„100-prozentige Sicherheit gibt es nicht“ –
IT-Security-Spezialist Ulf Leichsenring im Gespräch

Mein Arbeitsalltag besteht aus dem typischen Projektgeschäft. Im Bereich IT-Security gibt es zwei Projekttypen: Entweder geht es um die Gestaltung einer konzeptionellen Sicherheit, beispielsweise wenn ein IoT-Device gebaut oder etwas in die Cloud verlagert werden soll. Ich achte dann darauf, dass bei einem Projekt die IT-Sicherheit von Anfang an hinreichend berücksichtigt wird. 

Beim zweiten Projekttyp geht es eher um das „Kaputtmachen“. Der Kunde hat eine Website, ein IT-Produkt oder eine IT-Lösung und es ist meine Aufgabe, das Ganze kritisch mit den Augen eines Angreifers zu sehen. Ich muss versuchen, die Website oder die IT-Lösung in geordneter Form zu zerlegen. Ein typisches Beispiel ist ein Penetrationstest (Anm. d. Red.: ein umfassender Sicherheitstest, bei dem Systembestandteile und Anwendungen eines Netzwerks oder Softwaresystems geprüft werden. Dies geschieht unter Verwendung von Mitteln und Methoden, die ein Angreifer bzw. Hacker nutzen würde). Einmal geht es also darum, im Rahmen eines Projektes etwas zu entwerfen und zu gestalten. Aber zu meinen Aufgaben gehört auch, Fehler aufzuzeigen.

Ich bin für Kunden aus allen Branchen tätig: Banken, Medizingerätehersteller, Verlage, Logistikunternehmen und Firmen aus der Automobil- und Luftfahrtindustrie, um nur einige zu nennen. Denn das fachliche Know-how der Branche ist für meine Arbeit meist nicht entscheidend. Zwar muss man die Prozesse erkennen und hinterfragen, aber wenn es um die technische Sicherheit geht, sind die Grundfragen meist die gleichen.

Es ist ein Job, bei dem man mit Herzblut und Leidenschaft dabei sein muss, persönliches Interesse ist hier besonders wichtig. Ich bilde mich permanent weiter und lese mich in Sachen ein, die mir im Arbeitsalltag begegnen. Aus meiner Sicht ist es ein hochspannendes und dynamisches Themenfeld. Im Bereich der IT-Security gab es in den vergangenen 20 Jahren ständig Veränderungen und Neuerungen. Für mich ist meine Tätigkeit eine Mischung aus Hobby und Beruf.

Ich habe mich bereits mit 15 Jahren für das damals aufkommende Thema der Heimcomputer interessiert. Nach der Schule hatte ich dann die Möglichkeit, Wirtschaftsinformatik zu studieren, und habe diese Chance ergriffen. Das Studium dauerte bis 1991, danach war ich etwa vier Jahre in der Software-Entwicklung tätig. Als Mitte der Neunziger das Internet langsam aufkam, hatte ich dann ein neues Betätigungsfeld, das mich faszinierte. Neben den Kommunikations- und Informationsmöglichkeiten, die es bietet, habe ich gemerkt, dass auch eine Menge Schadenspotenzial dahintersteckt. Besonders, wenn es jemand mit genügend kreativer Energie und krimineller Motivation nutzt, um anderen zu schaden oder um sich zu bereichern.

Ein IT-Berater im Security-Bereich muss sich komplett auf eine Sache fokussieren können, um die technischen Details vollständig zu durchdenken. Aber nicht jeder, der im Bereich IT-Security gut ist, eignet sich auch für die Beratung. Eine gute Kommunikationsfähigkeit mitzubringen, ist elementar, um dem Kunden in verständlicher Form die Probleme und die Lösungsmöglichkeiten erklären zu können.

Besonders wichtig sind außerdem analytische Fähigkeiten. Diese sind notwendig, um bei einem komplexen Konstrukt – sei es eine Software, ein System oder ein Prozess – herauszufinden, wie dieses genau funktioniert und ob ein Angreifer an Informationen gelangen kann, die er eigentlich nicht bekommen sollte. Dabei ist es hilfreich, Probleme spielerisch anzugehen und die vorgegebenen Wege zu verlassen. Oder auch Dinge auf eine Art und Weise auszuprobieren, für die sie eigentlich nicht gedacht sind. Also zum Beispiel zwei Knöpfe auf einmal zu drücken und zu gucken, was passiert. Ein IT-Security-Berater benötigt deshalb einerseits Kreativität in Bezug auf Technik, aber er muss dieser andererseits auch kritisch gegenüberstehen und Sachen hinterfragen.

Außerdem ist die Erkenntnis wichtig, dass es 100-prozentige Sicherheit oder eine perfekte Lösung nicht gibt. Menschen machen Fehler und wenn sie Systeme entwerfen, bedeutet das, dass diese Systeme Fehler haben werden. Auch dann, wenn das Produkt qualitativ sehr hochwertig ist. Deshalb gehört auch eine gewisse Demut angesichts der Komplexität technischer Systeme mit dazu.

Bei IT-Security-Projekten arbeitet man als Berater meist sehr eigenständig. In der Regel habe ich mehrere Projekte parallel und bin dann zum Beispiel Montag und Dienstag bei einem Kunden und arbeite die restliche Woche für ein anderes Projekt.

In der Regel bin ich drei bis vier Tage pro Woche deutschlandweit auf Reisen und beim Kunden vor Ort. Den Rest der Zeit arbeite ich am Standort in Norderstedt oder vereinzelt auch im Homeoffice.

Unter den Kollegen herrscht ein sehr enger Zusammenhalt. Die Unternehmenskultur ist geprägt von Fairness, Ehrlichkeit und Authentizität und einem gemeinsamen Qualitätsanspruch. Hier steht nicht nur die Gewinnmaximierung im Vordergrund. Es geht immer darum, die beste Lösung für den Kunden zu finden.

Lufthansa Industry Solutions fördert zudem sehr stark die Kommunikation der Mitarbeiter untereinander. Auch wenn wir, wie bereits erwähnt, alle oftmals in unterschiedlichen Projekten arbeiten, gibt es regelmäßig Möglichkeiten, sich intern auszutauschen. Sei es in Form wöchentlicher Calls oder von Firmentreffen. So kann man Ideen auf der fachlichen Ebene miteinander diskutieren und sich über neue Entwicklungen austauschen. Das ist gerade für Leute, die im Bereich der IT-Security arbeiten, sehr wichtig.