Lernen wie Hacking geht und dies ganz legal? Was verbirgt sich hinter schützenswerten Daten und wie funktioniert ein realer Hackingangriff? Ist die Darstellung in Filmen wirklich so realistisch? Praktikumsplätze sind rar und gerade im Cyber Security Bereich nicht einfach zu finden. Andreas Pfefferle, Praktikant bei Redguard, gibt in diesem Beitrag einen Eindruck in sein Praktikum und seine Arbeit bei der Redguard AG.

Von “Mr.Robot” zum Praktikum

In Netzwerken Schwachstellen finden, sich unerkannt von System zu System bewegen, sich geheime Informationen von den Servern beschaffen - in etwa so geht Elliot Alderson in Mr. Robot vor, wenn er Datenzentren oder das FBI hackt. Die Serie wurde von vielen Seiten für ihre realistische Darstellung der technischen Details gelobt. Gerade jungen Informatikerinnen und Informatikern juckt es beim Anblick solcher Szenen in den Fingern, ihre technischen Fähigkeiten ähnlich wie der Protagonist aus Mr. Robot praxisnah - also nicht nur in einer Lab-Umgebung - auszuprobieren. Wäre da nicht das Problem, dass man sich dann schnell am Rande zur Illegalität bewegen würde, denn ohne explizite Erlaubnis durch die Betreiber sind gewisse Aktivitäten strafbar. Besser wäre es, wenn man sich auf komplett legalem Boden bewegen würde, beispielsweise wenn man im Rahmen eines Penetration Tests vom Betreiber der Infrastruktur dazu beauftragt wird, Systeme auf ihre Sicherheit zu testen und die gefundenen Fehler dem Auftraggeber zu melden. Um sich einen Eindruck machen zu können, ob einem der Job als Penetration Tester gefällt, eignet sich ein Praktikum bei Redguard hervorragend.

Warum Redguard für den Einstieg in die Cyber Security Welt

Mir persönlich ist Redguard erstmals im Februar 2020 aufgefallen, als ich das Booklet der VIS Kontaktparty, der grössten IT-Recruitingmesse der Schweiz, durchblätterte. Ich war zum damaligen Zeitpunkt vor allem an Firmen interessiert, die etwas mit dem Thema IT-Security zu tun haben. Redguard ist dabei hervorgestochen, da sie als eine von wenigen Firmen Penetration Tests angeboten haben. Das fand ich schon länger sehr interessant, weshalb ich direkt ihre Webseite aufgesucht habe, um mehr über die Dienstleistungen und Firma zu erfahren. Mir wurde schnell klar, dass ich bei der VIS Kontaktparty unbedingt zu ihrem Stand gehen möchte. Leider kam es nicht so weit, denn die Messe wurde aufgrund der damals aufkommenden Corona-Pandemie kurzfristig abgesagt. Dies hielt mich wenig später nicht davon ab, mich einfach mal bei Redguard als Praktikant zu bewerben. Auch Redguard war daran interessiert, eine solche Position zu besetzen. Aus Sicht von Redguard, so wurde mir gesagt, ist vor allem Neugier und Interesse am Thema IT-Sicherheit wichtig. Nach zwei Corona-konformen Interviews per Video-Call war es dann ausgemacht, dass ich im Sommer mit dem Praktikum beginnen kann.

Einblicke in meine Arbeit als Praktikant

Zu Beginn des Praktikums durfte ich zunächst ein paar Tage das “Vulnerable Social Network” (VSN) testen. Das VSN ist eine Web-Anwendung mit einer Vielzahl von Sicherheitslücken und fehlerhaften Einstellungen, die bei Redguard auch für Schulungen im Bereich der sicheren Software-Entwicklung für Kunden eingesetzt wird. Ich sollte damit unter anderem das Reporting von Schwachstellen lernen, schliesslich müssen die Erkenntnisse aus einem Penetration Test auch an die Kunden in einer verständlichen Weise kommuniziert werden, damit allfällige Fehler korrigiert werden können. Dazu verwendet Redguard die eigens dafür entwickelte Reporting Engine, mit deren Hilfe Abschlussberichte sehr effizient erstellt werden können. Neben der Arbeit am VSN, gab es für mich in der ersten Woche eine Reihe von Einführungen in die verschiedenen Arbeitsgebiete von Redguard. Beispielsweise wurden mir die Aufgaben der Security Consultants bei Redguard gezeigt und auch die Research-Aktivitäten wurden vorgestellt. Von Beginn an stand Nina, Senior Security Testerin und Deputy Team Leader, als Betreuerin über die gesamte Dauer des Praktikums an meiner Seite. Sie organisierte meine Einsätze in verschiedenen Projekten und war immer die erste Ansprechperson für meine Anliegen als Praktikant. Ausserdem gab es mit ihr in regelmässigen Abständen Meetings, um uns über zurückliegende Projekte auszutauschen und anstehende Aufgaben zu besprechen.

