G DATA Insights: Was macht eigentlich ein… Security Consultant?

Ich bin Maximilian und arbeite seit September 2023 als IT Security Consultant bei der G DATA Advanced Analytics, die Unternehmen im Incident unterstützt und verschiedene Dienstleistungen wie Penetrationstests anbietet. Ich selbst bin auf Web-Penetrationstests spezialisiert. Das bedeutet, dass ich die Sicherheit von Webanwendungen, APIs und Netzwerken im Auftrag von Unternehmen überprüfe, indem ich gezielt nach IT-Schwachstellen suche. Mein Ziel ist es, Sicherheitslücken zu identifizieren, bevor Cyberkriminelle diese ausnutzen können. Besonders abwechslungsreich ist, dass ich alle ein bis zwei Wochen ein neues Projekt habe und bei unseren vielfältigen Kunden immer wieder auf unterschiedliche Technologien treffe. Diese Abwechslung erfordert technisches Verständnis und einen Blick fürs Detail. Am Ende eines Auftrags verfasse ich einen Bericht mit Lösungsvorschlägen für gefundene Schwachstellen, um die Systeme unserer Auftraggeber sicherer zu machen.

Mein Interesse für IT wurde früh geweckt, da mein Vater ebenfalls in der Branche tätig ist. Schon mit etwa zehn Jahren hatte ich meinen ersten Computer und habe dann auch mit dem Programmieren begonnen. In der Zeit wurde auch meine Begeisterung dafür geweckt, Programme und Apps zu entwickeln. Damals wie heute ist es besonders spannend für mich herauszufinden, wie Systeme funktionieren – und wie man ihre Grenzen austestet. Erste Berührungspunkte mit IT-Sicherheit hatte ich, als ich gelernt habe, Internetsperren zu umgehen, die mein Vater eingerichtet hatte. Etwas später, so mit 17, habe ich dann entdeckt, dass Penetration Testing quasi legales Hacken ist – ein Bereich, der mich sofort fasziniert hat. Seitdem bin ich diesem Thema treu geblieben und habe an unzähligen Capture-The-Flag-Challenges teilgenommen, um eine bestimmte oder eine Kombination aus mehreren Schwachstellen auszunutzen. Während des Studiums habe ich als Werkstudent schon im Bereich Penetration Testing gearbeitet und mein Masterstudium schließlich in IT-Sicherheit abgeschlossen.

Eines meiner beruflichen Highlights war definitiv eine Schwachstelle, die ich mit ehemaligen Kollegen in einem Internetknoten entdeckt habe. Diese hätte dazu führen können, dass ein Großteil des internen Traffics von Millionen Nutzern – Privatpersonen und Firmen – lahmgelegt wird. Dies wäre mit enormen wirtschaftlichen Folgen verbunden gewesen, weswegen die Entdeckung ein absolutes Highlight war. Einfach aufgrund des Impacts, die die Schwachstelle gehabt hätte, wenn Angreifer diese ausgenutzt hätte. Ein anderes spannendes Projekt bei G DATA war die Entdeckung von Sicherheitslücken in Webanwendungen, die es ermöglichten, Serverbefehle auszuführen. Solche Erfolge zeigen, welchen Impact unsere Arbeit haben kann, und motivieren mich immer wieder aufs Neue.

IT-Security ist ein unglaublich vielseitiges Feld, denn die Möglichkeiten für einen spannenden Job sind nahezu unbegrenzt. Ich habe zum Beispiel erst Informatik an der TU in Dortmund und dann IT-Sicherheit an der RUB in Bochum studiert. Der Bereich IT-Sicherheit bietet für viele Interessengebiete eine Nische – ob man sich für Programmierung, menschliche Verhaltensmuster oder rein technische Themen begeistert. Mein Tipp: Interessierte sollten sich über die verschiedenen Spezialisierungen informieren und während der Ausbildung oder dem Studium bereits ausprobieren, was ihnen am meisten Spaß macht. Es gibt in der Cybersecurity außerdem wirklich viele Möglichkeiten sich immer weiterzuentwickeln.

Bei Penetrationstests oder IT-Sicherheit generell ist es sehr wichtig, verschiedene Perspektiven einzunehmen. In meiner täglichen Arbeit ist es entscheidend, sich in die Rolle eines Entwicklers zu versetzen und zu überlegen, wie Vorgaben umgesetzt wurden. Genauso wichtig ist es, die Sichtweise der Nutzerinnen und Nutzer einzunehmen oder sogar gezielt entgegen typischem Nutzerverhalten zu handeln, um neue Schwachstellen zu entdecken. Nur so komme ich auf verschiedene Angriffswege, die ausgenutzt werden könnten. Auch wenn ich viele Penetrationstests allein durchführe, merke ich oft bei der Arbeit im Team, dass meine Kolleginnen und Kollegen auf ganz neue Ideen kommen, die ich selbst nicht gesehen hatte. Dieser Austausch ist extrem wertvoll und trägt dazu bei, neue Ansätze zu finden. Ein regelmäßiger Austausch innerhalb des Teams über gefundene Schwachstellen oder neue Erkenntnisse hilft auch, sein Wissen zu erweitern, was natürlich auch für zukünftige Projekte sehr hilfreich sein kann.

Bei G DATA schätze ich besonders die Kombination aus spannenden Aufgaben und dem tollen Arbeitsumfeld. Mit unseren Produkten und Dienstleistungen decken wir ein sehr breites Feld ab. Und es gibt Expertinnen und Experten in vielen Bereichen der IT-Sicherheit, von Malware-Analyse bis hin zu Incident Response. Das ermöglicht mir, auch über meinen eigenen Schwerpunkt hinaus Einblicke zu bekommen, was ich sehr bereichernd finde. Außerdem bieten wir bei der G DATA Advanced Analytics eine breite Vielfalt an Tests an – so konnte ich neben Web- und API-Tests auch Netzwerke prüfen, was vorher nicht zu meinen Tätigkeiten gehörte. Ein großes Plus ist außerdem unser abwechslungsreiches und günstiges Bistro, das jeden Tag ein hochwertiges drei Gänge Menü in Bioqualität zaubert. Ich schätze die Möglichkeit, mit dem Fahrrad zur Arbeit zu kommen, da ich nicht gerne Auto fahre. Unseren Fahrradkeller mit Duschen nutze ich daher sehr gern. Und dann ist da auch noch mein Teamleiter, der einfach super ist. Das alles zusammen macht G DATA für mich zum perfekten Arbeitgeber.

Meine Top-Empfehlungen sind ein Passwortmanager und ein Adblocker. Ersterer hilft, sichere, einzigartige Passwörter zu erstellen und zu verwalten. Ein Adblocker verbessert nicht nur die Nutzererfahrung, sondern schützt auch vor Schadsoftware, die über Werbeanzeigen verbreitet wird. Und für extra Sicherheit: Jede und jeder sollte die Zwei-Faktor-Authentifizierung aktivieren, wo immer es möglich ist. Denn dieser Schutz ist oft der entscheidende vor Angreifern.

Unter den Bereich Security Consulting können bei uns verschiedene Aufgabenbereiche fallen. Maximilian hat sich auf eine Stelle als Security Consultant für den Bereich Penetrationstest beworben, da dies seinen Wunschbereich optimal abdeckte. Auf der G DATA Karriere-Seite führen wir Schwerpunkte der ausgeschriebenen Stellen auf. Nichts dabei? Auch Initiativbewerbungen sind herzlich willkommen – für alle, die eine Leidenschaft für IT-Sicherheit und Consulting mitbringen, aber gerade nichts Passendes dabei ist.