Zum Inhalt gehen

Technische Kompetenz trifft kommunikative Begabung: Cybersecurity Analytics bei Capgemini

Capgemini Karriere
29. Okt. 2021

Cybersecurity betrifft alle: Individuen, Unternehmen, Gesellschaften. Im Interview erzählt Norbert Olbrich vom Wettrüsten mit IT-Angreifer*innen, warum Cybersecurity häufig Chefsache ist und wie Bewerber*innen bei ihm Eindruck hinterlassen.

Norbert Olbrich beschäftigt sich seit fast 30 Jahren mit Cybersecurity. Als Managing Cybersecurity Consultant bei Capgemini in Frankfurt ist er zum Agnostiker geworden: Eine einzige richtige Sicherheitslösung gibt es nicht. Es kommt darauf an, für jedes Unternehmen die passenden Tools zu finden und zu kombinieren, unabhängig vom Hersteller. Ein Gespräch über die Security-Themen, die er täglich managt, und den Ehrgeiz, mögliche Schwachstellen zu identifizieren und besser zu sein, als die Cyber-Kriminellen.

Cyber Defense ist kein Nischenthema

Cyber Defense ist als Thema in der Öffentlichkeit angekommen. Wieso ist das so?

Die Menschen verstehen immer besser, dass die Wirtschaft, der Staat und sie selbst einer ständigen Bedrohung unterliegen. Phishing und Ransom Ware-Attacken nehmen rapide zu, viele Milliarden kompromittierte Kundendaten werden von Betrüger*innen benutzt, um sich als jemand anderes auszugeben und unbefugt Zugang auf fremde Systemen zu erlangen. Und die ganze Welt ist immer stärker vernetzt. Dadurch steigt das Risiko, dass Kriminelle Sicherheitslücken ausnutzen, um Unternehmen oder Privatpersonen zu schaden.

Welche Arten von Security Incidents decken Cybersecurity Analysts am häufigsten auf?

Die Bedrohungslage verändert sich ständig. Früher hatten Angreifer*innen es auf Informationen abgesehen, die monetär verwertbar sind. Heute zielen Attacken darauf ab, so viele Daten wie möglich zu sammeln. Personenbezogene Daten sind immer interessant. Angreifer*innen wollen wissen, bei welchen Unternehmen Personen arbeiten, um über die Betroffenen dann eine Phishing-Attacke auf den Arbeitgeber zu starten. Ein zeitloses Bedrohungsszenario bleibt Ransom Ware und klares primäres Ziel sind Unternehmen.

Und welche Erkenntnisse zeigt Cybersecurity Analytics bezüglich der Tools, die Angreifer*innen nutzen?

Die Angriffe werden immer ausgefeilter und mögliche Schwachstellen werden gnadenlos ausgenutzt. Insbesondere vollautomatisierte Angriffe mit Hilfe von Künstlicher Intelligenz stellt uns Cybersecurity-Expert*innen vor neue Herausforderungen. Durch KI-Unterstützung und Big Data Ansätze, lassen sich viel größere Angriffe koordinieren. Außerdem kann KI potenzielle Opfer von der Echtheit einer E-Mail oder eines Telefonanrufs überzeugen, sodass die Betroffenen sensible Unternehmensdaten von sich aus preisgeben. Sie ahnen gar nicht, dass es sich bei Anrufer*innen oder Absender*innen von Mails um keine echten Menschen handelt. Hinter den verwendeten Tools stehen extrem schlagkräftige und professionelle Organisationen oder organisierte Gruppen, die keinesfalls unterschätzt werden sollten.

Threat Intelligence: Die Kunst zu wissen, woher ein Angriff kommt

Für Cybersecurity Analysts dreht sich ja alles um Threat Intelligence: Die Schwachstellen im eigenen System zu kennen.

Früherkennung und vorbereitende Planung ist das oberste Ziel, damit wir nicht immer nur reagieren müssen, sondern auch die Initiative ergreifen können. Um letztlich zu verhindern, dass Daten das Unternehmen unerlaubt verlassen – wir sprechen hier von einem Data Breach, dem erfolgreichen Ausnutzen einer Sicherheitslücke mit Datenverlust.

Mit welchen Mitteln wehrt Capgemini Cyberattacken ab?

Wir bauen in erster Linie auf traditionelle Security Tools, wie beispielsweise IDS/IPS, SIEM, EDR, Big Data, TI, SOAR, UEBA uvm. Vor allem der SIEM-Bereich (Security Information and Event Management) steht derzeit im Mittelpunkt der Analyse sicherheitsrelevanter Vorfälle in Echtzeit. Damit gewährleisten Cybersecurity Analyst*innen ein komplettes Monitoring aller unterschiedlichen Netzwerk-Komponenten und Umgebungen. Technologien wie xDR (NDR, MDR, EDR, usw.) bieten eine hohe Qualität bei der Erkennung und der Analyse von Angriffen. Viele Auffälligkeiten erscheinen nicht in den Log-Informationen, sondern müssen mittels Expertentools in methodischer Datenanalyse ermittelt werden. An dieser Stelle setzen wir zunehmend Künstliche Intelligenz ein.

Cyber Defense bedeutet also auch: Ihr zieht mit den Angreifer*innen gleich?

Es ist ein ewiger Wettlauf um die besten Technologien und kreativsten Ansätze. Und ja: unser Ziel ist es, den Angreifern stets einen Schritt voraus zu sein! Auf unserer Seite bieten  Künstliche Intelligenz und Big Data Ansätze vielversprechende Möglichkeiten, insbesondere bei der automatisierten Erkennung, und bringen so wertvolle Zeitvorteile mit sich, bei einer sehr geringen Fehlerquote. Deshalb erwarte ich bei Automatisierungsprozessen oder z. B. im Bereich Internet der Dinge noch sehr viel mehr Möglichkeiten für diese Technologie und einen weiteren Ausbau der Agilität.

Im IT-Security-Bereich sind viele namhafte Unternehmen aktiv. Auf welche Hersteller setzt Capgemini?

Capgemini ist Hersteller-agnostisch, das heißt wir bauen unsere Sicherheitsinfrastruktur so auf, dass wir nicht von einem einzigen Hersteller abhängig sind. Capgemini unterhält viele Technologie-Partnerschaften, um die für den Kunden am besten passenden On-Premise oder Cloud Lösung einsetzen zu können. Dafür sind unsere Sicherheitsspezialist*innen auf die einzelnen Lösungen der Hersteller zertifiziert. Dazu gehören viele namhafte globale Hersteller wie beispielsweise FireEye, IBM, Microsoft, Splunk, tenable, Trend Micro. Darüber hinaus wenden wir Lösungen von weiteren Anbietern an, um bei unseren Kunden möglichst alle Bedrohungsszenarien abdecken zu können.

Die Anforderungen an Cybersecurity Analysts sind vielseitig

Nenne uns einen typischen Fall, mit dem sich ein Cybersecurity Analyst bei Capgemini beschäftigt.

Wir können generell zwei Situationen unterscheiden, in denen unsere Sicherheitsspezialist*innen jeweils nach dem gleichen Ansatz „Secure – Analyse – Present“ vorgehen:

Zum einen haben wir Kunden, die bereits ein starkes Sicherheitsbewusstsein haben und ein Security Operations Center betreiben. Das ist der Ort, an dem alle Sicherheitsinformationen zusammenlaufen und die Cybersecurity gesteuert wird. Wir arbeiten dann gemeinsam daran, wie sich die Kundenprozesse oder Erkennungsraten optimieren lassen oder auch durch zusätzliche Services, die Sicherheit der Kundenumgebung weiter ausgebaut werden kann.

Andererseits gibt es Kunden, für die Sicherheit bisher noch nicht im Vordergrund stand. Hier stellen unsere lokalen Security Consultants den aktuellen Stand der Security fest und erarbeiten das bestmögliche Sicherheitskonzept. Sie definieren in enger Absprache mit den Kunden gemeinsam die Prozesse und Aktivitäten um dieses Ziel zu erreichen.

Cyber Defense ist also auch viel Kommunikationsarbeit?

Ja, wir führen kundenseitig nicht nur in einzelnen Abteilungen Gespräche, sondern mit dem CSO (Chief Security Officer) und sogar dem Vorstand (CEO). Das gehört zu unserem Ansatz „Secure – Analyse – Present“: Wir erklären und präsentieren sehr viel und bringen das Umsetzungs-Know-How mit. Die sicherheitsrelevanten Entscheidungen treffen wir gemeinsam mit unseren Kunden. Für unsere Cybersecurity Analysts ist das ein sehr spannendes Umfeld.

Wo sitzen die Unternehmen, mit denen eure Cybersecurity Analysts arbeiten?

Viele unserer Kunden sind globale Unternehmen, die auch in anderen Ländern arbeiten, aber eine durchgängige Cybersecurity wünschen. In diesen Fällen ist die Unternehmensstruktur von Capgemini ein enormer Vorteil. Wir sind weltweit in 140 Ländern vertreten und können den Wunsch nach einer ganzheitlichen, grenzüberschreitenden Sicherheitsstrategie gut abbilden. Aber auch regionale Unternehmen profitieren von Capgeminis Expert*innen und unserem engmaschigen Netzwerk aus Cyber Defense Centern.

