Artikel: Das unsichtbare Schutzschild der IT – ein Blick in die Arbeitswelt eines Cyber Security Consultants
Markus Eifler sorgt mit dafür, dass Anwendungen der Bahn sicher sind. Als Teil eines Teams für Cybersicherheit kümmert er sich darum, Sicherheitstests zu organisieren, mit denen DB Systel die Anwendungen, Infrastruktur und OT-Komponenten der Bahn auf Sicherheitslücken checkt.
Cyber Security ist im Zeitalter der Digitalisierung und immer zahlreicheren digitalen Werkzeugen und Produkten ein geschäftskritischer Faktor. Die sichere Digitalisierung der Deutschen Bahn ist für DB Systel ganz besonders essenziell. Deshalb kümmert sich die Einheit „Digital Security Consulting“ mit unterschiedlichen Angeboten darum, die Geschäftsbereiche der Bahn in Sicherheitsfragen zu beraten. Markus gehört zu den sogenannten AppSec-Teams, den „Application Security Specialists“. Hier ist es seine Aufgabe, die sogenannten Penetration Tests zu betreuen, kurz „Pentests“.
Das Sicherheits-Team für Bahn-Anwendungen
Seine Rolle heißt “Business Consultant Penetration Tests”. Dies sei eine Mischrolle, sagt Markus. Er koordiniert und organisiert die Tests mit den insgesamt drei AppSec-Teams, unterstützt zugleich die Teams und Product Owner im Alltag. Dabei konzentriert er sich auf die Schnittstellenarbeit mit den Konzernpartner:innen: Kundenkommunikation und Vertriebsmanagement sind seine Steckenpferde. Diese Pentests sind ein wichtiges Werkzeug in der Cyber Security. Man kann sie sich wie einen strukturierten Hackerangriff vorstellen, denn hier kommen ähnliche Methoden und Werkzeuge zum Einsatz. Die Anwendungen werden gezielt und systematisch auf Schwachstellen hin abgeklopft, um potenziellen Problemen zuvorzukommen. Die Tester suchen nach Schwachstellen wie beispielsweise fehlerhaften Authentifizierungen, versuchen fremden Programmcode einzuschleusen oder stöbern nach Lücken, mit denen man aus einer Software „ausbrechen“ und an das Betriebssystem des Servers gelangen könnte.
Da sie so wichtig sind, gehören Pentests zu den Sicherheitsvorgaben der Bahn und sind Pflicht für alle neuen und bestehenden IT-Anwendungen. Rund 400 dieser Tests führen die drei AppSec-Teams im Jahr durch. Deshalb hat Markus viel zu koordinieren. Es kann mehrere Monate von der ersten Kontaktaufnahme bis zum Abschluss des Tests dauern – da die Konzernpartner:innen die verpflichtenden Tests meistens lange im Voraus anmelden. Somit gilt es, jederzeit zahlreiche dieser kleinen Projekte parallel im Blick zu behalten. Der Test besteht aus Absprachen, der Vorbereitung, dem eigentlichen Test und endet mit einem Pentest-Bericht, falls gewünscht auch mit einer Abschlusspräsentation. Manchmal melden sich Konzernpartner:innen lediglich mit inhaltlichen Fragen, die zunächst ebenfalls in seinem Postfach landen.
Bereits zuvor hatte Markus an der IT-Sicherheit bei der Bahn gearbeitet. In seiner vorherigen Rolle hat er sich im Awareness- und Trainingsteam der Einheit Digital Security Consulting um Schulungen gekümmert, diese konzipiert und auch selbst gehalten. Themen wie Passwortsicherheit im Arbeitsalltag und Sicherheitsaspekte für Berater:innen in IT-Projekten waren hier sein Alltag. Auch dort hatte es ihm sehr gut gefallen, er freut sich jedoch, mehr Projekte und Anwendungen der Bahn aus der Nähe kennen zu lernen.
Als „Sprintstarter“ zur DB Systel
Markus kam 2017 direkt nach der Uni zu DB Systel. Er hatte Wirtschaftsinformatik studiert und suchte als Berufseinsteiger nach einer Option, die ihm für den Anfang eine Begleitung in Form eines strukturierten Einstiegs bieten konnte. „Man hatte ja nach der Uni das Gefühl, trotz des langen Studiums noch nicht genau zu wissen, wie es im Beruf läuft“, erinnert er sich. Markus wollte einerseits bei einem namhaften Unternehmen arbeiten, das aber gleichzeitig einen positiven und nachhaltigen Fußabdruck hat. Deshalb fiel seine Wahl auf DB Systel, hier war er als einer von acht Einsteiger:innen Teil des damals ersten Sprintstarterprogramms. Dies ist das Programm für Berufseinsteiger:innen, damit diese in den ersten Monaten mit strukturierter Begleitung in den Berufsalltag starten. Alle acht Sprintstartpionier:innen sind bis heute noch bei der Deutschen Bahn.
Seine ersten Jahre bei DB Systel hat Markus im CRM-Bereich verbracht, den Lösungen für „Customer Relationship Management“. Dabei hat er sich beispielsweise um Anforderungen an die Security und den Datenschutz dieser Software für Kundenbeziehungen gekümmert. Als er sich darauf speziell im Security-Bereich weiterentwickeln wollte, wechselte er in die Einheit Digital Security Consulting von DB Systel.
Wie wird man Cyber Security Consultant?
Markus ist noch neu im AppSec-Team. Seine Stelle wurde neu geschaffen, um eine eigene Rolle für das Projekt- und Auftragsmanagement zu haben. Markus mag die vielen unterschiedlichen Themen und Blickwinkel, die seinen Job ausmachen: „Weil ja ein Pentest entlang des ganzen Konzerns verpflichtend ist, lernt man hier jedes System der Bahn kennen. Man wird nie aufhören, Neues zu entdecken.“
Für eine solche Schnittstellenrolle im Security-Bereich sollte man mindestens ein grundsätzliches Verständnis davon haben, wie IT-Systeme funktionieren. Wirtschaftsinformatik oder ein betriebswirtschaftlicher Abschluss mit Interesse an Security wäre eine ideale Grundlage, sagt er. Dazu ist selbstverständlich ein breites Verständnis von IT-Security wichtig und das Interesse, sich immer weiterzubilden. Er freut sich über den Teamgeist und die Begeisterung des Teams: „Die intrinsische Motivation ist bei allen sehr hoch. Alle sind sehr kompetent und technisch versiert. Und obwohl jede:r viel zu tun hat, ist der Teamzusammenhalt sehr gut.“
Weiter