Berufliches
Das Hobby zum Beruf machen: Check!
Inhalt folgt
Das Hobby zum Beruf machen: Check!
Unterabschnitte von Berufliches
Schwerpunkte
Meine beruflichen Schwerpunkte drehen sich derzeit um IT-Sicherheit auf allen Ebenen. Aber auch die Schwerpunkte vergangener Zeiten möchte ich hier der Vollständigkeit halber festhalten.
Incident Response
Seit einigen Jahren arbeite ich hauptsächlich innerhalb des IR-Teams der HiSolutions. Erste Einsätze bei gehackten Unternehmens-Infrastrukturen absolvierte ich zwar schon, bevor die entsprechende Abteilung überhaupt als solche existierte, doch nur sporadisch und neben meiner eigentlichen Tätigkeit. Im Gegensatz dazu vergeht heute keine Woche ohne Einschläge, bei denen die Kollegen teils quer durch die Republik fahren, um das Schlimmste zu verhindern. Und auch wenn ich vorübergehend in den operativen IT-Betrieb gewechselt bin, um mit meinen Kollegen eine leistungsfähige und sichere Infrastruktur aufzubauen, brennt mein Herz nach wie vor für den Thrill vor Ort, wenn die IT sprichwörtlich brennt und die Nerven beim Kunden blank liegen.
Blank liegende Nerven sind hier ein gutes Stichwort. Incident Response ist zur Hälfte Management und zur Hälfte Seelsorge. Während man mit einer Hirnhälfte versucht, den Schaden zu erfassen, geeignete Gegenmaßnahmen einleiten zu lassen, schon einmal die verfügbaren Dienstleister durchgeht, benötigte Ansprechpartner und gesetzliche Vorgaben vor dem inneren Auge vorbeiziehen lässt und generell eine Schadensaufnahme vorbereitet, arbeitet die andere Hirnhälfte mit Hochdruck daran, die Kontaktpersonen beim Kunden zu beruhigen und sie auf ein managebares Stresslevel herunter zu bekommen. Und da fragt sich mancher, wieso wir meistens im Team anrücken…
Forensik
Forensik ist neben der Incident Response meine zweite große Leidenschaft. Das kleinteilige Suchen nach Hinweisen, das Nachverfolgen von Datenspuren und die teilweise überraschenden Ergebnisse faszinieren mich. Es gibt wenige Arbeiten, auf die ich mich den ganzen Tag konzentrieren kann, ohne davon erschöpft zu sein. Das digitale Wimmelbild, das sich bei einer forensischen Untersuchung offenbart, stellt hier eine große Ausnahme dar.
Ob es die Analyse während eines IR-Vorfalls ist, eine vermutete Straftat eines Mitarbeiters oder einfach nur ein verdächtiges Verhalten eines Gerätes - keine Untersuchung ist wie die andere und der Lernprozess hört nie auf.
Pentesting
Als Penetrationstester bin ich bei der HiSolutions 2016 eingestiegen. Ich war mehr oder weniger Quereinsteiger, hatte in diesem Bereich nur privat ein wenig Erfahrung gesammelt und so erwartete mich eine steile Lernkurve. Die ersten Pentests gemeinsam mit Kollegen fühlten sich noch seltsam an, griff man doch quasi mit Erlaubnis des Kunden seine Systeme an. Doch der Spieltrieb und die fachliche Herausforderung siegten und ich durfte so einige spannende Unternehmen von einer Seite kennenlernen, die anderen wohl immer verborgen bleiben wird.
Netzwerk-Administration
Ich bin ausgebildeter Netzwerk-Administrator, damals mit Schwerpunkt auf Cisco-Infrastruktur, doch mit den Jahren habe ich mit vielen anderen Herstellern gearbeitet. Und auch wenn ich heute beruflich nicht mehr oft direkt an Switchen und Firewalls konfiguriere, hilft mir dieses Wissen bei den meisten EInsätzen sehr. Einen Netzplan ad hoc lesen und verstehen sowie Firewallregeln auf ihre Wirksamkeit beurteilen zu können ist ein großer Vorteil. Gerade, wenn es heiß her geht und die Köpfe derer, die die entsprechende Infrastruktur betreuen, gerade jenseits von gut und böse sind.
