D E D I C AT E D T O S O L U T I O N S CYBER INTELLIGENCE MEETS ENGINEERING GESUCHT: CYBER NERDS Herr über die Root des Smartphones zu werden; die Robotersteuerung übernehmen und die angeschlossenen Greifarme nach Belieben tanzen zu lassen; ein unbekanntes und unbemanntes Flugobjekt zum Absturz zu bringen: sind das unreife Kiddie-Träume oder omnipotente Machtfantasien von verrückten Spielern? Kann sein, muss aber nicht! Denn das Aufdecken von Sicherheitslücken beginnt am besten damit, dass man sich in den Kopf von kindischen Erwachsenen, verrückten Spielern und geldgierigen Kriminellen hineinversetzt. Mit Fantasie und umfassendem Wissen, um die Unwägbarkeiten in den Köpfen der Menschen und die Schwachstellen von Maschinen zu identifizieren. Der kleine Flugkörper mit den vier Rotoren schwebt leicht surrend über dem Rasenstück, die Kamera vorne am Bug macht Aufnahme um Aufnahme. Ein Überwachungsflug. Alles unter Kontrolle. Doch plötzlich taumelt der unbemannte kleine Flugkörper und fällt wie ein Stein auf die Rasenfläche. Crash! Die junge Frau am Rande des Rasens freut sich: Operation geglückt. FunkFrequenz des Flugobjekts erfolgreich übernommen, GPS-Daten manipuliert, Sturzflug eingeleitet. Objekt gezielt zum Absturz gebracht. Die junge Frau studiert Elektrotechnik mit Nebenfach Informatik und führt auf der Wiese Tests für ihre Masterarbeit durch, die Bedrohungspotenziale und Abwehrmechanismen von Mikrodrohnen behandelt. Solche Mikrodrohnen stellen, nicht zuletzt wegen der großen Zahl verkaufter Systeme und der universellen Einsetzbarkeit durch Jedermann, inzwischen ein ernst zu nehmendes Sicherheitsrisiko dar, sei es für öffentliche Großveranstaltungen, aber auch für sicherheitsempfindliche Infrastrukturen und Einrichtungen wie Kernkraftwerke, industrielle Großanlagen, Liegenschaften der Bundeswehr oder Justizvollzugsanstalten. Im Fokus steht dabei die unbefugte Nutzung zum Zweck der Ausspähung oder Provokation, aber auch die Verwendung zu kriminellen und terroristischen Zwecken. DAS WICHTIGSTE IN KÜRZE } ESG steht für komplexe Projekte in sensiblen Bereichen } Mitarbeiter, Praktikanten und Studenten finden bei der ESG ein hohes Maß an Lösungskompetenz und ein großes Angebot an technischen Möglichkeiten } Gefragt sind Mitarbeiter, die technisches Können und Qualitätsbewusstsein mit einem kontrollierten „Spieltrieb“ verbinden } ESG benötigt Mitarbeiter, die zunächst einmal nicht an „Sicherheit glauben“ und technische Systeme deshalb ständig verbessern wollen CYBER-LÖSUNGSKOMPETENZ Der Praxisbezug der Master-Arbeit ist offensichtlich, die theoretischen Anforderungen sind mehr als anspruchsvoll: neben der Elektrotechnik-Basis sind gute Kenntnisse in Steuerungstechnik und IT-Sicherheit gefragt; und nicht zuletzt bedarf es viel Beharrlichkeit bei der Analyse bestehender Systeme, gesundes Misstrauen bezüglich ihrer Verwendungsziele und eine große Portion Spieltrieb beim Aufbau von Abwehrmaßnahmen. Die ESG GmbH unterstützt die Arbeit der jungen Forscherin. Bei der ESG findet sie nicht nur adäquate Gesprächspartner, die aus ihrem vielfältigen Projektwissen heraus eine große technische und organisatorische Lösungskompetenz mitbringen, sondern auch ein ideales hardware- und softwaretechnisches Umfeld. Zu letzterem gehören das Cyber Training Center mit seinem umfangreichen Beratungs- und Schulungsangebot, das Center of Cyber Security Excellence als ESG-Partnernetzwerk verschiedener Firmen mit besonderer Expertise im Hochsicherheitsbereich und das Cyber Living Lab, in dem begabte Informatiker, Steuerungsfachleute und Ingenieure ein großes Instrumentarium finden, mit dem sie Systemen sicherheitsmäßig „auf den Zahn fühlen“ können: Mit ausgeklügelten