Vom Nachwuchs-Hacker zum Security-Profi: Diese 3 haben es geschafft

Auch dieses Jahr lautet das Motto der Austria Cyber Security Challenge (ACSC): Hacker*innen gesucht. Zum 12. mal treten Schüler*innen und Studierende im Wettstreit an, um zu den besten Nachwuchs-IT-Talenten gekürt zu werden.

Ruhm und Ehre ist dabei aber nicht das Hauptziel. Die ACSC fördert die Interessen der Jugendlichen an IT-Security. Einige davon finden so ihren Traumberuf. Wir haben mit 3 gesprochen, die das geschafft haben.

Aron Molnar – Syslifters

Aron hat sich selbstständig gemacht und Syslifters mitgegründet. Das Unternehmen bietet Pentests an – hackt also im Kundenauftrag deren Unternehmen, um Schwachstellen zu finden.

futurezone: Wann war für dich der Punkt, an dem du wusstest, dass IT-Security deine Berufung ist?
Aron Molnar: Wenn man bis 4 in der Früh vor dem Computer sitzt, um doch noch in eine Webseite einbrechen zu können. Es ist ein bisschen wie Rätsel lösen: Man bringt Systeme dazu etwas zu tun, wofür sie nicht gemacht wurden. Zum Beispiel, wenn bei einer Produktsuche statt der Produkte plötzlich Passwörter angezeigt werden. Das macht Spaß und ist extrem spannend.

Dazu kommt: Junge Menschen werden meistens unterschätzt. Ein Student mit Anfang 20 kann noch so gute Arbeit leisten - wenn die Kollegen sagen, „Ich habe 20 Jahre Erfahrung und weiß das besser“, ist die Diskussion meistens beendet. Dem wollte ich entgehen. Also habe ich gesagt: „Wenn ich eure Passwörter stehlen kann, könnt ihr das nicht leugnen.“ Das war der Grund für meinen Einstieg in die technische IT-Security.

Du hast 3x an der ACSC teilgenommen und einmal bei der European Cyber Security Challenge (ECSC) gewonnen. Was hast du bei diesen Wettbewerben gelernt, was dir bei der Firmengründung und deinem jetzigen Job geholfen hat?
Die ACSC und ECSC waren der perfekte Start. Man lernt in kurzer Zeit extrem viel. Man vernetzt sich mit Gleichgesinnten und Firmen und löst bis früh am Morgen Hacking-Challenges. Es ist auch eine großartige Referenz sagen zu dürfen, dass man die European Cyber Security Challenge gewonnen hat. Das hat viel Vertrauen geschaffen und mir einige Türen geöffnet. Genauso wichtig war für mich, dass ich 2 meiner Mitgründer über den Wettbewerb kennengelernt habe. Mit Patrick Pirker gemeinsam habe ich 2015 den Bewerb gewonnen.

Syslifters spezialisiert sich auf Pentests: Ist das der Traumjob in der IT-Security?
Pentests sind immer spannend. Aber wenn man nicht ständig übt, Neues lernt und sich weiterentwickelt, wird man keine herausragende Qualität erreichen. Wir haben uns ebendarum als Firma auf Pentests spezialisiert. Dabei legen wir viel Wert auf Know-How-Transfer zu unseren Kunden. Deshalb sind wir von den IT-Teams unserer Kunden gern gesehen. So macht uns das Arbeiten Spaß.

Was steht als Nächstes für Syslifters an? Mehr Personal, Expansion ins Ausland, Großkunden an der Angel?
Unsere Arbeit soll Freude machen: Das war der erste und wichtigste Punkt aus unserem Leitbild vor unserer Gründung vor einem Jahr. Es ist nicht unser Ziel eine große Firma zu erschaffen. Wir haben ein freundschaftliches Team auf höchstem fachlichem Niveau, viel Spaß an der Arbeit, gute und partnerschaftliche Verbindungen zu unseren Kunden. Wir hätten keine Freude daran, das für ein Imperium aufs Spiel zu setzen.

Florian Bogner – Bee Security

Florian ist Gründungsmitglied von Bee Security. Neben dem klassischen Pentesting hat sich das Unternehmen auf Schulungen von IT-Mitarbeiter*innen spezialisiert und bietet auch Vorträge mit Live Hacking an.

futurezone: Wie bist du in die IT-Security gerutscht?
Florian Bogner: Bei mir war das kompletter Zufall: Während meines IT Studiums bin ich 2011 auf die erste ACSC aufmerksam geworden. Im Zuge der Qualifizierung waren dabei diverse Security-bezogene Aufgaben zu lösen. Das war dann der Zeitpunkt, wo ich gemerkt habe, dass mir das Lösen dieser doch sehr komplexen Probleme riesigen Spaß macht. Kurz darauf haben ich dann auch einen Job als Penetration Tester – aka „professioneller Hacker“ – ergattert und blicke seitdem nicht mehr zurück!

Hat die damalige Teilnahme an der ACSC noch heute Auswirkungen auf deinen Job?
Um ehrlich zu sein sind es nicht die technischen Dinge, die die ACSC für mich auch heute noch relevant machen, sondern vor allem das Netzwerk. Viele der (ehemaligen) Teilnehmer sind gut vernetzt und helfen sich gegenseitig. Teilweise leiten diese Security Teams, sind Spezialisten in einem Fachbereich der IT oder haben Ihre eigene Firma gegründet. Ich bin der festen Überzeugung, dass wir nur durch eine gute Zusammenarbeit die Sicherheit positiv beeinflussen können.
 
