Hacken für die Guten: „Pentester ist auf alle Fälle ein Traumjob“

Die Qualifikationsphase für Österreichs größten IT-Sicherheitswettbewerb ist im vollen Gange. Die Austria Cyber Security Challenge (ACSC) ist aber nicht nur da, um jungen Talenten und Profis die Chance zu geben, sich Ehre und Ruhm zu erhacken. Schüler*innen und Studierende sammeln wertvolle Erfahrungen und Kontakte für das spätere Berufsleben.

Einer davon ist Marcel Schnideritsch. Der mehrfache Gewinner bei der ACSC hat seinen Traumjob in der IT-Security-Branche gefunden. Die futurezone sprach mit ihm und Gerold Haynaly. Er unterrichtet Informatik und IT-Sicherheit an der HTL Kaindorf und hat nicht nur Marcel zu seiner Berufung verholfen, sondern auch vielen anderen Schüler*innen.

futurezone: Marcel, warum hast du dich damals für die HTL Kaindorf entschieden?
Marcel Schnideritsch: Für mich stand die Wahl von Anfang an fest, da sich der dortige Informatikzweig am stärksten mit meinen Interessen deckte. Und diese Entscheidung habe ich bis heute nicht bereut.

An welchem Punkt war für dich klar, dass IT-Security deine Berufung ist?
Das Interesse war schon vorher vorhanden, aber die erste Stunde bei Gerry - äh, Prof. Haynaly - das war der Hook.

Welches war dein Lieblingsfach an der HTL Kaindorf?
War das jetzt die Fangfrage? Bewegung und Sport natürlich ;-)

Gerold, Marcel hat dich lobend als Professor erwähnt: Was ist für dich der Reiz und die Motivation, IT-Security zu unterrichten?
Gerold Haynaly: Cybersecurity ist ein so weites Feld, dass es immer wieder etwas Neues gibt. Dabei muss man selbst immer mitlernen und am letzten Stand bleiben - und das ist verdammt spannend! Und wenn man dieses Wissen dann weitergeben kann …

Was ist dir bisher besonders als Professor an der HTL Kaindorf in Erinnerung geblieben?
Darüber könnte ich ein ganzes Buch schreiben, aber um es kürzer zu fassen: Unser erstes CTF (Anm.: Capture The Flag, eine beliebte Hacking-Wettbewerbsart) in Kaindorf, die Exkursionen zur IKT-Sicherheitskonferenz, die ersten Siege bei Hacking-Wettbewerben, aber natürlich auch die Sicherheitslücken in der Schule selbst. Legendär war auch ein echter Pentest bei einem Unternehmen, der von den Schülerinnen und Schülern mit großer Begeisterung und ebenso großem Erfolg durchgeführt wurde.

Marcel, du bist jetzt Pentester bei BearingPoint. Ist das dein Traumjob – für die „Guten“ hacken und damit Geld verdienen?
Marcel: Die Arbeit als Penetration Tester ist auf alle Fälle ein Traumjob. Was das Ganze perfekt macht, ist, dass BearingPoint mir ermöglicht, Projekte wie das KaindorfCTF als Teil meiner Arbeit umzusetzen.

Stehst du noch in Kontakt mit der HTL Kaindorf?
Der Kontakt ist durch Projekte wie das KaindorfCTF oder Diplomarbeiten nie abgerissen - und er wird in Zukunft sicher noch enger werden.

Gerold, wie wichtig sind Wettbewerbe wie die ACSC für Schüler*innen?
Gerold: Super wichtig! Damit gibt man den Interessierten eine sichere Umgebung, Tools und Vorgehensweisen auszuprobieren. Und ein Gewinn motiviert dann zusätzlich. Deshalb haben wir heuer im März zum ersten Mal ein YoungsterCTF für unsere Zweitklässler veranstaltet, und im April das JuniorCTF für die 3. und das 8-Stunden-SchoolCTF mit Jeopardy und Attack/Defense für 6er-Teams aus den 4. und 5. Jahrgängen. Besonders gefreut hat mich, dass insgesamt über hundert Schüler*innen daran teilgenommen haben. Und erst die Preise ...

