Ist das wirklich so? Berufe und Klischees: Ethical Hackerin

Jingle: abi» – Dein Podcast für die Berufsorientierung

abi»: Herzlich willkommen zum abi» Podcast! Mein Name ist Klaus und ich habe mich heute mit Kerstin Albers unterhalten, die als Ethical Hackerin gearbeitet hat. Bei dem Begriff Hacker, beziehungsweise Hackerin, denken viele zuerst an Spam-Mails, Cyberangriffe und Datenklau. Darstellungen zeigen meistens Menschen, die sehr schnell an Computern tippen und in wenigen Sekunden in Server einbrechen können. Meistens werden Hacker außerdem als Männer dargestellt. Die Realität ist allerdings eine andere. Viele Hackerinnen und Hacker arbeiten daran, Sicherheitslücken in IT-Systemen aufzudecken, um genau solche Cyberangriffe zu vereiteln. Diese Ethical Hacker arbeiten direkt mit Kundinnen und Kunden, um sie zu beraten, wie sie ihr Netzwerk gegen Angriffe von außen absichern können. Welche Klischees über Hackerinnen und Hacker stimmen und welche falsch sind, beantwortet euch der abi» Podcast. Hallo, Frau Albers!

Kerstin Albers: Hallo, Herr Harfmann.

abi»: In Filmen und Fernsehen sieht es ja immer so aus, als ob Hackerinnen und Hacker blasse Nerds sind, die den ganzen Tag in dunklen Räumen am PC sitzen. Ist an dem Klischee was dran?

Kerstin Albers: Ja, also, am PC arbeiten auf jeden Fall. Blass, würde ich mal sagen, nicht unbedingt mehr als jemand anders, der am PC auch drinnen arbeitet. Also, das unterscheidet sich jetzt nicht von anderen Bürojobs, würde ich mal behaupten. HackerInnen gehen trotzdem auch gerne mal raus in die Natur oder machen Sport. Also das unterscheidet sich da jetzt nicht unbedingt.

abi»: Es gibt ja dieses Bild aus Filmen oder auch aus Fernsehserien, das man hat. Da sind die Hacker meistens Männer, weil Frauen gibt es in dem Beruf ja so gut wie keine, oder?

Kerstin Albers: Ja, da muss ich schon ein bisschen zustimmen, dass die Frauen sehr schwach vertreten sind. Das hat bei mir persönlich auch schon im Studium angefangen. Ich habe IT-Security studiert, da waren wir insgesamt im Informatikstudium 180 Leute. Davon waren gerade mal zehn Frauen, und das hat sich eigentlich auch in der restlichen Berufswelt ähnlich bei mir weiter durchgezogen. Ich glaube tatsächlich, manche Frauen trauen sich auch in die IT, aber ich habe das Gefühl, gerade im Hackerbereich ist das schon noch stark unterbesetzt. Aber was ich hier gerne noch sagen würde, ist eigentlich, dass ich persönlich dennoch wirklich eine große Wertschätzung erfahre und auch eine Gleichbehandlung. Also, die Leute freuen sich, wenn die Frauen dabei sind, und schätzen das auch wirklich sehr.

abi»: Schön. Sie haben ja als Ethical Hackerin gearbeitet. Das gängige Bild ist, das Hacker und Hackerinnen nur darauf aus sind, Daten zu stehlen und in sensible Netzwerke einzubrechen. Was genau ist daran denn ethisch oder „ethical“?

Kerstin Albers: Also ethisch, würde ich sagen, ist auf jeden Fall der Umgang damit. Also wenn ein Hacker eben Schwachstellen identifiziert oder ausnutzt, dann ist natürlich die Frage: „Wie geht der damit um?“ Er könnte natürlich theoretisch das einfach für sich verwenden, das ausnutzen, könnte damit Geld machen, könnte das weiterverkaufen. Und das Ethische ist eben daran, dass wir mit den Kunden oder mit dem Gegenüber zusammenarbeiten und dass wir aufzeigen, okay, hier gibt es Nachholbedarf, hier sind Sicherheitslücken, die geschlossen werden müssen, um dann den Firmen, den Kunden zu helfen, da nachzubessern, und das ist eben das Ethische daran.

abi»: In so einen Server einzubrechen, das geht ja total schnell, und das kann jeder vom eigenen PC oder Heimnetzwerk aus machen, oder?

Kerstin Albers: Ja, schnell ist natürlich relativ. Also ich würde erst mal sagen, was wichtig ist, ist eine Wissensgrundlage zu haben. Also ein gewisser Grundstamm an Wissen muss vorher vorhanden sein, und dann gibt es, sage ich mal, sogenannte „low hanging fruits“, also eher einfache Schwachstellen, also sehr veraltete Systeme, und da gibt es dann auch, sag ich mal, breiteres „Tooling“, was man schnell und einfach einsetzen kann, um das Ganze auch mit mittlerem Wissen irgendwie ausnutzen zu können. Aber dann haben wir auf der anderen Seite natürlich auch zum Beispiel sehr neue Schwachstellen oder „zero days“, da spricht man auch davon, wo es eben noch keinen Schutz dazu gibt, oder vielleicht eben dann auch noch keine fertigen „Exploits“, die man dann selber schreiben müsste, also einen Code, der dann verwendet wird, um diese Schwachstelle auch aktiv auszunutzen. Und da ist dann natürlich sehr viel Wissen nötig, um das zu tun. Neben den rein technischen Sachen gibt es aber auch immer sehr viel Social Engineering, was verwendet wird, um technische Sachen auszunutzen. Das heißt, man versucht irgendwie, die Person, die dahinter sitzt, zu beeinflussen, mal auf irgendeinen Link zu klicken oder einen USB-Stick einzustecken. Das heißt, auch auf dieser Schiene kann man natürlich in Netze einbrechen.

abi»: Für die eigene Cybersecurity muss man ja eigentlich nur einen guten Virenscanner auf dem PC haben, oder?

