Meet the Team: usd HeroLab

25. September 2019

Foto: Matthias Göhring (links), Managing Consultant usd HeroLab, und Julian Frey, Consultant usd HeroLab

Sicherheit hat 1000 Facetten. Finde Deinen Bereich in der IT Security.

IT Security ist das Hype-Thema unserer Zeit. Die Jobbeschreibungen der Stellenbörsen sind vielfältig und häufig gefüllt mit kaum verständlichen Buzzwords. In unserer Interviewreihe geben Veteranen und Novizen der usd deshalb Einblicke in ihre Arbeit und damit in die unterschiedlichen Bereiche der IT Security. Mit Matthias Göhring und Julian Frey sprechen wir über ihren Bereich usd HeroLab.

usd HeroLab klingt ja spannend. Matthias, kannst du uns erklären, was euer Team so macht?

Matthias Göhring: In erster Linie machen wir technische Sicherheitsanalysen. Das beginnt damit, dass unser Service Management einen Kick-off-Termin vereinbart, in dem unsere Analysten zusammen mit dem Kunden das weitere Vorgehen abstimmen. Anschließend beginnen wir beispielsweise bei einem Pentest damit, Informationen über die Zielsysteme zu sammeln. Dabei setzen wir auch viele selbstentwickelte Tools ein. Somit identifizieren, verifizieren und dokumentieren wir Schwachstellen in den Zielsystemen und bewerten die Auswirkungen auf die Systeme und Daten. Wir geben unserem Kunden täglich Rückmeldung über gefundene Schwachstellen und nutzen diese nur nach Rücksprache aus. Zum Abschluss schreiben wir einen Bericht, der die Schwachstellen und Maßnahmenempfehlungen zusammenfasst, sodass die Schwachstellen durch den Kunden entsprechend behoben werden können.

Müsst ihr dafür vor Ort beim Kunden sein oder arbeitet ihr remote?

Julian Frey: Die meiste Zeit arbeiten wir remote. Es kann jedoch mal sein, dass wir Pentests nur vor Ort durchführen können, da sich beispielsweise die Zielsysteme in einem speziell abgesicherten, internen Netzwerk befinden.

Julian, du hast Wirtschaftsinformatik studiert. Was hat dich dazu bewegt, nach deinem Abschluss in die IT-Sicherheit einzusteigen?

JF: Schon während meines Studiums bekam ich durch verschiedene Vorlesungen Einblicke in das Thema. Ausschlaggebend war letztendlich meine Masterthesis, bei der ich mich mit dem Thema Penetration Testing von Webapplikationen auseinandergesetzt habe.

Matthias, du bist Julians Teamleiter und hast ihn, gemeinsam mit seinem Buddy, während der Einarbeitung in die Leistungsfelder Security Analysis & Pentests begleitet. Erzähl mal bitte kurz, was ein Buddy in eurem Team so macht.

MG: Der Buddy begleitet neue Kolleginnen und Kollegen durch die Einarbeitung, vom ersten Tag bis zur Zertifizierung als „usd HeroLab Certified Professional“. Er beantwortet nicht nur organisatorische Fragen, sondern gibt auch inhaltliche Tipps rund um den Start in die Projektarbeit. Zusammengefasst ist der Buddy also die Starthilfe in den neuen Job.

JF: Der Buddy ist der erste Ansprechpartner für Fragen zur Einarbeitung sowie zu fachlichen Themen. Am Anfang konnte ich meinen Buddy zu den Kundenprojekten begleiten und habe dadurch wertvolle Einblicke in die Projektarbeit erhalten.

Ihr arbeitet an unterschiedlichen Standorten, Julian in Stuttgart und Matthias in Neu-Isenburg. Wie hat das denn funktioniert?

MG: Mit Fernbeziehungen kenne ich mich aus (lacht). Die Zusammenarbeit funktioniert durch gegenseitige Besuche und viele Telefonate.

JF: Genau, die Kommunikation ist das A und O. Da wir ständig im Austausch stehen, spielt es keine Rolle, ob wir am selben Standort oder standortübergreifend zusammenarbeiten.

Die Leistungen des usd HeroLab sind fachlich sehr anspruchsvoll. Wie sieht bei euch der Einstieg ins Team aus?

MG: Wir haben ein recht umfangreiches Einarbeitungsprogramm, in dem man die verschiedenen Bereiche der usd, das HeroLab, unsere Infrastruktur sowie die unterschiedlichen Tools kennenlernt. Das Programm beinhaltet außerdem noch eine umfassende fachliche Einarbeitung. Danach unterstützt man erfahrene Kollegen und Kolleginnen bei der Projektarbeit. Wenn das gut funktioniert, beginnt die mehrtägige Abschlussprüfung, in der man unter Beweis stellt, dass man ein Projekt eigenverantwortlich durchführen kann. Anschließend erhält man die Zertifizierung als „usd HeroLab Certified Professional“.

JF: Mir hat vor allem unser PentestLab geholfen, um die Schwachstellen in der Praxis kennenzulernen.

Welche Eigenschaften sollte eine neue Kollegin oder ein neuer Kollege in euer Team mitbringen?

MG: Am wichtigsten ist die Begeisterung für unsere Mission „more security“ und den Wunsch, die Sicherheit unserer Kunden zu verbessern. Dazu gehört die Leidenschaft für das Thema IT-Sicherheit, die Bereitschaft, Neues zu lernen und jede Menge Neugier. Denn nur, wenn man Dinge hinterfragt, können Schwachstellen gefunden werden. Ein solides Grundwissen rund um IT und häufige Schwachstellen ist natürlich auch wichtig. Der Rest kommt dann mit der Einarbeitung und der Erfahrung.

JF: Für den Job benötigt man definitiv eine Affinität für IT Security und er oder sie sollte wissbegierig im Hinblick auf neue Technologien sein.

Die Welt der IT Security bietet viele Möglichkeiten. Warum habt ihr euch für die usd entschieden?

JF: Das Konzept der usd AG hat mich direkt angesprochen, ich wollte schon immer mal ein Hero sein (mit einem Augenzwinkern). Das Team besteht aus vielen jungen aber auch erfahrenen Kollegen, die regelmäßig im offenen Austausch sind. Auch die regelmäßigen Workshops und die Möglichkeit, sich regelmäßig weiterbilden zu können waren für mich entscheidend.

MG: Überzeugt haben mich die Kollegen und das Arbeitsumfeld und nicht zuletzt die Tatsache, dass man die Chance bekommt, eigene Ideen in die Tat umzusetzen.

Wenn ihr Euer Team mit drei Wörtern beschreiben müsstet, welche wären das?

MG: Bei uns gilt: „Einer für alle, alle für Einen“. Allerdings sind das mehr als drei Wörter (lacht). Daher: Familiär, lösungsorientiert und kreativ.

JF: Hilfsbereit, wissbegierig, international.

Im ersten Interview der Reihe „Meet the Team“ stellten Nur Ahmad und Bastian Pütz den Fachbereich PCI Security Services vor.

Im zweiten Teil der Interviewreihe stellten Katharina Imgram und Maximilian Müller den Fachbereich Security Consulting vor.

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien