Sie haben Fragen?

+49 6321 48446-0
|
info@8com.de
|
KARRIERE
|
EN

Mitarbeiterinterview mit Mario

26. August 2020

Hi Mario! Du arbeitest als Cyber Security Consultant in unserem Hochsicherheitsbereich, dem Security Operations Center. Was genau machst du da?

Im SOC sitzt das Blue Team der 8com. Wir überwachen dort unter anderem die IT-Infrastrukturen unserer Kunden auf ungewöhnliche Vorgänge und werten Echtzeitwarnungen zu sicherheitsrelevanten Ereignissen aus. Mittlerweile arbeite ich zusätzlich noch in der IT-Forensik.

Das klingt spannend. Wie bist du zur IT-Forensik gekommen?

Das ist eigentlich ne ganz lustige Geschichte. Mein Chef kam irgendwann ins SOC und meinte, dass wir noch einen Forensiker brauchen. Ich hatte damit vorher schon Erfahrung gesammelt, aber das hat mir nicht gereicht. Als man mir dann eine einwöchige SANS-Schulung in einem 4-Sterne-Hotel in Krakau in Aussicht gestellt hat, war die Sache für mich klar (lacht). Das war extrem interessant. Und das Bier war auch gut (lacht).

Wozu braucht man eigentlich einen IT-Forensiker?

Wir werden in der Regel beauftragt, wenn es schon zu spät ist, also wenn das System schon infiziert ist. In den letzten Monaten war Emotet ein klassischer Anlass für unsere Arbeit. Nach einem Befall grenzt der Kunde erst einmal ein, wo es Auffälligkeiten im System gab und schickt uns dann zum Beispiel den betroffenen Server oder ein Abbild davon. Nach einer Beweissicherung schauen wir uns dann die Registry an, welche Prozesse zuletzt gelaufen sind, analysieren die Log-Daten und je nachdem, was wir da finden, lässt sich die Spur dann vor- oder zurückverfolgen. So kann man in der Regel dann Aussagen darüber treffen, wo ein Angriff angefangen und wo er aufgehört hat.

Kommt ihr so auch den Tätern auf die Spur?

Das ist eher die Ausnahme als die Regel, weil Angreifer ihre Herkunft mittlerweile extrem gut verschleiern können. Die Strafverfolgung ist aber auch Sache der zuständigen Ermittlungsbehörden. Die gehackten Kunden interessieren sich in erster Linie dafür, wo das Einfallstor liegt und wie sie ihre Infrastruktur fixen können. Das rauszufinden, ist dann unsere Aufgabe. Der Betrieb soll ja schnell wieder laufen, Zeit ist Geld.

Was war bisher dein krassester Fall?

Das war ein Identitätsdiebstahl, der das Unternehmen eine gewaltige Stange Geld gekostet hat. Angefangen hat das mit einem kompromittierten Benutzerkonto. Aufgrund seiner Stellung im Unternehmen war der betroffene Benutzer ein lohnendes Ziel. Unter seiner Identität wurden dann immer wieder E-Mails mit gefälschten Rechnungen an die Kollegen aus der Buchhaltung verschickt, die den Zahlungsaufforderungen auch nachgekommen sind. Aufgefallen ist der Betrug erst, als es bei einer sehr hohen Summe zu Rückfragen kam. Der Mitarbeiter wusste natürlich von nichts. Durch die IT-forensische Untersuchung konnten wir das dann auch beweisen.

Welche Erkenntnis ziehst du aus deinem Job?

Der Großteil der Unternehmen ist überhaupt nicht auf einen möglichen Angriff vorbereitet. Das ist nicht nur extrem fahrlässig, sondern erschwert den IT-Forensikern im Falle einer erfolgreichen Kompromittierung auch erheblich die Arbeit. Oft fehlt es wirklich an den grundlegendsten Dingen, wenn zum Beispiel nicht einmal die Log-Quellen angeschaltet sind. Grundsätzlich nimmt eine gute Vorbereitung auf den Ernstfall natürlich viel Druck raus und beschleunigt die Wiederaufnahme des Betriebs auch enorm.

Was macht dir an deiner Arbeit am meisten Spaß?

Das Erfolgserlebnis, wenn man was Neues ausprobiert und es direkt funktioniert. Generell lernt man einfach immer wieder was dazu. Als Blue Team nehmen wir zum Beispiel auch immer wieder die Perspektive der Pentester ein, um unsere eigenen Regeln für das SIEM zu prüfen. Viele stellen sich das ja vor wie im Film: Einmal mit dem Kopf auf die Tastatur gehauen und schon hat man ein System gehackt. Aber da steckt schon mehr dahinter.

Was machst du gerne, um nach Feierabend abzuschalten?

Wenn wir nicht gerade mit der ganzen Abteilung online um Ruhm und Ehre zocken, geh ich entweder wandern oder liege mit Netflix auf der Couch.

Bild (c) 8com

Zurück zur Blog-übersicht

Erhalten Sie regelmäßig Informationen aus der Welt der Cyber Security und wertvolle Sicherheitstipps.