Warum hast du Bee Security gegründet?
Klassische Penetration Tests enden normalerweise mit einem schriftlichen Bericht. Darin sind einerseits die technischen Einfallstore und andererseits generische Lösungsansätze dokumentiert. Erfahrungsgemäß stellt dies jedoch viele IT-Abteilungen vor die Herausforderung, die passende Absicherungsmaßnahme zu identifizieren und anschließend auch noch fehlerfrei umzusetzen. Weil das leider oft nicht funktioniert, habe ich mich selbstständig gemacht.

Bee Security ist aus der Idee entstanden Firmen auch bei der Umsetzung der technischen Quick-Wins zu unterstützen. Dass bedeutet, unsere Projekte enden nicht nur mit einem Bericht, sondern immer mit einem Workshop. Gemeinsam mit den internen Spezialisten, erzielen wir somit sofort einen Sicherheitsgewinn. Und genau diese Zusammenarbeit ist das, was mich an unseren Projekten reizt: Wir sehen jede Woche andere Infrastrukturen und arbeiten mit den unterschiedlichsten Charakteren zusammen, immer mit dem Ziel Schwachstellen zu schließen.

Dein Unternehmen hält auch Vorträge mit Live Hacking. Muss man da ein bisschen Showman sein, um Mitarbeiter*innen von IT-Abteilungen mitzureissen?
Ja, das ist absolut wichtig. Und man muss für die jeweilige Sache „brennen“. Man braucht sich dabei nur an die eigene Schulzeit zu erinnern: Die Lehrer, die mit Begeisterung bei der Sache waren, können am besten Inhalte vermitteln. Genauso wichtig ist natürlich auch das Know-how. Schwachstellen müssen richtig erklärt und Absicherungsmaßnahmen logisch und passend sein. Ein KMU hat beispielsweise schlicht andere Anforderungen und Ressourcen als ein Großunternehmen.

Thomas Weber – CyberDanube

CyberDanube hat sich auf präventive Maßnahmen und die Absicherung von Industrie 4.0 spezialisiert, sowie der Umgebungen von industrieller und Produktinfrastrukturen. Einer der Gründer ist Thomas Weber.

futurezone: Hatte die ACSC Einfluss darauf, dass du dich für eine Karriere in der IT-Sicherheit entschieden hast?
Thomas Weber: Ich habe mich mit IT-Security schon während meiner Zeit an der HTL St. Pölten privat beschäftigt. Durch die Qualifikationsrunden der ACSC während dem Bachelorstudium TI (an der TU Wien) habe ich mich jedoch tiefgreifender mit dem Thema befasst und gemerkt, dass IT-Security genau zu mir passt.

Wie oft hast du an der ACSC teilgenommen?
Insgesamt 3 Mal. Das erste Mal war ich 2014 im Finale der ACSC. Die Jahre 2015 und 2016 war ich dann sowohl im Finale der ACSC als auch der ECSC. Im Jahr 2015 in der Schweiz haben wir den ersten Platz bei der ECSC für Österreich erreicht.

Wann hast du den Entschluss gefasst, ein eigenes Unternehmen zu gründen?
CyberDanube wurde im Sommer 2022 gegründet. Wir (Mario und ich) wollten Software für die Security in industriellen Umgebungen zur Verfügung stellen. Die Rahmenbedingungen (Prototypen, Kapital, etc.) haben zu dem Zeitpunkt sehr gut gepasst, was uns schlussendlich dazu bewegt hat zu gründen. Wir sind aktuell 4 Leute: Sebastian Dietz (auch ein ehem. Teilnehmer der ACSC), David Blagojevic, Mario Trompeter, und ich.

CyberDanube hat sich auf die Sicherheit von Industrie 4.0 fokussiert. Was ist besonders spannend an Cybersecurity in diesem Bereich?
In der Industrie werden besonders viele vernetzte Komponenten eingesetzt, die einen hohen Grad an Integration aufweisen. Die verwendeten Betriebssysteme und auch der Aufbau der Elektronik setzen viel Verständnis für Elektrotechnik und Informatik voraus. Diese technischen Herausforderungen im Rahmen von tiefgreifenden Sicherheitsüberprüfungen zu meistern ist extrem spannend. Im Ernstfall den Überblick über kritische Prozesse sowie die Nerven zu behalten ist im industriellen Umfeld nicht trivial, da es dann meist um sehr, sehr kostbare Zeit geht. In solch einem Umfeld bewegen wir uns bei CyberDanube.

Was könnt ihr Kunden bieten, die vielleicht bisher nicht mal wussten, dass Industrie 4.0 eine erhöhte Cybersecurity erfordert?
Wir sind ein sehr spezialisiertes Team aus Security-Experten, welche Embedded/Industrial Security als Fokus hat und nehmen besonders Kunden ohne Vorwissen an die Hand, um Cybersecurity-Risiken auch im Industrie-Umfeld zu entdecken und zielgerichtete Maßnahmen abzuleiten. Wir analysieren Architekturen von OT bzw. Industrienetzwerken und wirken beratend an der iterativen Hebung des Cybersecurity-Levels mit. Dabei führen wir auch technische Sicherheitsüberprüfungen von ganzen (Prozessleit-)Systemen bzw. einzelner Industriekomponenten in der Tiefe durch.

Mit unseren Software-Lösungen haben wir auch die Basis geschaffen um Pentester (spezialisiert auf OT/IoT/IIoT), Betreiber von Honeypots (oft in der Forschung) und Betreiber von Trainingsplattformen nachhaltig zu unterstützen. Unsere BCM/DR-Lösung sorgt außerdem für einen Überblick über die kritische Prozesslandschaft im eigenen Unternehmen. Wir haben außerdem ein Netzwerk an handverlesenen Partnern, auf das wir bei speziellen Anforderungen unserer Kunden zurückgreifen können.

Dieser Artikel entstand im Rahmen einer Kooperation zwischen futurezone und Cyber Security Austria.