Arbeitsalltag
Wie passt Ihre Rolle als Mission-Critical Security Engineer in das Unternehmen?
Im Unternehmen hat jede Kundin und jeder Kunde ein eigenes Customer-Team und parallel dazu gibt es Services. Services ist eine Gruppe von Teams, die IT-Dienstleistungen direkt für Schuberg Philis und indirekt für unsere Kundinnen und Kunden bereitstellen, indem sie Halbprodukte liefern, die die Customer-Teams als Service anbieten. Das Security-Team ist ein zentrales Team innerhalb der Services und besteht aus unserem CISO und mehreren Security Engineers wie mir. Unser Team ist verantwortlich für die Erstellung und Umsetzung einer Sicherheitsvision und -strategie, die Nachverfolgung von Schwachstellen, das Erstellen und Verfolgen von Sicherheitshinweisen, das Teilen von Sicherheitsinformationen, Wissen und Best Practices, die Leitung teamübergreifender Sicherheitsvorfälle, die Implementierung von Sicherheitstools und den Aufbau der Security-Community innerhalb von Schuberg Philis. Außerdem haben wir eine starke Sicherheitskultur im gesamten Unternehmen. Alle im Customer-Team sind tatsächlich für Sicherheit verantwortlich, aber jedes Team hat eine eigene Security-Lead-Rolle. Die Security-Leads stellen sicher, dass die Kundenumgebung sowohl insgesamt als auch speziell gemäß den Vereinbarungen mit der Kundin oder dem Kunden sowie den grundlegenden Sicherheitsstandards und den Best Practices von Schuberg Philis abgesichert ist. Im Gegenzug hat jede Person im Security-Team mehrere Security-Leads, mit denen sie regelmäßig spricht. Wir fragen: Wie läuft es sicherheitstechnisch in Ihrem Team? Brauchen Sie Unterstützung vom Security-Team? Können wir Dinge zentral verbessern? Es gibt immer Probleme, die sich auf eine bestimmte Kundin oder einen bestimmten Kunden beziehen, aber auch solche, von denen mehrere Teams gleichzeitig betroffen sind. Es ist sinnlos, wenn zwanzig Personen isoliert am gleichen Problem arbeiten. Genau hier greifen wir ein: Wenn wir Überschneidungen zwischen Problemen sehen, die mehrere Teams betreffen, arbeiten wir gemeinsam an einer Lösung. Darüber hinaus haben wir alle zwei Wochen Check-ins, bei denen sich alle Security-Leads und das Security-Team treffen.
Wie sieht ein typischer Tag aus?
Ich bin fünf Tage pro Woche im Büro, weil ich lieber vor Ort mit Menschen spreche. Eines der Dinge, an denen ich gearbeitet habe, ist ein Tool, das wir intern nutzen und zusätzlich als Open-Source auf GitHub veröffentlicht haben. Darüber hinaus automatisiere ich unsere Arbeit mithilfe von Python und CI/CD-Pipelines. Ein weiterer großer Teil meiner Arbeit findet in Splunk statt, dem Tool, das wir für Security Monitoring verwenden. Dort findet ein Großteil unserer Erkennung statt: Wir erhalten Protokolle, analysieren die Protokolle und erstellen anschließend Alerts. Mein Fokus liegt auf der Analyse dieser Protokolle und der Erstellung darauf basierender Erkennungsregeln. Diese Regeln lösen wiederum Alerts aus, die nachverfolgt werden müssen. Die Nachverfolgung erfolgt meist durch die Mission-Critical Security Engineer-Rolle, die in dieser Woche für das Reagieren auf Vorfälle verantwortlich ist und im entsprechenden Slack-Channel angekündigt wird, dem das gesamte Unternehmen folgen kann. Wenn man Sicherheitsfragen hat, kann man sich jederzeit melden; Kolleginnen und Kollegen tun das manchmal wegen einfacher Themen wie einem Passwort-Reset, aber manchmal auch wegen Sicherheitsvorfällen, die durch präventives Monitoring von Kundenumgebungen oder aus den Nachrichten sichtbar werden, die wir immer im Blick haben.
Was passiert, wenn ein möglicher Sicherheitsvorfall vorliegt?