Aus dem Arbeitsalltag eines Cybersecurity Analysts

Von der Projektebene zum Arbeitsalltag: Welche Aufgaben fallen im Bereich Cybersecurity Analytics an?

Unsere Cybersecurity Consultants verantworten das Tagesgeschäft innerhalb der Kundenprojekte – entweder vor Ort oder remote. Sie überlegen: Wo sind die Risiken, welche Use Cases müssen berücksichtigt werden und wodurch kann ich die Sicherheit beim Kunden erhöhen? Sie unterstützen unsere Kunden, übernehmen die Planung und Vorausschau, arbeiten Lösungen und Verbesserungen für Prozesse aus oder betätigen sich in der Forensik. Sie schauen sich die Systeme im Detail an, überprüfen Konfigurationen und testen sie auf Sicherheitslücken.

Die Arbeit ist vergleichbar mit einem Tauchgang: Auch hier ist es wichtig, im Vorfeld alle Risiken vorauszusehen und alles minutiös zu planen, um am Ende wieder sicher auftauchen zu können.

Als Cybersecurity Consultant benötigt man ein breites Know-how und Erfahrungen mit den relevanten Tools und Prozessen. Wir müssen auf dem aktuellen Stand sein bei Diskussionen rund um Sicherheitsthemen und dieses Wissen vermitteln können. So werden die Kunden mitgenommen und fühlen sich kompetent beraten.

Es finden nicht täglich Angriffe statt. Kannst du uns ein Beispiel für Abläufe außerhalb der Worst-Case-Szenarien nennen?

Das ist richtig, auch wenn man den Zeitpunkt nie im Voraus kennt, wann Angriffe erfolgen. Neben der aktiven Bearbeitung und Untersuchungen von Angriffen, verbringen wir die meiste Zeit damit, die Sicherheitslage zu optimieren, zukünftige Planungen voran zu treiben und viele Abläufe zu dokumentieren. Der strategische Aspekt ist sehr wichtig in unserem Arbeitsalltag.

Sicher bist du auch schon selbst in einen außergewöhnlichen Security Incident hineingeraten.

Das ein oder andere Mal, ja. Natürlich wünsche ich das keinem Kunden – aber einen Angriff aufzudecken ist wirklich sehr interessant. Am Anfang ist alles auf Schadensbegrenzung angelegt. Gefolgt von der Forensik, um herauszufinden, was genau passiert ist und wer hinter der Attacke steckt. Das ist eine sehr befriedigende Arbeit, die nur im Team oder im Sonderfall mit externen Spezialisten gelöst werden kann. So lernen wir immer viel dazu. Und im Falle von Datenschutzverletzungen kommt zusätzlich die Zusammenarbeit mit den zuständigen Behörden hinzu.

Cyber Defense: Lernen ist wichtiger als Wissen

Wir sprachen über das Wettrüsten zwischen Angreifer*innen und Cybersecurity Professionals. Ist Cybersecurity-Wissen vor diesem Hintergrund nicht sehr schnell veraltet?

Deshalb ist Weiterbildung für Capgemini und in der Cyber Defense extrem wichtig. Bei uns arbeiten Junioren, die direkt von der Uni kommen, und Senioren, die schon einige Jahre im Unternehmen sind. Für sie alle bietet Capgemini vielseitige Weiterbildungsprogramme an. Das können hausinterne Schulungen sein, zum Beispiel unsere Capgemini University in Les Fontaines in Paris. Die hat sogar einen eigenen Campus. Darüber hinaus bieten wir auch Trainings an, online oder in Präsenz, um allen Mitarbeitenden die perfekte Grundlage für ihre individuelle Weiterentwicklung und berufliche Karriere zu geben.

Damit deckt ihr sicher schon einen Großteil des Lernbedarfs ab?

Trotzdem kommen noch externe Trainings hinzu, Hersteller-Trainings etwa. Als Mitarbeitende sind wir auch in verschiedenen internationalen Security Communities aktiv, in denen Expert*innen Spezialfälle diskutieren. Bei Capgemini ermutigen wir unsere Kolleg*innen auch immer, ihr Netzwerk auszubauen. Gute Kontakte zu anerkannten Expert*innen helfen uns, Probleme besser zu verstehen und schneller zu lösen. Deshalb empfehlen wir unseren Mitarbeitenden und Kunden genau dasselbe: Vernetzt euch. Dies spart im Notfall wichtige Zeit!

Und ihr teilt das Capgemini Know-how ebenfalls weiter?

