Vom Softwareentwickler zum IT-Forensiker

Ein Erfahrungsbericht von Marcel Niefindt, der seit Anfang 2015 als Senior Consultant bei Deloitte im Bereich Cyber Risk Services tätig ist.

Meine Laufbahn habe ich mit einem klassischen Bachelor-Informatikstudium gestartet. Während dieses Studiums war ich in der Softwareentwicklung tätig und habe mich gefragt, wie man die entwickelten Applikationen “austricksen” kann beziehungsweise welche Schwachstellen bei einer Applikation auftreten können und welche Folgen dies hat.

Nach meinem Bachelorabschluss wollte ich mein Wissen erweitern, wechselte in die Netzwerksicherheit und war als IT-Security-Administrator bei einem Automobilzulieferer tätig. Hier lagen meine Tätigkeitsschwerpunkte in der Administration von Firewalls, Intrusion-Detection-Systeme, Monitoring-Lösungen sowie der klassischen Endpoint-Security.

Zur gleichen Zeit habe ich damit angefangen Penetrationstests, das heißt Sicherheitsüberprüfungen von Systemen und Infrastrukturen für eine Berliner Unternehmensberatung, durchzuführen. Der Penetration-Tester versucht Sicherheitslücken ausfindig zu machen, diese auszunutzen und anschließend den Business Impact zu bestimmen. Bei meiner Tätigkeit als IT-Security-Administrator war ich einerseits dafür verantwortlich, Angriffe aufzuspüren und auf der anderen Seite habe ich als Penetration-Tester Angriffe simuliert.

So stellte ich mir sehr bald die Frage, wie man diese Cyber-Attacken in einer Form nachweisen kann, die den Angreifer überführt. So fing ich an, mich mit der IT-Forensik auseinanderzusetzen. Durch meine Arbeit als IT-Security-Administrator konnte ich mein neugewonnenes theoretisches Wissen über forensische Prozesse und Vorgehensweisen gleich in der Praxis erproben.

Um meine Fähigkeiten in der IT-Security weiter zu vertiefen, habe ich neben meiner beruflichen Tätigkeit den Masterstudiengang Security-Management an der Fachhochschule Brandenburg mit dem Schwerpunkt IT-Forensik absolviert. In dieser Zeit beschäftigte ich mich besonders mit der forensischen Analyse von Datenbanken, so dass ich einen Prozess definiert habe, wie man Manipulationen der Datensätze beweisen und mithilfe der gewonnen Beweismittel den Täter überführen kann. Die Ergebnisse meines Studiums durfte ich anschließend auf mehreren IT-Security-Konferenzen im europäischen Raum vorstellen.

Ein weiterer Vorteil dieses Studiengangs war die starke Managementausrichtung. So konnte ich neben der klassischen operativen Administration die Prozesse des Security Managements kennengelernen. Diese reichten vom Aufbau und Betrieb eines Information-Security-Managementsystems bis hin zur Ausrichtung und Eingliederung der Sicherheitsstrategie in die allgemeine Unternehmensstrategie.

Die Balance der Security

Die Kombination aus meiner Ausbildung und meinen praktischen Erfahrungen kann ich heute sehr gut bei Deloitte im Bereich Cyber Risk Services einsetzen. Mein Schwerpunkt ist der Bereich Application Protection. Bei Kunden habe ich es im Rahmen meiner Tätigkeit mit verschiedensten Ansprechpartnern zu tun, angefangen vom Programmierer bis hin zum Executives. Dies fordert eine stetige Balance zwischen strategischer Security-Planung und operativen Aktivitäten, was meine Projekte sehr spannend und abwechslungsreich macht.

Durch die internationale Präsenz von Deloitte und die Vernetzung der Kollegen rund um den Globus ist weiterhin ein sehr guter Wissenstransfer vorhanden und ich baue mein Fachwissen schnell aus. Dies spiegelt sich auch auf einem aktuellen Projekt von mir wider, bei dem ich täglich mit Kollegen aus Ungarn, Spanien und Belgien zusammenarbeite. Bei Projekten findet man auch die Kombination aus den verschiedenen Bereichen der Information Security wieder. Beispielsweise arbeite ich mit Kollegen aus dem Identity & Access Management, der Security Governance und dem Penetration Testing zusammen, so dass sämtliche Bereiche der Information Security behandelt werden und eine für den Kunden optimale und ganzheitliche Sicherheitsstrategie umgesetzt werden kann.

Ein typisches Projekt im Bereich der Application Protection fordert zudem das Zusammenspiel der verschiedenen Bereiche, denn ein ganzheitlicher Schutz der Anwendung kann nicht erreicht werden, wenn man nur einen Penetrationstest in der Testing-Phase durchführt. Man definiert immer Security-Prozesse, die die Anwendung in dem kompletten Lebenszyklus schützen. So erschafft man einen sogenannten Secure Development Lifecycle. Angefangen bei der Anforderungsanalyse und abgeschlossen mit der Außerbetriebnahme der Applikation. Dies reicht von der strategischen Security Governance, also beispielsweise die Etablierung von Security-Richtlinien und -Metriken bis hin zum operativen Security Testing, bei dem unter anderem der entwickelte Source-Code auf Sicherheitslücken analysiert oder die fertige Applikation durch einen Penetrationstest daraufhin überprüft wird, ob alle Sicherheitsmaßnahmen richtig implementiert sind.

Neben meiner täglichen Projektarbeit ist es mir auch möglich an der Fachhochschule Brandenburg als Dozent für Secure System Lifecycle Management sowie als Mentor am SANS Institut im Bereich Web-Application Penetration Testing tätig zu sein.

Das A-Team

Neben meinem interessanten Tätigkeitsfeld bin ich bis heute von dem Teamgeist der Mitarbeiter bei Deloitte fasziniert. Getreu dem Motto “Mir ist es egal, ob du mit dem Chef Golf spielst, ich möchte wissen, wie du die Putzfrau grüßt”, werden die Meinungen aller Kollegen gleich behandelt und die Aufgaben verteilt. Ein Senior Manager ist sich nicht zu schade, Folien für eine Präsentation selber zu erstellen und die Meinung eines Professionals wird ebenso anerkannt wie die eines Managers. Natürlich kommt es im Beraterleben auch gelegentlich vor, dass man länger im Büro bleiben muss. In solchen Fällen ist es bei Deloitte jedoch selbstverständlich, dass jeder Kollege im Team seine Hilfe anbietet.

Fazit

Wer im Bereich der Information Security ganzheitliche Sicherheitsstrategien für Unternehmen in internationalen Teams entwickeln oder operativ als beispielsweise Penetration-Tester Sicherheitsanalysen von Systemen durchführen möchte, der ist im Bereich Cyber Risk Services bei Deloitte sehr gut aufgehoben. Die tägliche Zusammenarbeit der einzelnen Bereiche wie Cyber Strategy & Governance, Corporate Security oder Architecture Protection ist immer wieder spannend und es macht Spaß zu sehen, wie aus den unterschiedlichen Kernkompetenzen zum Schluss eine ganzheitliche Lösung für den Kunden entsteht, bei der alle Security-Prozesse untereinander abgestimmt sind.