In den letzten Jahren ist die Digitalisierung deutscher Unternehmen enorm vorangeschritten. Dies ermöglicht ein schnelleres und effizienteres Arbeiten, eröffnet jedoch auch Angreifern über die IT neue Wege, in die Unternehmen einzudringen. Um Schwachstellen in der IT zu ermitteln und Hackerangriffe schon im Vorfeld abzuwehren, simulieren sogenannte Security Analysten regelmäßig Angriffe anhand von Penetrationstests. André Zingsheim, Security Analyst bei der TÜV TRUST IT, verrät im Interview, wie er zu einem „professionellen Hacker“ wurde und warum auch soziale Kompetenzen in seinem Berufsalltag eine Rolle spielen.
Herr Zingsheim, Sie sind bereits seit 2012 bei der TÜV TRUST IT in Köln als Security Analyst tätig. Wie sind Sie zu diesem Beruf gekommen?
Meine ersten Berührungspunkte mit dem Thema Hacking hatte ich schon während einer Praxisphase meines Studiums und war schnell fasziniert von der gesamten Thematik. Nach meinem Masterabschluss der Technischen Informatik habe ich mich dann gleich in diese Richtung orientiert und meine berufliche Laufbahn als professioneller Hacker bei der TÜV TRUST IT begonnen. Hier liegt der Schwerpunkt natürlich auf den Penetrationstests, aber ich führe auch Audits im Rahmen von Zertifizierungen durch und unterstütze unsere Kunden bei Mitarbeiterschulungen und dem großen Thema Awareness. Auch das ist ein wichtiger Teil meiner Arbeit, denn nicht nur die IT, auch der Mensch ist ein potenzielles Sicherheitsrisiko.
Ein Security Analyst ist also auch im Bereich sozialer Kompetenzen gefragt?
Genau. Selbstverständlich sind fachliche Kenntnisse als Basis absolut notwendig für diesen Beruf. Die sozialen Kompetenzen sollten aber nicht unterschätzt werden. Da der Faktor Mensch oft ein ebenso großes Sicherheitsrisiko darstellt wie die Technik, ist es wichtig, sich in andere Menschen hineinversetzen zu können. So gehören zu einem Penetrationstest auch Social Engineering Maßnahmen, bei denen wir zum Beispiel mithilfe von Phishing-Mails oder anderweitiger Manipulation von Mitarbeitern versuchen, an Informationen aus dem Unternehmen zu gelangen. Dabei ist eine Vorstellung davon, wie Nutzer auf solche Phishing-Mails reagieren, von großer Bedeutung.
André Zingsheim, Security Analyst TÜV TRUST IT
Sie haben auch entsprechende Fachkenntnisse angesprochen. Welches Fachwissen sollte ein potenzieller Security Analyst Ihrer Meinung nach mitbringen?
Das theoretische Fachwissen ist, wie gesagt, die Basis unserer Arbeit. Hierzu gehören gute Kenntnisse in allen gängigen Betriebssystemen sowie in Skript- und Metasprachen, außerdem Netzwerk- und Programmierkenntnisse. Auch erste Erfahrungen in den Bereichen Reverse Engineering und Forensik können sehr hilfreich sein.
Hier ist demnach ein umfassendes Wissen gefragt. Bietet Ihr Arbeitsalltag so viel Abwechslung wie die breit gefächerten nötigen Kenntnisse erahnen lassen?
Absolut! Da wir für viele unterschiedliche Kunden aus allen möglichen Branchen arbeiten, kommt im Alltag keine Langeweile auf. Jedes Unternehmen ist anders und verlangt eine individuelle Herangehensweise an die jeweilige Ausgangssituation. Arbeit nach Schema F gibt es in meinem Beruf also nicht. Das gefällt mir sehr gut. Und, auch wenn man es nicht gleich vermutet, ist trotz der notwendigen theoretischen Grundlagen in der praktischen Arbeit viel Kreativität gefragt. Um alle möglichen Schwachstellen zu ermitteln, müssen wir oft über unseren Tellerrand hinausschauen und neue Perspektiven einnehmen. Das ist immer wieder eine spannende Herausforderung im Alltag.
Vielen Dank für das Interview, Herr Zingsheim.