Meet the Team: Security Audits & PCI

14. März 2023

Foto: Nur Ahmad (links), Senior Consultant Security Audits & PCI. Bastian Pütz, Managing Consultant Security Audits & PCI.

Sicherheit hat 1000 Facetten. Finde Deinen Bereich in der IT Security.

IT Security ist das Hype-Thema unserer Zeit. Die Jobbeschreibungen der Stellenbörsen sind vielfältig und häufig gefüllt mit kaum verständlichen Buzzwords. In unserer Interviewreihe geben Veteranen und Novizen der usd deshalb Einblicke in ihre Arbeit und damit in die unterschiedlichen Bereiche der IT Security. Mit Nur Ahmad und Bastian Pütz sprechen wir über Ihren Bereich Security Audits & PCI.

Nur, du hast Technische Informatik studiert. Was hat dich dazu bewegt, nach deinem Abschluss in den Bereich IT-Sicherheit einzusteigen?

Nur Ahmad: IT-Sicherheit finde ich besonders spannend, weil dort tagtäglich neue Herausforderungen entstehen – nicht zuletzt, da sich mit der kontinuierlichen Weiterentwicklung der IT auch ständig neue Möglichkeiten für Angriffe auftun. Um solche Angriffe zu verhindern bzw. abwehren zu können, muss man ständig am Ball bleiben und sich weiterbilden. So wird es niemals langweilig und man bleibt immer auf dem neusten Stand in puncto neuste Technologien und Co.

Bastian, erzähl doch mal zunächst kurz, was euer Team macht.

Bastian Pütz: Wir beraten und auditieren Unternehmen weltweit gemäß internationaler Sicherheitsstandards, insbesondere dem sogenannten Payment Card Industry Data Security Standard, kurz PCI DSS. Wir als Unternehmen und viele unserer Teammitglieder sind offiziell als “Qualified Security Assessor” akkreditiert. Das heißt, dass wir Unternehmen zu den Sicherheitsvorschriften nicht nur beraten, sondern sie auch offiziell nach dem Standard zertifizieren dürfen.

Sicherheitsmaßnahmen kontrollieren und bestätigen. Das klingt erstmal recht eintönig.

BP: Auf den ersten Blick vielleicht. Tatsächlich ist gerade unser Job aber sehr abwechslungsreich. Jeder Kunde hat seine ganz eigene IT-Umgebung und Datenverarbeitungsprozesse. Vor Ort bekommen wir Einblicke, die normalerweise kaum jemand bekommt. Bei einem kleinen Reisebüro klingt das vielleicht erstmal nicht spannend, aber auch dort gibt es komplexe Prozesse und Softwarelösungen, die sehr interessant sind. Bei einem Weltkonzern sieht das dann noch einmal ganz anders aus. Es gibt für uns auch keine One-size-fits-all-Lösung, die man einfach auf jedes Unternehmen anwenden kann. Wir müssen die individuelle Situation jedes einzelnen Kunden wirklich nachvollziehen und dann eine praktikable Lösung entwickeln. Das Schöne ist, dass wir damit ganz konkret helfen können.

Nur, es gibt bei der usd die Pentester*innen des HeroLabs, Berater*innen im Bereich Security Consulting und euren Bereich, Security Audits & PCI. Warum hast du dich gerade für dieses Team entschieden?

NA: Die Tätigkeiten vereinen Technik und Beratung, was mir persönlich beides wichtig ist. Man hat als Berater*in viel mit Menschen zu tun und lernt außerdem durch die unterschiedlichen IT-Systeme die neusten Technologien kennen. Das ist toll. Außerdem haben wir durch unsere internationalen PCI Kunden die Möglichkeit, an spannende Orte zu reisen. Beispielsweise waren unsere Teamkolleg*innen bereits in Schweden, Spanien, Tunesien und den USA.

Ihr seid also auf der ganzen Welt unterwegs und arbeitet eigenständig in euren Projekten. Kann man euch denn dann überhaupt als Team bezeichnen?

NA: Absolut. Ich hätte vorher nicht gedacht, dass die Zusammenarbeit und der Zusammenhalt zwischen den Kolleg*innen so gut funktioniert. Quer über alle Standorte und sogar Fachbereiche hinweg sind wir super vernetzt und die Kommunikation läuft überraschend gut. Außerdem versprühen viele Kolleg*innen hier so einen Macher-Spirit, der echt ansteckt. Man bekommt richtig Lust, aktiv zu werden und IT-Sicherheit zusammen voranzubringen.