Bereits in der zweiten Woche konnte ich mit zwei weiteren Arbeitskollegen bei meinem ersten Kundenprojekt mitwirken. Es handelte sich dabei um einen Web Penetration Test, bei dem ich schon einige Tools einsetzen konnte, die man zuvor nur in den Lab-Umgebungen ausprobieren durfte. Bei diesem Projekt hat sich bereits gezeigt, wie wertvoll es ist, wenn man erfahrene Kollegen hat, die bei Fragestellungen zum allgemeinen Vorgehen, zu den eingesetzten Tools oder zum Reporting direkt weiterhelfen können. Nach einigen Monaten konnte ich im Herbst bereits kleinere Web Penetration Tests überwiegend selbstständig durchführen. Dabei hatte ich jederzeit einen erfahrenen Security Tester als Ansprechpartner zur Verfügung, der mir bei allfälligen Fragen und Problemen weiterhelfen konnte. Zusätzlich war dieser auch verantwortlich für die Qualität meiner Arbeit, damit diese auch jeweils durch ein 4-Augen-Prinzip geprüft wurde, bevor der Kunde den Abschlussreport erhalten hat.

Nur kurze Zeit nach dem ersten Penetration Test durfte ich auch erstmals bei einer Attack Simulation mitwirken. Anders als bei Penetration Tests, bei denen der Scope des Projekts vor Beginn klar eingegrenzt wird (zum Beispiel nur die Login-Maske auf einer Webseite), werden bei Attack Simulations realistische Angriffszenarien komplett durchgespielt. Dies beinhaltet unter anderem OSINT, Social Engineering, Spear Phishing, Malware Infection und interne Angriffsvektoren. Mein Aufgabengebiet war es zunächst, öffentliche Informationen zum Auftraggeber und dessen Mitarbeitenden zusammenzutragen. Die gewonnenen Informationen waren die Basis für das anschliessende Spear-Phishing, was ich in Absprache mit meinen Arbeitskollegen erstellt habe. Als die E-Mails schliesslich verschickt wurden, wartete ich gespannt vor dem Bildschirm, bis die ersten Benutzernamen und Passwörter von uns aufgezeichnet werden konnten. Mein Projekt-Team, welches sich zu diesem Zeitpunkt beim Auftraggeber vor Ort befand, konnte diese Informationen für den internen Angriff weiter ausnutzen. Insgesamt war es spannend, mitzuerleben, wie viel man sich im Projekt-Team miteinander austauschen muss, damit ein solcher Angriff in der vorgegebenen Zeit reibungslos funktioniert. Bei einer anderen Attack Simulation einige Monate später kümmerte ich mich mit einem Arbeitskollegen um die Durchführung des Malware Infection Moduls. Dabei wurde uns ein gehärteter Client-Rechner des Kunden zur Verfügung gestellt, damit wir verschiedene Schadsoftware ausprobieren konnten. Zwar gestaltete sich die Kommunikation mit unserem Command-and-Control Server als sehr schwierig, allerdings konnten wir durch die Expertise meines Teamkollegen eine kreative Lösung finden.

