterrainwohnungen oder Außenseitern assoziiert, hat es zur besten Sendezeit bis in die Massenmedien geschafft. Egal ob Nachrichtensendung oder Show, inklusive Streams in Echtzeit.
Wenn Hacking Mainstream wird
Parallel dazu hat sich die IT-Sicherheits-Branche selbst verändert und an die neuen Bedingungen angepasst. Die Zeiten, in denen Techniken und Methoden nur von eher obskuren Eingeweihten über nicht öffentlich zugängliche Webseiten kommuniziert wurden oder in Untergrundforen kursierten, sind lange vorbei. Heutzutage werden Ideen, Schulungen, Techniken und Codes offen über die sozialen Medien oder Code-Repositorien geteilt. Im Zuge dieser drastischen Veränderungen beobachten wir einen enormen Branchenzustrom und sehr viel mehr Interessierte wollen Teil dieser Community werden. Entweder, weil sie sich leidenschaftlich für ein bestimmtes technologisches Vorhaben einsetzen oder ganz normal honorierte Mitarbeiterin IT-Sicherheitsteams.
Es existiert eine Vielzahl öffentlich zugänglicher Ressourcen, Trainings und Schulungen. Trotzdem gibt es immer noch Hindernisse und Schwierigkeiten, mit denen wir als gesamte Gruppe zu kämpfen haben. Eine dieser Schwierigkeiten, die wir oft beobachten, und zwar sowohl im privaten wie im professionellen Bereich, ist der Mangel an klaren Direktiven für eine Karriere im Bereich IT-Sicherheit. Hier fehlt ganz offensichtlich schon die Basis, wenn es darum geht, konkrete Informationen an die Hand zu bekommen.
Für manche mag diese Erkenntnis überraschend sein. Sicher, wir haben mehr Hochschul- und Bildungsangebote denn je, die sich mit den unterschiedlichen Bereichen der Informations- und Cybersicherheit in Theorie und Praxis befassen. Dazu kommen hunderte, wenn nicht tausende Kurse und Trainings an Universitäten, Bildungseinrichtungen und natürlich online. Es war also theoretisch noch nie leichter an die nötigen Informationen zu kommen als gerade jetzt. Was also ist der tatsächliche Grund für die Diskrepanz?
Aus der Sicht von Greg Linares sind es im Wesentlichen drei Faktoren, die verhindern, dass eine neue, umfassend qualifizierte Generation von Cybersecurity-Praktikern heranwächst:
- Überholte Ausbildungsinhalte und Ausbildungsmethoden, die mit den schnelllebigen Veränderungen, teilweise im Minuten-Takt, und den daraus resultierenden IT-Sicherheitsanforderungen nicht Schritt halten
- Ein blindes Vertrauen in oder das Bewerten von Abschlüssen, Zertifikaten und formellen Qualifikationen, statt mehr auf praktische Erfahrung zu vertrauen.
- Leidenschaft für die Sache, oder besser formuliert, die fehlende Leidenschaft
Als jemand, der mittlerweile mehr als ein Jahrzehnt in der Branche tätig ist, hat Greg Linares selbst eine ganze Reihe von Bewerbungsgesprächen für Einstiegspositionen geführt. Dabei gibt es eine Geschichte, die ich immer wieder erzähle. Bevorzugt in einer Pianobar oder anderen ähnlich gelagerten Orten, wo die Veteranen der Cyberkriegsführung ihre Stories austauschen. Es passierte während einer der schier endlos scheinenden Bewerbungsrunden, und ich führte die Einstellungsgespräche mit drei Collegeabsolventen. Es ging um eine Einsteigerposition als Malwareanalyst und die Story erfüllte gleich alle drei der oben genannten Faktoren.
Die drei Bewerbungsgespräche
Der erste Kandidat war männlich, Anfang 20 und schien ziemlich nervös zu sein. Offensichtlich war es eines seiner ersten Bewerbungsgespräche überhaupt, nachdem er seinen Bachelor-Abschluss an einem angesehenen College gemacht hatte. Während des Gesprächs zeigte er umfassende Kenntnisse, was die Buchstabensuppe der IT-Abkürzungen und den üblichen Fachjargon anbelangt. Das Interview endete damit, dass der Bewerber mir in 20 Minuten ein Thesenpapier erläuterte, indem es darum ging, mithilfe einer speziellen Softwaregruppe eine (fünf Jahre alte) Malware-Familie zu identifizieren. Genau dieses Set war allerdings schon seit etwa drei Jahren innerhalb der Branche bekannt. Und unglücklicherweise für ihn würde es im praktischen Leben niemals funktionieren. Es existierte nämlich bereits eine Malware, die sich genau dieses Softwareset zunutze macht, um bestimmte Verteidigungstechnologien zu umgehen. Inzwischen war es für zirka 100 Dollar im Rahmen eines Malwarepakets zu haben.
Sehen wir uns den zweiten, ziemlich selbstsicheren Bewerber an. Er ließ nebenbei ein paar Namen von Unternehmen fallen, mit denen er ebenfalls im Gespräch war. Er schien ausgesprochen klug zu sein und verfügte über verschiedene Zertifikate. Sein E-Mail-Abbinder strotzte nur so von den diesbezüglichen Abkürzungen. Ein offensichtliches Zeichen, dass er selbst oder sein früherer Arbeitgeber ein kleines Vermögen in Trainings und Zertifizierungen gesteckt hatte, stolz präsentiert wie Auszeichnungen an der Weste eines Pfadfinders. Das technische Interview dauerte etwa eine halbe Stunde. Es wurde ziemlich schnell klar, dass alle Schulungen ihn nicht die Lage versetzt hatten eine Beispielmalware mithilfe von Tools zu analysieren, die er bisher noch nicht verwendet hatte. Der Bewerber war geschult, den Werkzeugkasten von Anbieter X anzuwenden und nicht den von Anbieter Y, den wir benutzt haben. Das führte dazu, dass er mit seiner Weisheit ziemlich schnell am Ende war.