BCM
Im Rahmen der Incident Response durfte ich auch diverse Male in den Bereich BCM (Business Continuity Management) hereinschnuppern, mit den Kunden entsprechende Pläne erarbeiten und bisher getroffene Maßnahmen auf Wirksamkeit und Angemessenheit beurteilen.
Ich bilde mir nicht ein, ein Experte auf diesem Gebiet zu sein, aber das Grundwissen, das ich in den letzten Jahren erlangt habe, leistet mir und meinen Kunden wertvolle Dienste.
Programmierung
Eher ein Steckenpferd als Schwerpunkt ist die Programmierung. Administrator wollte ich damals nicht sein, ich wollte Anwendungsentwickler werden! Das mangelnde Angebot an Ausbildungsstellen hat mich trotzdem in die Systembetreuung getrieben, doch programmieren tue ich immer noch gerne.
Heutzutage nutze ich diese Leidenschaft hauptsächlich, um die Firmen-Infrastruktur mit umfangreichen Scripten zu automatisieren und den Mitarbeitern Hilfestellungen an die Hand zu geben, die Abläufe vereinheitlichen und die Fehleranfälligkeit senken. Derzeitiges tool of the trade: bash!
Stationen
Über die Jahre haben sich eine Handvoll Arbeitgeber angesammelt, bei denen ich interessante und lehrreiche Jahre verlebt habe. Ich bin allen dankbar für die Erfahrungen, die ich dort machen durfte, auch wenn es mich teilweise schon nach kurzer Zeit zu neuen Ufern trieb.
HiSolutions AG, Berlin
Seit 2016 habe ich von Pentests und Incident Response über BCM-Grundlagen und Infrastruktur-Entwicklung schon so einige Fachbereiche kennengelernt und habe jeweils das beste daraus für mich mitgenommen. Speziell die Notfall-Einsätze im IR-Bereich machen immer eine Menge Spaß und haben ein enormes Lernpotenziel - für meine Kunden wie auch für mich.
Die HiSolutions AG ist dabei nicht nur fachlich ganz vorne mit dabei. Auch auf menschlicher Ebene wird das WIR groß geschrieben. Ich habe hier viele tolle Kollegen kennengelert und echte Freunde gefunden, die auch außerhalb der Firmenwelt ein wichtiger Teil meines Lebens geworden sind.
Ich bin glücklich, ein Teil dieser Firma zu sein und meinen Teil zum Erfolg beitragen zu dürfen. Awesome!
awesome current employer hacker’s choice fair working conditions
OpenLimit SignCubes GmbH, Berlin
Meine erste Station nach dem Umzug nach Berlin. Ich bin in der Qualitätssicherung für ein Java-basiertes Projekt eingestiegen, doch alle Beteiligten (mich eingeschlossen) merkten mit der Zeit, dass ich dort eine Fehlbesetzung war. Bei der Implementierung von Firewalls für Smartmeter Gateways und Gematik-Konnektoren fühlte ich mich als alter Netzwerker dann deutlich wohler und verbrachte meine restliche Zeit mit dieser Tätigkeit.
abat AG, Bremen
Mit bald Ende 20 entschloss ich mich, doch einmal eine Ausbildung zu machen, um “etwas auf dem Papier” zu haben. Die abat AG bildete Fachinformatiker für Systemintegration aus und ich bekam den Zuschlag. Es folgten drei Ausbildungsjahre, die eher durch die spannenden Aufgaben im SAP-, Windows- und Netzwerkadministrationsumfeld hervorstachen als durch neu Gelerntes - ich hatte durch mein langjähriges privates Interesse für everything IT einen gewissen Vorsprung, der mir gewisse Freiheiten in Bezug auf Lerndisziplin erlaubte.