Weiterentwicklung auch im Consulting Bereich

Das Praktikum als Security Tester hat auch das Ziel, möglichst viele Arbeitsbereiche von Redguard kennenzulernen und sich mit den gängigen technischen Tools vertraut zu machen. Aus diesem Grund konnte ich auch bei einigen Projekten aus dem Security Consulting mitwirken, damit auch da Know-how aufgebaut werden konnte. Beispielsweise wurde von einem Kunden eine Marktstudie zum Thema Docker Security Scanner in Auftrag gegeben. Da ich bereits ein wenig Erfahrung mit der Sicherheit von Docker hatte, war es für mich umso interessanter, mich noch tiefer im Bereich der Security Scanner zu informieren, zumal es dort in den letzten Jahren eine Reihe von Neuentwicklungen gab. Bei einer weiteren interessanten Marktstudie konnte ich verschiedene Verschlüsselungslösungen für Cloud-Speicher miteinander vergleichen. Auch bei diesem Projekt konnte ich lernen, wie man seine Ergebnisse für den Kunden verständlich aufbereitet. An der Schnittstelle zwischen den Security Testern und Security Consultants gibt es oft gemeinsam durchgeführte Phishing-Kampagnen, bei denen die Tester einen Phishing-Angriff auf die Mitarbeitenden eines Kunden simulierten und die Consultants Awareness-Schulungen beim Kunden durchführten.

Fazit und Empfehlung

Neben den vielen interessanten Projekten ist es auch die Redguard-Kultur, die das Arbeiten so angenehm macht. Mehrmals im Jahr gibt es beispielsweise Redguard Exchanges, bei denen Mitarbeitende aus ihren Expertgebieten Präsentationen halten, damit das Know-how intern weitergegeben wird. Ähnlich sind die Talk Thursdays, die monatlich stattfinden. Bei den Research Days geht eine Gruppe von Testern sowie Consultants an einen entfernten Ort, um sich dort für eine Woche auf ein bestimmtes Research-Thema konzentrieren zu können. Das jährliche Team Retreat, bei welchem sich das gesamte Redguard Team im Ausland einige Tage voller Konzentration den Themen wie Weiterentwicklung, Verbesserung sowie Optimierung widmet, wird natürlich auch von Teamaktivitäten und Spass begleitet. Aufgrund der Corona-Pandemie war das ähnlich wie das Team Retreat im letzten Jahr nicht möglich, aber alleine die Fotos aus vergangenen Jahren machen Vorfreude auf zukünftige Veranstaltungen. Auch ausserhalb dieser Events wird bei Redguard viel Wert darauf gelegt, dass die Redguard-Kultur gepflegt wird, beispielsweise beim gemeinsamen Mittagessen oder beim Feierabendbier.

Grundsätzlich würde ich ein Praktikum bei Redguard jedem empfehlen, der sich für das Thema IT-Security interessiert und gerne Erfahrung im Bereich Penetration Testing sammelt. Zusätzlich erhält der Praktikant die Möglichkeit, auch andere Themengebiete der Informationssicherheit besser kennen zu lernen. Aus meiner Sicht ist es ein niedrigschwelliger Einstieg, selbst wenn man vor dem Praktikum noch kein absoluter Experte in allen Aspekten des Penetration Testings ist. Man lernt in kurzer Zeit unglaublich viel, nicht nur auf fachliche Aspekte bezogen, sondern beispielsweise auch sehr viel über den ganzen IT-Sektor in der Schweiz. Gerade durch die vielen abwechslungsreichen Projekte kann man in sehr viele verschiedene Firmen und Branchen hineinschauen, viele Netzwerkarchitekturen kennenlernen und man beschäftigt sich mit dem gesamten Technologie-Stack.

Wenn ich nochmal ein Jahr zurückgehen könnte und mich nochmals für eine Bewerbung bei Redguard entscheiden müsste, würde ich mich auf jeden Fall erneut dafür entscheiden. Ausserdem hat das Praktikum auch dazu beigetragen, dass ich nach dem Abschluss meines Studiums direkt bei Redguard als Security Tester einsteigen kann.

Schlussendlich gilt es noch die Frage zu klären, ob durch ein Praktikum als Security Tester ein ähnliches Gefühl aufkommt wie bei “Mr. Robot”. Sicherlich ist der Alltag nicht in jeder Hinsicht ganz so nervenaufreibend wie die illegalen Aktivitäten von Elliot Alderson. Dazu sei allerdings angemerkt, dass es unter anderem während einer Attack Simulation so manche Situationen gibt, bei denen es so richtig spannend wird, beispielsweise beim Versenden von hunderten von Phishing-Mails und dem anschliessenden Warten auf die ersten Ergebnisse.