Für unseren Dozenten Markus Manske ist IT-Sicherheit immer ein Prozess, niemals ein Zustand. Wohl auch ein Grund, weshalb Markus sein Wissen gerne und regelmäßig in Schulungen an der Heinlein-Akademie weiter gibt und Interessierte auf den neuesten Stand bringt. Aktuell bietet er mit „Hacking & Penetration Testing“, „Digitale Forensik“ und „DDoS Attacken erkennen und abwehren“ gleich drei Kurse rund um IT-Sicherheitsthemen bei uns an. Wer also Einblicke in das Mindset von Hackern bekommen will oder wissen möchte, wie man sich am besten gegen Hacker oder DDoS-Attacken schützen kann, ist in seinen Schulungen immer richtig.
IT-Security ist ein extrem internationales Geschäft – auch weil die potentiellen Angreifer selten von Deutschland oder Europa aus operieren. So gab es z.B. lange eine große Hackerszene in Südostasien, Indien, Indonesien und Pakistan. Auch in Russland können Hacker in der Regel unbehelligt von Strafverfolgung agieren – solange sich ihre Angriffe nicht gegen inländische Unternehmen richten. Aber auch die „andere Seite“ arbeitet international. Und genau das war einer der Gründe, weshalb sich Markus auf IT-Security spezialisiert hat.
Wie bist Du ausgerechnet beim Thema IT-Security gelandet?
Ich habe mich irgendwann gefragt, was ich im Leben machen möchte und vor allem, wie ich gerne arbeiten möchte. Um das Jahr 2000 wurde Remote-Arbeit erstmals ein immer größeres Thema. Ich habe ursprünglich BWL studiert und habe zuerst im E-Commerce-Bereich gearbeitet. 2010 bin ich in den Security-Bereich eingestiegen – alles über learning by doing. Ich habe erst viel zu Datenschutzthemen gearbeitet und fand IT-Security eine spannende Spezialisierung, in der sich noch nicht so viele Anbieter getummelt haben. 2015 habe ich eine kleine IT-Firma mit 10 Mitarbeitern mit aufgebaut. Spannend fand ich auch, dass das Thema sehr international ist und nicht an der deutschen Grenze endet. Internationale Netzwerke und Kooperationen sind entscheidend. Und ich kann von überall auf der Welt arbeiten – das passt zu meinem Leben.
Gibt es Fähigkeiten, die in der IT-Security besonders wichtig sind?
Tatsächlich ein sehr gutes Allgemeinwissen. Man muss erkennen, welche Bereiche gerade relevant sind. Ransomware war z.B. lange gar nicht auf unserem Schirm. 2020 liefen plötzlich 80 Prozent der Ransomeware-Attacken über die Infrastruktur – das war eine schnelle Entwicklung innerhalb von nur 1-2 Monaten. Man muss also rechts und links gucken, sich vernetzen, viel lesen, den richtigen Leuten auf Twitter folgen – also viel Forschung und Entwicklung betreiben. Und man muss in Querschnitten und Verknüpfungen denken und Muster erkennen - alles im Blick behalten. Als Unternehmen schwimmen wir quasi mit den Haien. Und Geschwindigkeit zählt.
Welche Rolle spielt Open Source in der IT-Security?
Ohne Open Source gäbe es nicht so viele gute, ausgereifte Produkte und Tools. Alle unsere Datenbanken sind z. B. Open Source. Open Source ermöglicht Flexibilität. Wir hatten aktuell z.B. bei einer Technologie ein Skalierungsproblem und haben dann relativ schnell und einfach einen Technologiewechsel vorgenommen. Das wäre ohne Open Source für uns deutlich schwieriger gewesen.
Was sind in Unternehmen Deiner Erfahrung nach die größten Fehler im Thema IT-Security?
Das größte Problem ist die Selbstüberschätzung. Häufig wollen sich die Verantwortlichen nicht eingestehen, dass sie von einem Thema keine Ahnung haben und sind nicht bereit, sich externe Hilfe zu holen. Sicherheit ist in den Unternehmen in der Regel eben nicht das Tagesgeschäft. Mit dem externen Fokus hole ich mir Expertise und vor allem Geschwindigkeit ins Unternehmen.
Was ist die Zielgruppe der Kurse? Unterscheiden sich die Gruppen je nach Kurs?
