Für eine heutige erfolgreiche Unternehmensdigitalisierung ist eine vollumfängliche IT-Sicherheitsstrategie, die unter anderem das Ausfallrisiko minimiert, Schutzmaßnahmen vor Hackern beinhaltet und ein konzeptionelles Notfallmanagement vorsieht, unabdingbar. Tim Loosen ist Teil des Blue Teams bei der Certified Security Operations Center GmbH (CSOC) in Bornheim und wir durften ihm ein paar Fragen zu seinem Job und Alltag stellen.
Wie bist du zur CSOC gekommen und seit wann bist du hier schon tätig?
Damals in der Schule hatte ich als Wahlpflichtfach Cyber Security belegt und merkte schon nach den ersten Einblicken, dass dies mein Thema ist. Für mich war es immer sehr wichtig, einen abwechslungsreichen Beruf auszuüben, in dem ich viele verschiedene Aspekte erleben kann und nicht durchgehend einseitige Arbeiten mache, wie z.B. „nur“ zu programmieren. Es sollte einfach nicht so schnell langweilig werden und eine gewisse Abwechslung gegeben sein.
Ich bin nun seit anderthalb Jahren bei der CSOC beschäftigt und habe vorher an dem Heinrich-Hertz-Europakolleg der Bundesstadt Bonn bei der Technisch-Mathematische Studiengesellschaft mbH eine Ausbildung als Fachinformatiker in der Systemintegration absolviert.
Wie sieht dein typischer Arbeitstag im CSOC aus?
Bei uns gibt es keinen typischen Tag, der immer gleich abläuft. Einer der größten Aufgabenbereiche beinhalten die Schichten. Das heißt, wir haben verschiedene Schichten in der Leitstelle, die diverse Aufgaben mit sich bringen. Es ist ganz unterschiedlich, wie oft man in der Woche Schichten hat. Das kann von mindestens einmal die Woche, bis zu fünfmal die Woche sein. Themenschwerpunkt bei dieser Aufgabe ist es, die Alarme, die reinkommen, zu bewerten und diese auf Kritikalität zu prüfen. Ansonsten beschäftigen wir uns viel mit den Daten der Bestandskunden, die auf Vollständigkeit, Richtigkeit und Funktionalität geprüft werden müssen. Dies erfolgt mit den Routine-Datenanalysen. Ein weiterer Arbeitsbereich ist das Onboarding von neuen Kunden, im Rahmen dessen wir mit den Kunden gemeinsam die neuen Regeln anschauen. Jeder Kunde hat eine andere Infrastruktur und hat eine andere Netzwerkumgebung, deswegen ist auch dies nie gleich. Darüber hinaus betreuen wir verschiedene interne Projekte und sind für diese zuständig, wie Wissensdatenbank, Ticket-System und noch vieles mehr. Man sieht also, es ist sehr abwechslungsreich und selten die gleiche Arbeit.
Was ist das Aufregendste, was du je in deinem Job erlebt hast?
Es ist immer aus Sicht von Analysten ein Spannungshighlight, wenn die Wahrscheinlichkeit besteht, dass eine Kundeninfrastruktur angegriffen wurde. Hier untersucht unser Team dann alles ganz genau und sucht nach virtuellen Fußabdrücken (Footprints), um dadurch im Idealfall die Ursache des Problems herauszufinden und nachzuvollziehen, was genau passiert ist, um dann den Kunden optimal zu unterstützen. Es passiert nicht sehr häufig, dass ein klarer Angriff beobachtet und tiefgreifend analysiert werden muss, daher ist dies ein sehr spannendes Ereignis und für mich bisher das Aufregendste.
Welche Gedanken und Gefühle hattest du während des ersten Incidents?
Es war mein erster Angriff, daher Angst, Spannung, Aufregung und Hunger, weil die Mittagspause später stattfinden musste. Generell konnte ich aber von diesem Vorfall mitnehmen, dass wir in der Leitstelle immer auf der Hut sein müssen. Besonders wenn Alarme analysiert werden, muss man sich bewusst sein, welche Entscheidung hier getroffen wird und welche immensen Auswirkungen diese mit sich bringen kann. Es existiert wenig Spielraum für Fehler, da schon die kleinsten Fehler verheerende Auswirkungen haben können, somit gibt es keinen Platz für Unsicherheiten.
Wie würdest du euer SOC als Unternehmen und euer Team beschreiben?
Die Firmenstruktur ist eher klein, was aber auch mehr Flexibilität in der Arbeitsweise ermöglicht, was man in großen Unternehmen so nicht kennt, da es hier lange Freigabeprozesse benötigt. Bei uns herrscht eine flache Hierarchieebene, es ist alles sehr nah und daher haben wir kurze Kommunikationswege, was die Arbeit erleichtert. Zudem ist bei uns eine lockere und freundschaftliche Atmosphäre vorzufinden. Besonders hervorheben würde ich hier auch meine Kolleginnen und Kollegen, ohne sie wäre vieles nicht möglich. Man muss verstehen, dass ein Team unverzichtbar ist, da eine einzelne Person nicht alles wissen kann. Wir haben eine Wissensdatenbank aufgebaut, um die verschiedenen Kenntnisse der Team-MitgliederInnen zu bündeln und wir stehen in reger Kommunikation miteinander. Wir lernen viel voneinander und unterhalten uns über diverse Themen, falls Fragen bestehen. Mir war besonders wichtig, dass es auch Weiterbildungsmöglichkeiten gibt und auch Teamevents, die Spaß machen.
Was meinst du, welche Skills muss man mitbringen, um Analyst in einem Blue Team zu werden und was würdest du einer Person empfehlen, die bei euch anfangen möchte?
Man sollte bereits ein umfangreiches IT-Grundwissen mitbringen und ein Auge für das Wesentliche haben. Des Weiteren ist es unerlässlich, eine gewisse Affinität für das Thema Cyber Security mitzubringen. Hier handelt es sich um einen leidenschaftlichen Beruf, der sich stetig weiterentwickelt und so nicht nur ein berufliches, sondern auch ein privates Thema für jemanden darstellen sollte. Zudem sollte man belastbar sein und auch ein starkes Durchhaltevermögen haben.
Jeder Person, die sich für diesen Beruf interessiert, würde ich mitgeben, dass es eine Notwendigkeit ist für das Thema zu brennen, denn nur so kann man Spaß an der Sache finden und auch präzise arbeiten. Ich würde den Job als unglaublich abwechslungsreich und als zukunftssicher beschreiben, denn der Bereich Cyber Security gewinnt mehr und mehr weltweit an Bedeutung. Deswegen würde ich diesen Beruf jedem empfehlen, der den Spaß und die Begabung mitbringt.
Und zum Abschluss: Cyber Security ist wichtig, weil …
wir ohne, Hackern schutzlos ausgeliefert und gefährdet wären.