Simon Reinhart, bezeichnen Sie sich als Hacker?
Simon Reinhart: Neben Penetration Tester, IT Security Analyst oder Security Researcher ist auch Ethical Hacker, beziehungsweise Friendly Hacker, eine offizielle Bezeichnung meines Berufes.
Was macht einen Friendly Hacker aus?
Die Bezeichnung Hacker suggeriert vermutlich bei vielen das Bild einer Person, welche kriminelle Aktivitäten begeht. Viele der Aktivitäten eines Friendly Hackers sind deckungsgleich mit denjenigen eines kriminellen Hackers. Jedoch aber mit dem Unterschied, dass gute Absichten dahinterstecken. Das Ziel eines Friendly Hackers ist es, Schwachstellen aufzudecken und zu melden, sodass diese geschlossen werden können, bevor sie von einem kriminellen Hacker ausgenutzt werden.
Wie wird man ein Friendly Hacker?
Gute Basiskenntnisse in Informatik und Softwareentwicklung sind Voraussetzung. Neben dem braucht es vermutlich das richtige Gespür und vor allem eine gute Portion Motivation. Im Internet gibt es genügend Ressourcen, um sich die Konzepte dahinter selbst anzueignen. Ich hatte zudem das Glück, dass ich vor rund sechs Jahren einen Job als Penetration Tester bei der Protect7 GmbH bekommen habe. Bedeutet, ich konnte mir die nötigen Fähigkeiten durch die tägliche Arbeit aneignen und praktizieren.
Ihr Job ist es, Schwachstellen in IT-Systemen zu finden?
Genau und dann generische Empfehlungen abzugeben, wie diese geschlossen werden können. Die Behebung selbst erfolgt dann durch den Lieferanten der Software. Meist ist den Entwicklern auch klar, wie die Behebung erfolgen muss. Falls dem nicht so ist, wäre es natürlich zu empfehlen, die Entwickler dahingehend zu schulen. Nicht zuletzt auch um vorzubeugen, dass künftig wieder gleiche Schwachstellen implementiert werden.
Gemäss Ihrer Einschätzung, wo liegen die grössten Schwachstellen von Schweizer Unternehmen in Sachen Cyber Security?
Schätzungsweise ist das nach wie vor der Faktor Mensch. Gerade bei herkömmlichen KMU ist vermutlich eine überschaubare Anzahl Services direkt exponiert und meist handelt es sich dabei um renommierte Standardprodukte. Da wählen viele Hacker eher den Weg über Social Engineering Angriffe.
Wie können die Mitarbeitenden sensibilisiert werden?
Es ist wichtig, mittels Schulungen eine genügende Awareness bei den Mitarbeitern zu erreichen. Genauso wichtig, ist es natürlich, die exponierten Standardprodukte auf dem neusten Stand zu halten, um zu verhindern, dass öffentlich bekannte Schwachstellen ausgenutzt werden. Bei Unternehmen mit vielen exponierten und eigens entwickelten Services ist natürlich die Gefahr von bestehenden Zero Day Schwachstellen gegeben. Diese führen meist zu sogenannten Data Leaks oder Übernahme der Server / Infrastruktur mit Missbrauchs- oder Erpressungsabsichten, letzten Endes fast immer einhergehend mit einem Reputationsschaden.
An Wettbewerben wie Live Bug Bounty Hunting messen sich die jungen Talente der Szene. Sie selbst gingen an Ihrer ersten Live Challenge «GoHack23» in Zürich als Sieger hervor. Hand aufs Herz: wie leicht waren die Unternehmen an der Challenge zu hacken?
Die Maturität der Applikationen bei einem Programm war nach meiner Einschätzung eher gering. Bedeutet, da war es eher einfach, Sicherheitslücken zu finden. Neben Erfahrung spielt aber manchmal auch das Glück eine Rolle. Wenn man gleich zu Beginn am richtigen Ort schaut, dann hat man auch schneller Erfolge.
Rückblickend – wie wertvoll war Ihr Bachelorstudium in Informatik für Ihre aktuelle Karriere in der IT-Security?
Das Studium hat mir geholfen, den Einstieg in die Informatik und Softwareentwicklung zu finden. Ohne die Basiskenntnisse des Studiums hätte ich wohl auch nicht einen Job als Penetration Tester starten können.