Diese Seite hat eine durchschnittliche Bewertung von %r von maximal 5 Sternen. Total sind %t Bewertung vorhanden.
Lesezeit 5 Minuten Lesezeit 5 Minuten
Erstellt am 20.07.2021

Ethical Hacking in der IT Security: Hacken auf der richtigen Seite

Wenn bei der «gelben Bank» das Red Team auf das Blue Team losgelassen wird, geschieht dies im Auftrag der Sicherheit. Was dahinter steckt, erklärt der IT Security-Spezialist Philipp Rohrbach.

Sie stehen auf der guten Seite: Ethical Hacker decken für Unternehmen Schwachstellen in Webapplikationen, Netzwerken und Systemen auf, bevor dies illegale Hacker tun können. Ein solcher Ethical Hacker ist Philipp Rohrbach. Er arbeitet bei PostFinance in der IT Security im Red Team. Was seine Aufgaben im Detail sind und wie er dabei vorgeht, erklärt er im Interview.

Du arbeitest im Red Team der IT Security von PostFinance. Was hat die Teamfarbe Rot zu bedeuten?

Als rotes Team übernehmen wir innerhalb der IT Security von PostFinance die Rolle des Angreifers. Wir bedienen uns der Technologien oder Angriffsszenarien wie sie bei «echten» Angriffen verwendet werden und setzen diese gezielt gegen die eigenen Systeme ein. Wir versuchen z. B. unsere Services und Systeme für einen Zweck zu verwenden, für den sie nicht gedacht waren – mit dem Ziel, Schwachstellen aufzudecken, bevor sie andere finden können. Wenn man in der IT einen Service betreibt, der gegen aussen offen ist, muss man davon ausgehen, dass man angegriffen wird. Es ist nicht die Frage ob, sondern wie häufig dies geschieht und wie gut die Angriffe von unserem Blue Team erkannt, abgewehrt und eingedämmt werden können. Die Farb-Bezeichnungen stammen ursprünglich aus dem Militär: Das Red Team ist der offensive Teil der IT Security, das Blue Team der defensive Teil.

Wie geht das Red Team bei einer Überprüfung vor?

Nehmen wir an, wir testen eine App. Dann tauschen wir uns in einem ersten Schritt mit jenen Spezialisten aus, die die App entwickeln, betreiben oder weiterentwickeln und definieren die Ziele des Testings. Ein solches Ziel kann sein, in einer Testumgebung eine Finanztransaktion zu manipulieren oder Informationen über eine Schnittstelle innerhalb der App abzugreifen. Anschliessend wird bestimmt, welchen Ansatz wir verfolgen wollen – den Blackbox-, den Graybox- oder den Whitebox-Ansatz. Beim Blackbox-Ansatz erhalten wir fürs Testing die App ohne weitere Informationen zur inneren Struktur. Beim weit häufigeren Graybox-Ansatz kriegen wir etwas mehr Unterstützung, indem wir z. B. mit einer Appversion arbeiten können, in der gewisse Schutzmassnahmen ausgeschaltet sind. Dies verschafft uns einen Vorsprung gegenüber potenziellen Angreifern, die meist mehr Zeit zur Verfügung haben als wir und die Möglichkeit, die kostbare Testzeit zur Prüfung verwenden zu können und nicht für die Umgehung von Sicherheitsmassnahmen. Oder aber man geht mit dem Whitebox-Ansatz noch einen Schritt weiter und legt den Quellcode offen, sodass es für uns Tester einfacher wird, die Schutzmassnahmen zu umgehen. Anschliessend bauen wir das Testsetup auf und legen los. Wir prüfen z. B. die Authentisierung, das Loginverfahren oder die Zurücksetzung des Passworts auf logische Fehler und Abweichungen von Standards. Oder wir beobachten, wie sich die App verhält, wenn wir sie mit Informationen füttern, für die sie eigentlich nicht gedacht war. Läuft zum Beispiel eine Zahlung von Kunde A zu Kunde B im Hintergrund über 10 Schritte, schauen wir, was passiert, wenn wir die Reihenfolge der Schritte ändern. Haben wir dann genügend solche Ansatzpunkte geprüft, ziehen wir Rückschlüsse und dokumentieren diese. Wo nötig, werden dann Massnahmen getroffen, um Schwachstellen zu beheben.

Wie ist das Red Team aufgestellt?

Je nach Umfang der Überprüfung und entsprechend dem Testaufwand immer anders. Bei kleinen Tests reicht eine Person, bei grösseren braucht es mehrere Testerinnen und Tester. Wir greifen dabei auf interne Mitarbeitende, aber auch auf Externe zu. Besonders wichtig ist, dass nicht immer dieselben Personen dieselben Testobjekte unter die Lupe nehmen. Denn insbesondere bei Sicherheitsprüfungen ist oft auch «Out-of-the-Box-Thinking» gefragt – und dabei spielen die individuelle Erfahrung und das persönliche Know-how eine grosse Rolle.