Die dritte Kandidatin war eine junge Frau, im Senior-Jahrgang ihrer High-School, sie verfügte über keinerlei Zertifikate und die ganze praktische Erfahrung, die sie gemacht hatte, bestand in einem überschaubaren Job als Programmiererin im letzten Jahr. Ihre technischen Kenntnisse gingen über den Basis-Level nicht hinaus (was nicht besonders überraschte). Wir legten ihr denselben Test vor wie der Nummer 2 unserer Bewerber – und wie er war sie mit dem Tool-Set nicht vertraut.
Anstatt sich aber zu beschweren, ging sie in der ihr verbleibenden Zeit sofort online, um nach Trainings und Ressourcen zu suchen, die darüber Auskunft geben könnten, wie man dieses Tool-Set am besten einsetzt. Sie stellte intelligente Fragen und beschrieb, was sie vorhatte zu tun und warum. Es gelang ihr nicht, den Test vollständig abzuschließen, was sie ziemlich frustrierte. Aber obwohl sie gescheitert war, wollte sie unbedingt ihre Wissenslücke schließen. Die finale Frage, die ich jedem der Bewerberinnen und Bewerber stelle: „Haben Sie zu Hause ein Testlabor und wenn ja, woran haben sie zuletzt gearbeitet?“
Ihre Antwort werde ich nie vergessen: Sie berichtete ziemlich detailreich wie sie ihr Labor eingerichtet hatte. Zuletzt arbeitete sie daran, eine zwei Jahre alte Sicherheitsschwachstelle in Java Schritt für Schritt durchzugehen. Inspiriert hatte sie dazu eine Demo auf Youtube. So mussten ihre leicht irritierten Eltern in einem Jahr feststellen, dass sie sogar vergessen hatte, die Weihnachtsgeschenke zu öffnen, weil sie so sehr damit beschäftigt war herauszufinden wie man diese Schwachstelle ausnützen könnte. Gefragt, warum sie sich ausgerechnet dieses Projekt ausgesucht hatte, antwortete sie mir, dass ihre Schule in diesem Bereich nicht viel anbietet und sie wolle eben unbedingt mehr dazu wissen. Ich fragte, was als Nächstes auf ihrer Liste stünde und ohne eine Sekunde zu zögern, antwortete sie mit der Malware aus unserem Test weiter arbeiten zu wollen. „Ich will einfach verstehen, wie sie funktioniert und bin ziemlich enttäuscht, dass es mir nicht gelungen ist, das auch herauszufinden.“
Passion statt Prestige
Sie vermuten richtig. Eine Woche später haben wir der Bewerberin den Job angeboten. An ihren ersten Tag verbrachte sie etwa eine Stunde damit, mir die Ergebnisse zu schildern, die ihre nächtelange Malwareanalyse zutage gefördert hatte. Sie gab zu, von unserem Angebot etwas geschockt gewesen zu sein, und zweifelsohne ist sie eine der Menschen, mit denen ich in 10 Jahren Cybersecurity besonders gerne zusammengearbeitet habe. Was sie auszeichnete, war ihre Leidenschaft. Man hat sie oder man hat sie nicht. Man kann sie nicht lehren, aber man kann ein Umfeld schaffen, indem sie kultiviert wird.
Einen Nachteil hat die Sache mit der Leidenschaft allerdings. Viele Bewerber sind in einer Stresssituation wie dieser nicht angemessen in der Lage zu zeigen, dass und wie leidenschaftlich sie arbeiten. Genauso schwierig ist es in einer schriftlichen Bewerbung oder einem Lebenslauf zum Ausdruck zu bringen, dass man für diese Sache brennt. Ich kann nur empfehlen, Zeit und Übung in entsprechende Anschreiben zu investieren. Um alles noch ein bisschen komplizierter zu machen: Leidenschaft für die Sache ist nicht unbedingt etwas, auf das Personalvermittler oder Personalverantwortliche in der IT-Sicherheit zwangsläufig achten. Umso mehr da Firmen immer häufiger auf externe Personalvermittler oder auf Schlüsselwörter hin optimierte Software setzen, wenn es darum geht, Positionen in einem der am schnellsten wachsenden Industriezweige zu besetzen. Es passiert also vergleichsweise leicht, dass dieser Faktor übersehen oder ganz außer Acht gelassen wird. Was auf dem Papier gut aussieht, muss aber nicht notwendigerweise die beste und innovativste Lösung für ein Unternehmen oder die Branche sein.
Im zweiten Teil seines Beitrags beschäftigt Greg Linares sich damit wie man wirklich die richtigen Leute innerhalb der Cybersecurity findet und nicht nur ein Kontingent erfüllt.
Greg Linares startete seine berufliche Karriere 2006 als Security Researcher bei eEye Digital Security. Während dieser Zeit wurde er mehrfach dafür ausgezeichnet diverse Schwachstellen in gängiger Software unter anderem Microsoft, CA, Yahoo, Bitdefender und FLAC entdeckt zu haben. Daneben kümmerte er sich um die Entwicklung eines Retina Network Security Scanner. In den folgenden Jahren bekleidete er unterschiedliche führende Positionen in den Bereichen Reverse Engineering, PenetrationTesting, Malware- und Bedrohungsanalyse sowie der Entwicklung von Sicherheitssoftware. Derzeit ist Greg Linares Principal Software Architect bei Cylance. Seine Leidenschaft: andere bei ihren Karriereschritten in der Cybersecurity zu unterstützen.