Marcel, wie oft hast du schon an der Austria Cyber Security Challenge teilgenommen?
Marcel: In diesem Jahr wird es die siebte Teilnahme sein, und mit etwas Glück der sechste Einzug ins Finale.

Haben dich die Aufgaben bei der ACSC auf deinen künftigen Beruf vorbereitet?
Ja, da kann ich sogar eine Geschichte erzählen: Vor Kurzem konnten wir bei einem Kunden eine Sicherheitslücke exploiten, die 2020 eine Challenge beim ACSC-Finale war.

Du bist Obmann der LosFuzzys, die in der Szene allen ein Begriff sind – wie aber würdest du das Team jemandem beschreiben, der glaubt, IT-Security ist, jedes Jahr das Passwort des GMX-Accounts zu ändern?
Wir sind ein bunter Haufen von Studierenden, deren gemeinsames Ziel die Förderung von Informationssicherheit in der Gesellschaft ist. Dazu treffen wir uns wöchentlich im „FuzzyLab” zum Gedankenaustausch, gemeinsamem Lernen und der Teilnahme an Hacking-Wettbewerben - und wir veranstalten auch selbst solche Wettbewerbe.

Gibt es im aktuellen Roster der LosFuzzys weitere Absolvent*innen der HTL Kaindorf? Wie viele haben bei der ACSC teilgenommen?
Ja, immer wieder kommen neue Absolvent*innen zu uns, und so an die 10 von uns werden wohl bei der ACSC teilgenommen haben.

Wird man ein/eine LosFuzzy?
Wie wird man ein Fuzzy? Gute Frage. In meinem Fall war es „Kommen und Bleiben”. Bei uns ist jede*r willkommen!

2022 war es etwas ruhiger bei den LosFuzzys, was die Bewerbe angeht. Wird 2023 wieder ein stärkeres Jahr werden?
Auf alle Fälle! Wir konnten Ende März beim Hacking-Wettbewerb im Rahmen der Insomni’Hack-Konferenz das Academic Ranking für uns entscheiden. Insgesamt erreichten wir von über 100 Teams den 13. Platz. Damit liegen wir im österreichischen Ranking komfortabel auf Platz 1. Und für die nächsten Wettbewerbe stehen wir schon in den Startlöchern.

Gerold, was steht in deinem Unterricht Neues an im Schuljahr 2023/2024?
Gerold: Ganz vorne künstliche Intelligenz. Was KI heute schon kann, sei es im offensiven wie im defensiven Bereich! Ein so wichtiges und mächtiges Werkzeug wie ChatGPT oder Bing AI, um nur 2 zu nennen, wird in den nächsten Jahren noch viel stärker ins Tagesgeschäft integriert sein. Deshalb finde ich wichtig, dass diese Tools im Unterricht eingesetzt werden, um den richtigen Umgang damit zu erlernen.

Sind mittlerweile mehr weibliche Schülerinnen in deinen Klassen oder stagniert der Frauenanteil?
Der Frauenanteil in der IT-Branche und in HTLs im Speziellen war noch nie besonders hoch, und das hat sich leider in den vergangenen Jahren nicht signifikant geändert. Dabei hätten sie - wie ich von einigen Absolventinnen weiß - tolle Jobchancen als Security-Expertinnen.

Welche Eigenschaften sollten Schüler*innen mitbringen, die sich für das Wahlfach Ethical Hacking & Security interessieren und zukünftig in der IT-Security arbeiten wollen?
Ein grundsätzliches Interesse, Lernbereitschaft - und „etwas” Ehrgeiz, denn der Rest wird im Unterricht aufgebaut.

Dieser Artikel entstand im Rahmen einer Kooperation zwischen futurezone und Cyber Security Austria.