Nach der Ausbildung blieb ich noch drei Jahre in der IT-Abteilung und unterstützte neben dem Tagesgeschäft die nächste Generation von Administratoren bei ihrer Ausbildung. Letztlich zog es mich aber weg aus Bremen und ich landete unerwartet in Berlin. SAP habe ich übrigens nie wieder angefasst und habe nicht vor, das zu ändern…
Selbstständigkeit
Ich hätte es besser wissen sollen. Nach einem Jahr war mir restlos klar, dass ich nicht für die Selbstständigkeit, auch nicht im IT-Sektor, gemacht bin. Reden wir nicht mehr drüber.
can’t recommendMedion AG / AMS GmbH
Ein dreijähriger Zwischenstopp in Essen bescherte mir meinen ersten Job in einer Hotline. Medion bzw. AMS, die die Medion-Hotline betrieben, suchte fähige Techniker und boy, war ich fähig! In meiner Zeit zwischen Headset und Testrechnern lernte ich vor allem, dem Kunden am Telefon nicht alles direkt zu glauben, was er erzählte, sondern zu erahnen, was er tatsächlich auf dem Bildschirm stehen haben könnte. Auch mein Umgang mit Menschen am anderen Ende der Leitung, egal wie sie ticken, wurde hier geschärft und ich bin am Ende um sehr viele wertvolle Erfahrungen reicher in meine Heimat zurückgezogen.
SLZ Quickborn gGmbH
Mein offizieller Berufseinstieg erfolgte als Administrator bei der SLZ, nachdem ich einige Monate in deren Räumlichkeiten Einsteiger- und Fortgeschrittenenkurse im Office- und Windows-Umfeld für Kinder, Erwachsene und Senioren gegeben hatte. Die Stelle wurde überraschend frei und ich hatte schneller einen Arbeitsvertrag in der Hand als ich den Mund wieder zuklappen konnte. Quasi irekt von der Schule in die Wirtschaft, das hätte ich mir nicht träumen lassen. Leider wurde die Firma nach wenigen Monaten abgewickelt, was mich schließlich aus der Heimat weg nach Essen führte.
Links
Viel habe ich in den Jahren nicht veröffentlicht, erst nach der heißen Phase der Corona-Pandemie habe ich mich wirklich getraut, auch öffentlich sichtbare Artikel außerhalb der internen Dokumentations-Blase meines Arbeitgebers zu schreiben. Die wenigen Artikel verlinke ich hier.
2024: Writeup zu SMTP Smuggling
Ein Vortrag auf dem letzten Chaos Communication Congress, der zum Jahreswechsel 2023/24 endlich wieder in Hamburg stattfinden durfte, sorgte für Zündstoff. Nicht nur, weil E-Mails offenbar durch böswillige Dritte nahezu beliebig gefälscht werden konnten, wobei einige bisher als brauchbar angenommene Sicherheitsmaßnahmen ausgehebelt werden konnten. Zudem gab es aufgrund der etwas komplexeren Thematik auch reichlich Verständnisprobleme. Ich habe versucht, die Thematik verstänblich aufzuarbeiten.
2023: Artikel über unerwartet erwartbare XSS-Schwachstellen
eider scheinen Sicherheitslücken wie XSS (Cross-Site-Scripting) auch im Jahre 2024 nicht totzukriegen zu sein. Es gibt immer noch Entwickler, die sich zu denken scheinen, dass Daten von fremden Systemen schon nicht gefährlich sein werden. Falsch gedacht, I present to you:
https://research.hisolutions.com/2023/04/xss-auf-abwegen/
2020: Security-Advisory zur Citrix-Schwachstelle CVE-2019-19781 (“Shitrix”)
2020 war auch für uns bei der HiSolutions ein ereignisreiches Jahr. Nicht zuletzt wegen einer in der Breite ausgenutzten Citrix-Schwachstelle, die viele Angreifer schneller ausnutzten, als die zuständigen Administratoren ihren Patchzyklus angepasst hatten. Die Folge: Glühende Hotlines, Notfallhilfe, Forensik satt. Über verschiedene Kanäle verbreiteten wir Informationen, wie die Schwachstelle beseitigt und die Systeme auf Kompromittierungen geprüft werden konnten.
https://www.hisolutions.com/detail/ransomware-angriffe-als-folge-von-shitrix
Forensik (WIP)
In der IT-Forensik habe ich gelernt, auch das komplett Unerwartete und Unwahrscheinliche als Möglichkeit nicht auszuschließen. Ich möchte euch einige kuriose Erkenntnisse und Fallstricke auch hier nicht vorenthalten.