Ja, wir haben sehr viele interne Security-Kanäle in unterschiedlichen Communities. Aber auch soziale Netzwerke und der Austausch mit Kunden und Technologie-Partnern ist für uns eine wichtige Grundlage. Im Forschungsbereich arbeiten wir mit einigen Universitäten zusammen, halten dort Fachvorträge oder organisieren gezielte IT-Security-Veranstaltungen.

Diese Skills bringen angehende Cybersecurity Analysten mit

Wenn ihr in eurem Bereich nach Professionals sucht, welche Skills sind euch wichtig?

Natürlich gute IT-Grundlagen und analytische Fähigkeiten. Wir achten auch auf Zertifizierungen, da unsere Kunden in Projekten häufig Nachweise darüber sehen möchten, dass unsere Mitarbeiter*innen Erfahrungen in bestimmten Bereichen und mit bestimmten Tools haben. Diese Zertifikate kann man am besten im Rahmen eines Trainings machen, bei Technologie-Herstellern (wie z.B. Microsoft oder IBM), bei denen wir eigene Communities unterhalten. Neben diesen produktspezifischem Know-how, sind Zertifizierungen im Bereich IT-Grundschutz sehr hilfreich, aus der ISO/IEC Reihe oder das Zertifikat CISSP (Certified Information System Security Professional).Das setzt eine fünfjährige Berufserfahrung voraus, bevor Kandidat*innen die Prüfung ablegen dürfen.

Eignet sich das Feld Cybersecurity Analytics eigentlich für Quereinsteiger*innen?

Ja – denn aus meiner Sicht ist die Motivation, sich intensiv einzuarbeiten und weiterzubilden, mit die wichtige Voraussetzung für unser Berufsfeld. Egal ob man ganz frisch, quer oder spät bei uns einsteigt.

Ein Beispiel: einer unser heutigen SIEM-Spezialisten in der Cybersecurity kam ursprünglich aus dem IT-Servicebetrieb zu uns – und betätigt sich mit sehr großem Erfolg seit über 30 Jahren in unserem sehr interessanten Bereich. Gerade wer schon als Solution Architekt*in, Netzwerker oder Betriebssystem-Spezialist*in arbeitet, kann sich bei uns sehr gut umorientieren und Sicherheitskenntnisse weiter ausbauen.

Und es gibt beispielsweise auch Jurist*innen, die in die Cybersecurity wechseln. Sie interessieren sich dann schwerpunktmäßig für Governance, Risk und Compliances. Das ist ein Herzstück der Compliance in der IT, wo über grundlegende Ausrichtungen und Richtlinien entschieden wird. Gerade diese Kolleg*innen, die mit hoher Motivation als Quer-oder Späteinsteiger*innen zu uns kommen, bringen beim Kunden die Begeisterung für dieses Thema oft besonders gut rüber.

Wie steht es um die Soft Skills, die in eurem Job wichtig sind?

In meinen Augen sind diese fast wichtiger, als fachspezifische Qualifikationen. Analytisches Denken, Begeisterung für Sicherheit und eine sehr gute Kommunikationsfähigkeit sind zentrale Grundlagen. Technisches Know-how lässt sich über die Weiterbildung aneignen und ausbauen. Aber sich im Cybersecurity-Feld wohlzufühlen, der Wille zum Lernen und Kunden zu beraten sind immens wichtig. Wer das im Vorstellungsgespräch zeigen kann, punktet.

Eine persönliche Frage zum Schluss: Du machst schon ganz schön lange Cybersecurity. Denkst du manchmal über einen Themenwechsel nach?

Ich bin seit fast 30 Jahren im Cybersecurity-Sektor aktiv und die weltweiten Projekte begeistern mich immer noch. Aus der Zusammenarbeit mit den unterschiedlichen Kunden und der Umsetzung ihrer besonderen Anforderungen ziehe ich eine Menge Freude. Außerdem ist Cybersecurity auch aus dem Privatbereich heute nicht mehr wegzudenken und gewinnt immer weiter an Bedeutung. Dies sollte auch für Quereinsteiger*innen ein guter Grund sein, sich für unseren Bereich zu interessieren.

Norbert, vielen Dank für den sehr persönlichen Einblick in dein spannendes Arbeitsfeld.

Erfahre mehr über das Berufsfeld Cybersecurity und den Einstieg bei Capgemini:

Sie sorgen in einer komplexen IT-Welt für Sicherheit. Mehr Infos zu Aufgaben und Weiterentwicklungsmöglichkeiten findest du hier.

Lerne Tatjana kennen und erfahre im Interview, wie ihr persönliches Werdegang aussah und wie sie “Women in Cyber” vernetzt.

Was Capgemini Absolventinnen und Absolventen bietet und wie der Job-Einstieg nach dem Studium aussehen kann, erfährst du hier.