Kerstin Albers: Ja, also, gerade wenn wir jetzt von privater Security sprechen und nicht unbedingt gleich von einer Firma, die natürlich noch viel mehr Netzwerk und Infrastruktur bereitstellt und zu pflegen hat, dann im Privaten, und man hat vielleicht einen Windows Rechner, dann gibt es da natürlich schon Virenscanner, die mitgeliefert werden, und die kann man dann natürlich auch gerne verwenden. Sicher ist man sowieso nie. Genau, und wie gesagt, die Angriffe, habe ich ja auch gerade schon so ein bisschen erklärt, können natürlich auch vielseitig sein, und ein Virenscanner schützt natürlich auch nicht vor allem oder ist auch kein hundertprozentiger Schutz. Es gibt auch, sage ich mal, Kritiken gegen Virenscanner, weil die natürlich auch wiederum eine Zielscheibe darstellen, dass man versucht, genau diesen Virenscanner auszunutzen und dann mit erhöhten Rechten auf dem System zu sein. Und auf der anderen Seite haben wir natürlich auch die Möglichkeit, die Skripte, die man schreibt, vorher zu testen und eben auch zu schauen, dass man vielleicht gar nicht von diesem Virenscanner erkannt wird. Aber gerade um so einen groben oder ein paar einfache, nicht gut gemachte Angriffe abzuwehren, ist das natürlich trotzdem valide, und man sollte den jetzt auf jeden Fall nicht runterschmeißen oder deaktivieren.

abi»: Jetzt mal weg von den Klischees, die zu dem Beruf gehören. Was finden Sie denn persönlich ist das Schönste in Ihrem Beruf, und was sind die größten Herausforderungen?

Kerstin Albers: Der Beruf ist extrem abwechslungsreich, was ihn, glaube ich, auch sehr spannend macht. Also es wird einfach nie langweilig, man hat immer neue Herausforderungen, man lernt immer dazu, man lernt immer noch mal was Neues kennen. Also, das macht extrem viel Spaß, und es ist natürlich auch ein schönes Gefühl, wenn man eben verschiedenen Firmen dazu verhelfen kann, sicherer zu werden. Und das kann natürlich auf Firmenwerte hingehen, private Daten, die vielleicht da mit reinspielen, aber das sind dann auch Unternehmen, die jetzt vielleicht für unsere Stromversorgung zuständig sind, oder Krankenhäuser, und wenn man da zu der Sicherheit beitragen kann, dann, finde ich, ist das schon ein sehr schönes Gefühl.

abi»: Und was wären so die größten Herausforderungen daran?

Kerstin Albers: Die Herausforderung ist eben, glaube ich, dass das ein sehr, sehr breites Feld ist, die IT-Sicherheit. Da kommt es extrem darauf an: Konzentriere ich mich mehr auf die Hardware? Konzentriere ich mich auf die Webpräsenz? Konzentriere ich mich auf die Cloud, auf interne Netzwerke, mobile Apps? Da gibt es ganz, ganz viele Sachen und Felder, in die man eintauchen kann, und zu dem breiten Feld entwickelt sich die IT auch einfach besonders schnell weiter. Da quasi auf dem aktuellen Stand zu bleiben, das ist natürlich auch nicht einfach und eine Herausforderung.

abi»: Und welche Möglichkeiten gibt es denn, gerade weil das Feld so breit ist, in dem Beruf am Ball zu bleiben und sich dann auch weiterzuentwickeln?

Kerstin Albers: Ich glaube, am wichtigsten ist es, sich auf ein paar Themen einzugrenzen und eben nicht sich allem anzunehmen, weil das schafft man dann nicht, und dann lieber vielleicht in ein paar Bereiche reinzugehen und die zu vertiefen. Und ja, dann ist es auch immer wichtig, die IT-News zu verfolgen, sich mit Kollegen auszutauschen, vielleicht auch mal in irgendwelchen Labs Sachen üben. Also, da gibt es Online-Labs, wo man das machen kann. Man kann sich natürlich auch selber Sachen aufsetzen und sich da mal dran versuchen, und das heißt, das Wichtigste ist, glaube ich, immer neugierig zu bleiben und auch eben Dinge auszuprobieren und zu hinterfragen. So kann man sich dann auch eben trotzdem weiterentwickeln.

abi»: Ja, super, vielen Dank für das tolle Interview.

Kerstin Albers: Danke auch.

abi»: Wenn du dich für einen Beruf im Bereich IT-Sicherheit interessierst, findest du auf abi.de Beiträge zum Thema „Ausbildungsberufe in der IT“ bei Ausbildung > Berufsfelder > IT, Computer oder die Reportage „IT gegen Verbrechen“ bei Studium > Studienbereiche > Mathematik, Naturwissenschaften > Informatik. Weitere Reportagen findest du außerdem in unserem Top Thema „Berufe rund um Sicherheit“. Das war dein abi» Podcast. Redaktion und Produktion Klaus Harfmann für den Meramo Verlag im Auftrag der Bundesagentur für Arbeit.