Was müssen Hacker können?

TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA beschreibt, über welche Fähigkeiten Security-Analysten verfügen müssen

Mit der zunehmenden Vernetzung wachsen die Gefahren, dass Unbefugte in die Unternehmenssysteme eindringen. Im Szenario der Abwehrmaßnahmen gegen digitale Eindringlinge werden professionelle Hacker wie die Security-Analysten der TÜV TRUST IT deshalb immer bedeutsamer. Sie müssen gleich auf mehreren Gebieten gute Spezialisten sein.

Hacker haben den Ruf, sich als findige Code-Knacker unerlaubten Zugriff auf Unternehmensinformationen zu verschaffen. Aber auch Security-Analysten agieren als Hacker, nur dass sie mit Projektauftrag durch bewusst initiierte Angriffe nach möglichen Schwachstellen in definierten Systemen fahnden. Sie werden im Szenario der Abwehrmaßnahmen immer wichtiger, um verborgene Sicherheitslücken zu identifizieren. Doch welche Fähigkeiten benötigen professionelle Hacker, für die es weder ein eindeutig formuliertes Berufsbild noch einen Ausbildungsgang mit staatlichem Abschluss gibt? André Zingsheim von der TÜV TRUST IT und selbst als Security-Analyst in der Rolle eines Hackers tätig, beschreibt die wichtigsten Kompetenzanforderungen:

1. Breites IT-Basiswissen: Wer nicht bereits tiefer in die digitalen Technologien eingetaucht ist, wird die Welt des Hackings kaum verstehen. Deshalb muss man Quellcodes lesen können und sich in der Funktionsweise von Applikationen, Betriebssystemen, Datenbanken und der Informationssicherheit auskennen. Ebenso wichtig ist aber die Fähigkeit, die verschiedenen IT-Disziplinen in abstrakter Hinsicht durchdringen zu können.

2. Tiefere Netzwerkkenntnisse: Da die Datenkommunikation über Netzwerkprotokolle erfolgt, muss er sich in diesem Feld zuhause fühlen. Dieser Bereich ist recht umfangreich, wenn man sich allein die gängigsten Protokolle TCP/IP, FTP, DNS, HTTP, SSH oder SSL/TLS anschaut.

3. Grundzüge der Programmierung beherrschen: Es muss die Fähigkeit bestehen, sich bei Bedarf schnell in eine neue Programmiersprache einarbeiten zu können. Denn bei der Recherche in technischen Infrastrukturen ist es zeitweise notwendig, eigene Skripte oder Exploits zu schreiben, mit deren Hilfe sich ein spezifisches Systemverhalten eruieren lässt.

4. Funktionsweise von Security-Tools verstehen: Bei den tiefgründigen technischen Sicherheitsuntersuchungen bedient sich der Analyst spezieller Werkzeuge, die in einem breiten Spektrum für unterschiedlichste Einsatzzwecke zur Verfügung stehen. Dafür muss er ein tiefes Verständnis mitbringen und vor allem in der Lage sein, sie intuitiv zu bedienen.

5. Einblick in relevante Normen: Zur Liste der fachlichen Wissensvoraussetzungen gehören auch ausreichende Kenntnisse in den Standards der Informationssicherheit wie etwa die ISO- und BSI-Normen.

6. Hohe analytische Fähigkeiten: Ohne ein intrinsisches Talent und analytisches Denken bleiben die Erkenntnismöglichkeiten sehr begrenzt. Schließlich muss das Verhalten und die Reaktion von IT-Systemen auf verschiedene Ereignisse und komplexe Sachverhalte hin untersucht werden. Dafür muss man erkennen, wie ein System mit Daten umgeht, was es mit ihnen macht, wie es sie verarbeitet und wie die Datenverarbeitungsprozesse zusammenhängen.

7. Querdenken können und neugierig sein: Wer kreativ nach Schwachstellen in den Sicherheitssystemen sucht, muss bewusst andere Perspektiven einnehmen und abseits von strukturierten Anleitungen über den Tellerrand schauen. Schließlich gilt es im Zweifelsfall das zu finden, woran das betreffende Unternehmen nicht gedacht hat. Dazu gehören auch ein experimentelles Talent und die Bereitschaft zum permanenten Lernen.

8. Soziale Kompetenzen und Empathie: Nötig ist zudem, die Menschen im Kontext der jeweiligen Unternehmenskultur zu verstehen, da auch Social Engineering-Maßnahmen Teil von Hacking-Projekten sind. Denn über konkrete Menschen wird versucht, an sensible Informationen zu gelangen. Dementsprechend benötigt man eine möglichst klare Vorstellung, wie Nutzer beispielweise auf eine Phishing-Mail reagieren.

Über:

TÜV TRUST IT GmbH
Frau Christina Münchhausen
Waltherstraße 49-51
51069 Köln
Deutschland

fon ..: +49 )0)221 96 97 89 – 0
fax ..: +49 )0)221 96 97 89 – 12
web ..: http://www.it-tuv.com
email : info@it-tuv.com

Die TÜV TRUST IT GmbH ist bereits seit vielen Jahren erfolgreich als IT-TÜV tätig und gehört zur Unternehmensgruppe TÜV AUSTRIA. Von ihren Standorten Köln und Wien aus fungiert das Unternehmen als der neutrale, objektive und unabhängige Partner der Wirtschaft. Im Vordergrund stehen dabei die Identifizierung und Bewertung von IT-Risiken. Die Leistungen konzentrieren sich auf die Bereiche Management der Informationssicherheit, Mobile Security, Cloud Security, Sicherheit von Systemen, Applikationen und Rechenzentren, IT-Risikomanagement und IT-Compliance.

Pressekontakt:

denkfabrik groupcom GmbH
Herr Wilfried Heinrich
Pastoratstraße 6
50354 Hürth

fon ..: 02233 / 6117 – 72
web ..: http://www.denkfabrik-group.com
email : wilfried.heinrich@denkfabrik-group.com