Weitere Inhalte folgen
Incident Response
Incident Response - wenn beim Kunden die IT unkontrolliert herunterbrennt, können Incident Response-Teams in vielen Fällen helfen, die Brandherde zu löschen und die Panik in Momentum verwandeln.
Feuerwehreinsatz ohne Löschschlauch
Feuerwehr-Vergleiche bieten sich bei den meisten Incident Response (IR) Einsätzen an: Man löscht schwelende Feuer in der Infrastruktur, sucht in abgebrannten Servern nach überlebenden Datenfragmenten, zieht noch nicht brennende Systeme aus dem Gefahrenbereich heraus, betreut die betroffenen Mitarbeiter und koordiniert die Zusammenarbeit mit Dienstleistern, Behörden und anderen Rettungsstellen wie der Polizei, dem LKA oder auch mal dem BKA.
Natürlich reist ein IR-Team nicht mit Blaulicht im roten Drehleiterwagen an, auch wenn einige Betroffene sich das alleine wegen der Signalwirkung “jetzt passiert was!” sicher wünschen würden - der psychologische Effekt wäre bestimmt deutlich messbar. In meinem / unseren Fall würden jedoch immerhin mindestens eine Handvoll Menschen, teilweise im Anzug, teilweise in Alltagskleidung, vor der Türe stehen, schwere Koffer mit Ausrüstung im Gepäck, und sich als das angeforderte IR-Team vorstellen. Dann geht es aber ähnlich wie bei Feuerwehr- und Polizeieinsätzen weiter: Lageerfassung, Krisenstabsräume bereitstellen und Krisenstäbe definieren (beides sofern noch nicht durch den Kunden bereits geschehen), Identifizierung von aussage- und weisungsberechtigten Personen. Das technische Team baut die Analyse-Infrastruktur auf und checkt gemeinsam mit den technischen Ansprechpartnern die Lage, während das Krisenmanagement-Team sich Vorstände und Abteilungsleiter greift und sich daran macht, notwendige Maßnahmen zu definieren und umzusetzen, die aus kommunikationstechnischer und rechtlicher Sicht notwendig sind.
Krisenmanagement in a nutshell
Ohne an dieser Stelle zu tief ins Detail zu gehen (immerhin verdienen wir mit diesem Wissen unser Geld), gibt es viele Fallstricke, die ein Unternehmen oft nicht in Gänze auf dem Schirm hat. Informationspflichten und Deadlines in Richtung Kunden, Mitarbeitern, Geschäftspartnern und Behörden, die sich je nach Unternehmen stark unterscheiden können. Außerdem die Erfassung von betroffenen Geschäftsprozessen und deren Abhängigkeiten, von SLAs und anderen Vereinbarungen mit Geschäftspartnern und Kunden, die man aufgrund des Ausfalls möglicherweise nicht einhalten kann und vieles mehr.
Ein weiterer Faktor, den viele beim Begriff “Krisenmanagement” nicht direkt im Kopf haben werden, sind die Mitarbeiter selbst. Ein Vorfall, der einen IR-Einsatz auslöst, ist in den meisten Fällen für alle Beteiligten sehr stressigcitation needed. Eine Freundin sagte mir einmal “Stress macht leistungsfähig - aber dumm” und hätte es damit nicht besser treffen können. Wer sinnvolle Entscheidungen in einer Krisensituation treffen muss, sollte möglichst einen Zustand erreichen, in dem der Stress möglichst niedrig ist. Leicht gesagt, zugegeben. Doch auch das ist Teil des Krisenmanagements. Im Zweifel heißt das auch: Mitarbeiter sinnvoll beschäftigen, damit überhaupt nicht erst das Gefühl aufkommt, im Leerlauf zu sein; Führungskräften und Entscheidern Überblick und eine positive Aussicht zu verschaffen.
Ran an die Server - nur gucken, nicht anfassen!