Penetrationstests, die darauf ausgelegt sind, die Schwachstellen eines Systems zu finden und zu zeigen, wie „böse Buben“ sie ausnützen könnten. SOURCE-CODE-ANALYSE UND BETRIEBSSYSTEM-HÄRTUNG Die Auswertung solcher Penetrationstests zeigt, was man wie und wo sicherheitstechnisch (noch) besser machen kann, wie in technische Systeme von vornherein Sicherheit integriert werden kann, wie man „Security by Design“ oder „SecurITy integrated“ erreicht. Auf dem Weg dorthin sind Source-Code-Analysen ganz wichtig, denn jeder überflüssige Programmierschnörkel, jede unsauber programmierte Abfrage und jede nicht eindeutig definierte Parameter-Übergabe sind Einfallstore für kriminelle Attacken. Schlankes Programmieren ist deshalb gefragt sowie die Kunst des Weglassens. Denn was nicht da ist, das kann auch nicht angegriffen werden. Das gilt für Anwendungsprogramme ebenso wie für Betriebssysteme. Angriffe auf Systemebene sind natürlich besonders gefährlich, weil sie das Fundament treffen. Deshalb sind Härtungsmaßnahmen an Betriebssystemen die entscheidende Sicherheitsmaßnahme im Software-Bereich überhaupt. Aber Weglassen ist natürlich nicht gleich Weglassen. Man muss das Richtige weglassen, eine Aufgabe für echte Cracks. Ohne IT-Spezialisten mit technischem Können und ohne Instrumente, wie sie im Cyber Living Lab der ESG bereit stehen, lassen sich heute keine wirkungsvollen Abwehrmechanismen gegen Cyberangriffe entwickeln, testen und kontinuierlich verbessern. Denn ein immer größerer Teil der heutigen Schadsoftware wird nicht mehr von Hobby-Programmierern zusammengebastelt, die ein bisschen „digitale Randale“ machen wollen, sondern von Informatik-Profis, die es ganz gezielt auf Daten (und damit Geld und Macht) abgesehen haben. Längst haben viele Schadcode-Programme einen „Reifegrad“ erreicht, der sie für herkömmliche statische Schutzmaßnahmen unsichtbar macht: Fortschrittliche Programmiertechniken wie beispielsweise Polymorphismus – sozusagen Code, der sich zur Ablaufzeit erst voll entpuppt und Varianten hervorbringt – sind sozusagen Dual-Use-Konzepte, die nicht nur von charakterlich gefestigten Programmierern und Ingenieuren, sondern auch von sittlich weniger stabilen Zeitgenossen verwendet werden. Zwischen IT-Sicherheitsexperten und „Malwerkern“ gibt es deshalb einen ewigen Kampf um die Pole Position. „Für uns bei der ESG ist die Pole Position Pflicht“, formuliert Helko Kögel, Leiter Cyber Intelligence und Security bei der ESG das Credo des Unternehmens. Für ehrgeizige Studierende ist das ein verheißungsvolles Angebot. Die ESG: das ist nicht braves Mittelmaß, das sind vielmehr die intellektuellen „Ausreißer“ beziehungsweise diejenigen, die etwas reißen wollen: Leute mit solider (programmier-) technischer Expertise, hohen Qualitätsansprüchen und sozialer Kompetenz im Austausch mit Kollegen und Führungskräften, die es sicherheitstechnisch zu beraten gilt. Das sind Leute, die nicht sofort glauben, dass ein System sicher ist, Leute, die ihren „ernsten Spaß“ damit haben, ein technisches System aufs Kreuz zu legen; nicht um geldwerte Vorteile daraus zu ziehen oder kriminelle Machenschaften darauf aufzubauen, sondern Leute, die überzeugt sind, dass man alles Sichere noch sicherer machen kann und muss. Für solche Leute ist der Bereich Cyber Intelligence & Security eine echte Spielwiese; und eine berufliche Herausforderung. Wir freuen uns über Ihre Bewerbung an [email protected] IHRE ANSPRECHPARTNERIN JULIA LEGGE Tel: +49 89 9216-2728 [email protected] ESG Elektroniksystem- und Logistik-GmbH Livry-Gargan-Straße 6 D - 82256 Fürstenfeldbruck Cyber Intelligence meets Engineering Team IT Systeme Missionssysteme www.esg.de/jobs
© Copyright 2024 ExpyDoc