Incident-Management kann durch eine Kollegin oder einen Kollegen ausgelöst werden, aber auch durch Schwachstellenmeldungen des NCSC (Nationaal Cyber Security Centrum) oder durch Nachrichtenmeldungen. Angenommen, wir erhalten eine neue Warnmeldung über eine schwerwiegende Schwachstelle in einer Softwarekomponente, die in der Branche und bei unseren Kundinnen und Kunden häufig genutzt wird. Sobald eine solche Schwachstelle bekannt wird, triagieren wir. Das heißt, dass wir prüfen: Alle sagen, dass dies eine kritische Schwachstelle ist – aber ist sie für uns und die Lösungen, die wir bereitstellen, tatsächlich relevant? Ist sie auch kritisch für unsere Kundinnen und Kunden und damit für uns? Dann tauchen wir tiefer ein, um zu verstehen, was das eigentliche Problem ist. Wir versuchen, alle verfügbaren Informationen auf unsere Situation sowie die unserer Kundinnen und Kunden anzuwenden. Wenn wir feststellen, dass eines unserer Teams betroffen ist, wird ein Incident-Management-Team gebildet, um das Problem zu lösen. Gemeinsam mit dem Team stellen wir sicher, dass alle Kundinnen und Kunden informiert werden, und wir entwickeln einen Plan, um das Problem so schnell wie möglich zu beheben. Wir sind in der Regel sehr schnell, wenn es darum geht, Schwachstellen nachzuverfolgen und daran zu arbeiten.
Unternehmenskultur
Schuberg Philis betrachtet Sicherheit als geschäftskritisch. Wie zeigt sich das im Alltag?
Derzeit gibt es bereits ein sehr hohes Sicherheitsniveau, das in jeder Vertragsverhandlung integriert ist. Kundenteams erhalten bei Bedarf Unterstützung des Security-Teams, falls sie Fragen oder Sicherheitsvorfälle haben. Zusätzlich gibt es das bereits erwähnte Schwachstellenmanagementsystem. Darüber hinaus können Kundinnen und Kunden zusätzliche Sicherheitsservices hinzufügen. Schuberg Philis konzentriert sich insgesamt auf Prävention und Verteidigung. Die Tatsache, dass wir bisher nicht viele große Eskalationen hatten, die außer Kontrolle geraten sind, hängt auch damit zusammen, dass wir versuchen, Sicherheit so früh wie möglich in jeden Lösungsprozess einzubauen. Das unterscheidet uns von Unternehmen mit Security Operations Center (SOC), in denen man täglich eine Flut von Alerts über kleinere Sicherheitsvorfälle erhält. Dann wird man mit Informationen überflutet, was zu einer Alert-Müdigkeit führt, und man hört auf, aufmerksam zu sein. Das wollen wir vermeiden. Kürzlich haben wir einen neuen Managed Detection and Response (MDR)-Service aufgebaut. Wir haben ihn zunächst für interne Nutzung entwickelt und wollen ihn jetzt auch Kundinnen und Kunden anbieten. Wir sind überzeugt, dass wir MDR besser machen können. Mit diesem neuen Service würden wir ein gesamtes Unternehmen abdecken, nicht nur eine spezifische Anwendung. Wir wissen, dass wir einen Großteil der Aufgaben eines traditionellen SOC-Security-Analysten mit einem SOAR-Tool (Security Orchestration, Automation and Response) automatisieren können. Kurzum, wir möchten so viel wie möglich automatisieren.
Wie ermöglicht die Unternehmenskultur diese Effizienz?