Okay, die Überschrift ist etwas irreführend. Generell gesprochen werden die meisten IR-Teams heutzutage nicht von einem Systemhaus gestellt, sondern über eigenständige Firmen, die sich mit IT-Sicherheit beschäftigen oder sich gänzlich auf IR spezialisiert haben. Von Zeit zu Zeit hat man sogar die Möglichkeit, Mitarbeiter des Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Haus zu haben, die bei der Wiederherstellung der Betriebsfähigkeit unterstützen - ich würde trotz der durchweg positiven Erfahrungen dazu raten, dennoch möglichst darauf zu verzichten, in entsprechende Situationen zu kommen.
Als IR-Team sind wir in der Regel beratend unterwegs. Wir richten keine Server ein, wir legen keine Netzwerkkabel und wir konfigurieren nicht die Firewall. Das ist Aufgabe der entsprechend fachlich zuständigen Mitarbeiter und Dienstleister, deren Bemühungen wir koordinieren und Hilfestellungen bei der korrekten Umsetzung der Maßnahmen geben. Natürlich kommt es von Zeit zu Zeit trotzdem einmal vor, dass wir Zugänge zu Firewalls oder SIEM-Systemen bekommen, um Logdaten und Auswertungen selbstständig zu ziehen, aber die Regel ist das nicht - und soll es auch nicht sein.
Des Weiteren unterstützen die technischen Experten das Krisenmanagement-Team bei der Erfassung technischer Abhängigkeiten und realistischen Wiederherstellungszeiten für die Planung auf der nächsthöheren Ebene. Die beiden Teams arbeiten Hand in Hand, um Blocker möglichst zeitnah ausfindig zu machen und entsprechend schnell gegensteuern zu können. Oft betreuen Krisenmanager und “Techies” auch separate Krisenstäbe, die sich dann im Nachgang koordinieren. Dabei wird versucht, die entsprechenden Krisenstäbe so klein wie möglich zu halten und von dort aus Aufgaben zu delegieren, denn nichts hemmt eine Entscheidung mehr als zu viele Entscheider, die alle erst einmal alles durchdiskutieren wollen.
Um Geräte zu identifizieren, die kompromittiert oder auf andere Art in den Vorfall eingebunden sind, müssen teilweise viele Daten untersucht werden, Hierfür werden in der Regel mit forensischen Tools Abbilder der entsprechenden Datenträger erstellt, die dann auf unseren eigenen Systemen vor Ort oder remote untersucht werden können. Ab und zu müssen Daten von solchen Abbildern wieder bereitgestellt werden, ab der Prüfung und Übergabe der Daten endet aber auch wieder unsere Zuständigkeit. Generell versuchen wir, eine befallene Infrastruktur als solche nach Möglichkeit offline zu nehmen und mit frischen Systemen den Betrieb wiederherzustellen. Das ist nicht immer vollumfänglich möglich, hier finden sich dann andere Lösungen, um eine weitere Gefährdung von Infrastruktur, Daten und Menschen so weit wie möglich einzudämmen.
Wann sind die endlich wieder weg?
Spätestens mit dem Erreichen eines stabilen Notbetriebs und eines Fahrplanes für die weitere Wiederherstellung oder den Neuaufbau der Infrastruktur ist unser Einsatz als IR-Team meistens vorbei. Andere Firmen haben möglicherweise andere *Exit Points" definiert, und auch wir lassen natürlich einen Kunden, der weiterhin Unterstützung benötigt, nicht im Regen stehen. In so einem Fall besteht immer die Möglichkeit, dass ein reguläres Team die Betreuung übernimmt, das bei BCM- oder Infrastrukturthemen beratend zur Seite steht - dann allerdings mit einem regulären Vertrag. Die IR-Teams sollten natürlich so schnell wie möglich wieder für den nächsten möglichen Vorfall (hoffentlich bei einem anderen Kunden) zur Verfügung stehen! Auch hier wieder der Feuerwehr-Vergleich: Ist das Feuer gelöscht und der Ort des Vorfalls gesichert rücken die Einsatzkräfte wieder ab und die Polizei, die Reinigungskräfte und die zuständigen Planungskräfte für den Wiederaufbau übernehmen.
Penetrationstests (WIP)
Der Anfang meines Ausflugs in die IT-Security. Fallstricke bei den üblichen Tools und Erkenntnisse aus dem einen oder anderen Pentest finden hier ihren Platz.
Weitere Inhalte folgen