Was muss man mitbringen, um in einem Red Team arbeiten zu können?

Voraussetzung sind solide Kenntnisse von Netzwerken, ein fundiertes Verständnis dafür, wie Webapplikationen funktionieren und wie Computer und Server zusammenspielen und aufgebaut sind (siehe auch Box). Aber etwas vom Wichtigsten ist, dass man neugierig ist: Ein Ethical Hacker will die Cyberwelt verstehen und diese immer wieder mit anderen Augen betrachten. Er will hinter die Kulissen schauen. Und er verfügt über Hartnäckigkeit und Beharrlichkeit: Er versucht, das untersuchte Objekt solange zu füttern, bis etwas Unerwartetes passiert. Und dann zu verstehen, warum das, was passiert ist, passiert ist. Unser Ziel ist es, Schwachstellen zu entdecken, die zuvor von anderen Augenpaaren, aber auch von automatisierten Tools zur Qualitätssicherung nicht gesehen worden sind.

Diese Skills brauchen Red Team-Spezialistinnen und -Spezialisten

Kenntnisse über

  • Netzwerke: Aufbau, Protokolle, Routing
  • Betriebssysteme wie Windows, Linux usw.
  • Programmierung: Code lesen und anpassen/ändern
  • Hackertools: Scan, Crack, Attack
  • Sicherheitslücken: Software, Logik, Fehler/Schwächen

Gibt es dafür eine offizielle Ausbildung?

Für den Bereich des klassischen Pentestings  gibt es Zertifizierungen, die in der Branche anerkannt sind. Ein Studium hingegen, das unseren gesamten Aufgabenbereich abdeckt und auch darauf fokussiert, wird nicht angeboten. Wer Ethical Hacker werden will, kann und muss sich sehr vieles autodidaktisch aneignen. Dabei unterstützt einen die Community, die ihr Wissen sehr gerne teilt. Gute Möglichkeiten, um seine Skills zu trainieren, sind Plattformen wie Try Hack me oder Hack the Box, die Challenges anbieten oder öffentliche Bug-Bounty-Programme.

Was fasziniert dich an deiner Funktion als Ethical Hacker?

Die enorme Vielseitigkeit. Zum einen kann ich mich immer wieder mit unterschiedlichen Technologien auseinandersetzen – wie verschiedenen Programmiersprachen, Applikationen oder Frameworks. Zum andern komme ich laufend mit unterschiedlichen Leuten in Kontakt. Wir sind nicht auf jedem Gebiet Spezialisten, aber wir haben bei PostFinance viele sehr gute Leute. Wenn wir uns auf einen Test vorbereiten, können wir ihr Wissen und ihre Erfahrung anzapfen. Das ist sehr, sehr spannend. Hinzu kommt, dass wir beim Testing wohl nach einer gleichbleibenden Methodik vorgehen, diese jedoch immer wieder auf andere Testobjekte anwenden. Dabei reicht die Palette von Voice Authentification über eine normale Webapplikation bis hin zu sehr komplexen Systemen, die Finanztransaktionen verarbeiten. Und nicht zuletzt ist dieser Job nicht nur Arbeit, sondern auch eine Einstellung: Ich will meinen Teil dazu beitragen, dass die Cyberwelt immer wieder ein Stück sicherer wird.

Wie ist dein persönlicher Werdegang bis ins Red Team von PostFinance?

Ich habe ursprünglich Elektroniker gelernt und entwickelte mich im Anlagenbau in Richtung Projektleitung weiter. Da ich dann den technischen Aspekt etwas vermisst habe, studierte ich an der Höheren Fachschule Informatik und Systemtechnik und war anschliessend in einer Agentur für den Bereich New Media verantwortlich, wo ich mir in zahlreichen Projekten ein fundiertes Verständnis von Webapplikationen und Mobileapps aneignen konnte. Dann absolvierte ich ein Informatikstudium mit Schwerpunkt IT-Sicherheit. Das Thema Ethical Hacking hat mich auf meinem Weg stets begleitet. Aus Eigeninteresse eignete ich mir dazu sehr viel Wissen selbst an. Nach dem Studium wechselte ich schliesslich zur IT der Schweizerischen Post als Betriebsspezialist im Bereich E-Voting und kam in Kontakt mit Sicherheitsüberprüfungen. Als dann PostFinance einen IT Security-Spezialisten im Bereich Ethical Hacking suchte, habe ich gedacht: Das ist meine Chance. Seither darf ich mich in diesem Team beweisen.

About

Philipp Rohrbach

Philipp Rohrbach arbeitet seit 2019 in der IT Security bei PostFinance.

Diese Seite hat eine durchschnittliche Bewertung von %r von maximal 5 Sternen. Total sind %t Bewertung vorhanden.
Sie können die Seite mit 1 bis 5 Sternen bewerten. 5 Sterne ist die beste Bewertung.
Vielen Dank für die Bewertung
Beitrag bewerten

Dies könnte Sie ebenfalls interessieren