Es sind mehrere Faktoren. Bei Schuberg Philis ist Sicherheit nicht nur eine Richtlinie oder ein Regelwerk; sie ist so tief in unserer Kultur verankert, dass wir sagen, sie ist Teil unserer DNA. Wir sind alle Sicherheits-Nerds oder -Freaks und haben eine misstrauische Denkweise, die ständig fragt: Was könnte schiefgehen? Wie würde jemand diese Schwachstelle ausnutzen? Dieser Ansatz ermöglicht es uns zu demonstrieren, dass echte Sicherheit über bloße Compliance hinausgeht; wir pflegen tatsächlich minimale Sicherheitsrichtlinien, um ein kontinuierliches Nachdenken und Verstehen der Sicherheitsauswirkungen zu fördern. Unsere Kultur des ständigen Lernens ist vollständig in unseren Sicherheitsansatz integriert: Sicherheit ist nicht die Aufgabe einer Abteilung, sondern eine gemeinsame Verantwortung. Um schnell auf Sicherheitsvorfälle reagieren zu können, benötigen wir offenen Austausch und gemeinsames Lernen. Wann immer nötig, setzen wir uns zusammen, finden die Personen mit dem relevantesten Wissen und analysieren die Situation. Als Security-Team kennen wir nicht jede Umgebung im Detail. Die Security-Leads jedoch haben vollständigen Überblick über ihre Umgebung und sind verantwortlich. Wenn man die volle Sicherheitskompetenz des Security-Teams mit dem Umgebungswissen der Security-Leads kombiniert, können wir sehr schnell handeln. Die Security-Leads verstehen, was wir ihnen über das Problem sagen, und sie haben kurze Wege zu Kundinnen und Kunden und wissen genau, welche Teile der Infrastruktur besonders kritisch sind. Unsere Kundinnen und Kunden schätzen, dass wir sehr sicherheitsbewusst sind. Wenn wir sagen, dass es ein Sicherheitsproblem gibt, stimmen sie in der Regel zu und wir können mit Patching oder anderen notwendigen Maßnahmen fortfahren.
Was war in Ihren 3,5 Jahren bei Schuberg Philis ein besonders einprägsamer Sicherheitsvorfall?
Einer der bedeutendsten Vorfälle war die Log4J-Schwachstelle, die selbst Personen außerhalb des Sicherheitsbereichs kannten, weil sie große mediale Aufmerksamkeit hatte. Plötzlich waren alle im Krisenmodus, und wir mussten herausfinden, wo wir und unsere Kunden betroffen sein könnten. Da diese Komponente eine Bibliothek war, konnte sie überall verwendet worden sein. Es war eine interessante Herausforderung herauszufinden, wo sie eingesetzt wurde und ob sie zweckentfremdet wurde. Bei solchen Vorfällen arbeite ich normalerweise in Splunk, um zu prüfen, welche Protokolle wir haben und wie wir daraus erkennen können, ob diese Schwachstelle ausgenutzt wurde. Für Log4J haben wir eine Erkennungslogik entwickelt, die in den entscheidenden ersten Tagen sofort Alarm schlägt, wenn etwas passieren sollte. Dabei achten wir sehr darauf, Erschöpfung zu vermeiden. Im Incident-Management kann jeder sehr schnell ermüden, wenn man zu lange und zu viele Tage hintereinander arbeitet. Bei solchen Vorfällen weiß man, dass das Problem nicht in zwei Tagen behoben sein wird, sondern eher in zwei Wochen. Es ist ein Marathon, kein Sprint. Man muss dafür sorgen, dass sich niemand verausgabt.
Projekt Leidenschaft
Was sind Ihre Hobbys?
Ich mag Heimautomatisierung. Alles in meinem Zuhause ist automatisiert – so sehr, dass wir keine Lichtschalter mehr benutzen. Das Licht geht an, wenn es an sein soll, und aus, wenn es aus sein soll. Es hat Jahre gedauert, aber jetzt funktioniert alles genau so, wie wir leben. Da überall Sensoren sind, musste ich irgendwann das Problem lösen, dass das Licht nachts nicht angeht, wenn ich mich im Bett bewege. Jetzt gibt es einen Sensor unter der Matratze, der erkennt, ob ich oder meine Freundin im Bett sind. Wenn jemand im Bett ist, geht das Licht im Flur nicht an. Überall wurden kleine Anpassungen vorgenommen, damit es wirklich zu unserem Leben passt.
Erfüllen smarte Assistenten auf dem Markt Ihre Sicherheitsstandards?
Nein, weil die meisten Internetzugang benötigen. Abgesehen von Datenschutzrisiken möchte ich, dass alles in meinem Zuhause weiter funktioniert, wenn das Internet ausfällt. Keines der von mir verwendeten Geräte benötigt oder verfügt über einen Internetzugang. Außerdem gibt es keine Mikrofone oder Kameras. Alles läuft lokal – das ist eine zwingende Voraussetzung für mich. Einen smarten Thermostat zu finden, der kein Internet benötigt, war schwierig. Aber jetzt habe ich eine Lösung gefunden.
Neugierig, wie andere Kolleginnen und Kollegen ihren Tag verbringen? Die gesamte Serie finden Sie hier.