Die Zielgruppe für die Schulungen „Hacking und Penetration Testing“ und „Digitale Forensik“ ist tatsächlich relativ deckungsgleich. Die beiden Kurse sind quasi die zwei Seiten derselben Medaille: Im ersten geht es darum, in Systeme einzudringen und im zweiten, Eindringlinge zu erkennen. Ich habe quasi zwei verschiedene Hüte auf und lerne das Mindset und die Tools der jeweils anderen Seite kennen. Deshalb macht es auf jeden Fall Sinn, beide Kurse zu besuchen. Ich habe auch oft Teamleads im Kurs, die durch den Kurs herausfinden möchten, wo sie noch in Sicherheit investieren müssen oder ob sich ein eigenes Forensik-Team lohnt.
Für den DDoS-Kurs ist die Zielgruppe spezieller. Der Kurs richtet sich vor allem an Teilnehmer, die direkt mit dem Schutz der Netze betraut sind. Hier machen wir dann häufig Inhouse-Schulungen, gehen direkt in die interessierten Unternehmen und gucken gemeinsam auf die wahrscheinlichsten Angriffspunkte. So alle zwei Jahre kommt mal wieder eine größere Erpressungswelle – dann steigen auch die Kundenanfragen deutlich an.
Gibt es ein Feedback, das Dir in Deinen Schulungen immer wieder begegnet?
Ein wiederkehrendes Feedback ist tatsächlich, das Leute sehr dankbar sind für die tiefen Einblicke, die vielen Beispiele und Anekdoten aus der Realität. Ich aktualisiere meine Schulungen und Beispiele grundsätzlich und nutze viel Aktuelles aus dem letzten halben Jahr. Die Teilnehmer freuen sich erfahrungsgemäß über ganz konkrete Inhalte.
Im Kurs Hacking und Penetration Testing geht es unter anderem darum, wie Hacker denken. Wie tickt ein klassischer Hacker?
Es gibt verschiedene Klassen von Hackern. Die Frage ist immer: Wer bedroht mich? Welches Szenario kommt für mein Unternehmen in Frage? Das klassische James-Bond-Szenario ist eher selten – außer vielleicht für Dax-Unternehmen, Banken und Behörden.
Grundsätzlich gilt: Wenn es Hackern zu schwierig wird, suchen sie sich einfach das nächste Opfer. Mal angenommen, es gibt zwei potentielle Ziele. Für das eine brauche ich einen Tag, für das andere 10 Minuten, dann nehme ich das leichtere. Low hanging fruits eben. Das heißt auch: Durch ein bisschen mehr an Sicherheit kann ich in der Regel 80-90 Prozent der Angriffe abwehren – statistisch funktioniert das.
Hast Du ein konkretes Beispiel aus Deinem Umfeld, wo Hacker großen Schaden angerichtet haben?
Wir haben z.B. einen Kunden mit 17 eigenständigen Tochtergesellschaften weltweit. Wir haben die Systeme gescannt und nach potentiellen Angriffspunkten gesucht. Bei einer Tochter außerhalb Europas haben wir eine Lücke im Exchange-Server entdeckt. Das Feedback der Tochter war: Kann nicht sein – es ist alles voll gepatcht. Dabei gab es für das eingesetzte Windows 2008 seit einiger Zeit gar keine Updates mehr. Die Verantwortlichen haben also nicht auf unsere Hinweise reagiert. Kurze Zeit später konnten wir live dabei zusehen, wie Exchange sich komplett verschlüsselt hat und alles offline ging – und keiner konnte mehr eingreifen.
Womit sollten sich Admins im Bereich Security in Zukunft beschäftigen?
Auf jeden Fall mit der Beobachtung der eigenen Angriffsoberfläche. Also mit der Frage: Was habe ich überhaupt alles online? Das ist für uns tägliches Geschäft, ist in der Breite aber noch nicht angekommen. Dabei ist kontinuierliches Monitoring sehr wichtig. Es herrscht oft eine „Burgenmentalität“: Ich stehe auf meiner Burg und gucke auf meine Kanonen und meine Soldaten. Dabei ist die Perspektive entscheidend: Der Hacker guckt von außen und sieht und sucht nur die eine Schwachstelle – z.B. im Burggraben. Man muss in der IT-Security also immer von außen nach innen gucken.
Lieber Markus, vielen Dank für Deine Zeit und Deinen Blick auf das Thema IT-Security. Wir freuen uns sehr, dass Du Teil unseres Dozenten-Teams bist! :-)
Alle Termine mit Markus Manske in 2021:
Hacking & Penetration Testing:
04.10.21 - 07.10.21
06.12.21 - 09.12.21
DDoS-Attacken erkennen und abwehren:
07.10.-08.10.21
Digitale Forensik:
08.11.-11.11.21
Kommentare