BP: Um unseren Kunden das beste Ergebnis zu liefern, müssen wir sogar ein gutes Team sein. Es ist wichtig, dass jede*r von uns auf die unterschiedlichen Erfahrungen und das Spezialwissen aller Teamkolleg*innen zurückgreifen kann. Deshalb stehen wir über unterschiedliche Kanäle in ständigem Austausch miteinander und kommen mindestens einmal pro Woche zu einem ausführlichen Meeting zusammen.

Welche Eigenschaften sollte eine neue Kollegin oder ein neuer Kollege in euer Team mitbringen?

BP: Im Idealfall hat er oder sie ein gutes Verständnis von Informationssicherheit, insbesondere auch von den technischen Aspekten. Natürlich kann oder weiß niemand alles, deshalb lernen wir ständig voneinander und miteinander und bilden uns weiter. Das klappt aber nur, wenn man sich auch wirklich für IT-Sicherheit interessiert und Lust auf das Thema hat. Außerdem sollte man eine lösungsorientierte und pragmatische Denkweise haben, weil es genau das ist, was unseren Kunden hilft.

NA: Man muss den Job und die Verantwortung, die man damit trägt, absolut ernst nehmen und grundsätzlich ein hilfsbereiter Mensch sein. Außerdem sollte man sowohl selbstständig als auch im Team gut arbeiten und auch Lust haben, hin und wieder zu reisen.

Wie startet man bei euch als Einsteiger*in? Wie wird man fachlich „fit”?

BP: Zunächst durchläuft jede*r das “Become a Hero”-Programm, um erstmal anzukommen, Kolleg*innen kennenzulernen und einen Überblick über die gesamte usd zu bekommen. Die einzelnen Teams haben dann jeweils ihr eigenes Einarbeitungskonzept. Bei uns im Team gibt es einen strukturierten Plan für die fachliche Einarbeitung, den wir ständig optimieren.

NA: Das meiste, sei es der Umgang mit Kunden oder die fachliche Expertise, lernst du direkt durch Kundenprojekte. Bei auftauchenden Wissenslücken kannst du auf die Hilfe deiner Kolleg*innen vertrauen und einiges im Nachhinein aufarbeiten. Außerdem bekommt jede*r Einsteiger*in sowohl Buddy als auch Mentor zur Seite gestellt. Mentoren sind erfahrene Kolleg*innen, die immer für fachliche Fragen zu Verfügung stehen, wichtige Tipps geben und deine fachliche Entwicklung begleiten. Buddys sind Ansprechpartner für alles, was im Arbeitsalltag so anfällt, auch, wenn mal Probleme auftauchen. Im Endeffekt kannst du aber immer mit allen Fragen auf alle Kolleg*innen zugehen, und dir wird gerne geholfen.

Jemand mit eurer Qualifikation kann heutzutage fast überall arbeiten. Warum habt ihr euch für die usd entschieden?

BP: Ich habe eine Ausbildung zum Systemintegrator gemacht und danach Informatik mit dem Schwerpunkt Informationssicherheit studiert. Mit diesem Schwerpunkt stolpert man in Köln fast zwangsläufig über die usd, und wenns nur über die usd Hackertage ist. Ich habe 2014 als Werkstudent angefangen und wurde gleich integriert und durfte schnell selbst Verantwortung übernehmen. Die Entscheidung, nach meinem Abschluss 2016 voll einzusteigen, ist mir daher leicht gefallen.

NA: Bei der usd hatte ich ein sehr angenehmes Bewerbungsgespräch und fand die anwesenden Kolleg*innen sehr sympathisch. Außerdem hatte ich hier das Gefühl, mitwirken zu können und eigene Ideen einzubringen. Und das hat sich auch bestätigt: Ich hatte zum Beispiel kurz nach meinem Start mal angedeutet, dass ich Lust hätte, mich im Hochschulumfeld zu engagieren und war bereits kurz danach schon mitten in Gesprächen und Vorbereitungen für ein neues Kooperationsprojekt mit einer Uni. Das ist schon cool.

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien