Jobs für Security-Experten
Wer verdient 70.000 Euro im Jahr?
Für eine Juniorposition sollten die Bewerber Berufserfahrung aus verschiedenen Praktika bei Providern oder der Netzwerkindustrie mitbringen, für Seniorpositionen bringt die Erfahrung als Projektleiter Pluspunkte. "Wichtig ist uns die Teamfähigkeit, das ist existenziell wichtig und da machen wir keine Abstriche. Spezielles Fachwissen lässt sich über Weiterbildungen vermitteln." Rohde & Schwarz bildet selbst Fachinformatiker aus, auch das duale Studium zählt zum festen Bestandteil des Ausbildungsplans.
Erfahrung wichtiger als ein Zertifikat
Doch gerade weil die Wege zu einer Spezialisierung auf IT-Sicherheitsthemen noch breit gefächert sind, eröffnen sich auch neue Chancen für Berufserfahrene. Otto-Manager Kleinfeld rekrutierte kürzlich neue Mitarbeiter für dieses Arbeitsfeld und profitierte dabei vom guten Image seines Arbeitgebers. "Es war nicht schwieriger für uns, die offenen Positionen für IT-Security-Experten zu besetzen als andere IT-Stellen", verrät er. "Wer sich im Netzwerkbereich spezialisiert, viele Jahre im Informationssektor gearbeitet und sich weitergebildet hat, ist für uns interessant", erläutert Kleinfeld und ergänzt: "Berufserfahrung ist für uns wichtiger als ein Zertifikat."
Das Hamburger Unternehmen profitiert von seinem guten Ruf, bietet den Mitarbeitern flexible Arbeitszeiten, Home-Office, ein firmeneigenes Fitnessstudio und vieles mehr. "Für Bewerber ist unser Gesamtpaket aus Aufgabenstellung, Rahmenbedingungen und GehaltGehalt von Bedeutung - wie bei jeder anderen Tätigkeit auch", sagt Kleinfeld. Auch Rohde & Schwarz zahlt branchenübliche Gehälter und gilt auch wegen zahlreicher Zusatzleistungen vom Familienservice über Sportangebote bis zum Fitnessstudio und Betriebsrente als attraktiver Arbeitgeber. Alles zu Gehalt auf CIO.de
Für die Tochterunternehmen wünscht sich Troschke mehr Bewerber, obgleich das Unternehmen bereits einen guten Ruf unter Informatikern genieße. "Wir bieten interessante Aufgaben und einen sicheren Arbeitsplatz. KarriereKarriere ist für viele Informatiker nebensächlich, sie interessieren sich viel stärker für Technik und da haben wir als Unternehmen eine Menge zu bieten", so Troschke. Auch regelmäßige Trainings und Weiterbildungen sieht der Personaler als Pluspunkt im Rennen um talentierte Bewerber. Alles zu Karriere auf CIO.de
- Mangelhafte Code-Qualität
Probleme mit der Qualität des Codes stehen nicht ohne Grund auf Platz 1 dieser Liste. In einer Studie zur Softwaresicherheit in Unternehmen hat der Security-Anbieter Veracode festgestellt, dass bei mehr als der Hälfte aller getesteten Anwendungen die Code-Qualität ungenügend ist. Dieses Ergebnis ist erschreckend – und gleichzeitig ein Aufruf an alle Branchen, sichere Coding-Verfahren einzusetzen. Denn je später eine mangelhafte Qualität des Quellcodes festgestellt wird, umso aufwändiger wird es, sie zu verbessern – und umso länger ist die Anwendung angreifbar. - Kryptographische Probleme
Sobald es darum geht, wichtige Informationen, wie Passwörter, Zahlungsinformationen oder persönliche Daten zu speichern oder weiterzugeben, kann man davon ausgehen, dass dies auf die eine oder andere Weise auf verschlüsseltem Wege geschieht – damit diese widerstandsfähig gegen Manipulation und unbefugtes Lesen sind. 87 Prozent der Android Apps und 80 Prozent der iOS Apps haben mit Verschlüsselungsproblemen zu kämpfen. Deshalb sind sie ein so beliebtes Ziel für Hacker. - CRLF Injections
Grundsätzlich sind CRLF Injections eine Art Tor zu größeren Angriffen. Durch das Injizieren einer CRLF-Zeichensequenz (=Zeilenumbruch) an einer unerwarteten Stelle können Angreifer Anwendungsdaten ändern und die Ausnutzung von Schwachstellen ermöglichen. Darunter fallen Website-Defacement, Cross-Site Scripting, Hijacking des Webbrowsers und viele weitere. Gerade Android- und Java-basierte Anwendungen sind hiervon betroffen. Sie weisen zu 79 Prozent (Android) und zu 75 Prozent (Java) CRLF Injections auf. - Cross-Site-Scripting
Eine weitere Attacke ist das Cross-Site-Scripting (auch als XSS bekannt). Sie tritt dann auf, wenn Angreifer Bereiche einer Website missbrauchen, die rund um dynamischen Content gebaut sind, Codes ausführen, die Nutzerkonten übernehmen oder Webbrowser fernsteuern. Cross-Site Scripting wird vor allem bei Formularen ein Problem, die ein gemeinsames Kodierungssystem mit der Eingabe von Fragezeichen und Schrägstrichen erlauben.<br /><br />Anwendungen, die in Web-Skriptsprachen geschrieben wurden, sind häufiger von Schwachstellen wie Cross-Site Scripting oder SQL Injections betroffen als Anwendungen basierend auf .NET oder Java. So beinhalten 86 Prozent der PHP-basierten Anwendungen mindestens eine Cross-Site-Scripting-Schwachstelle und 56 Prozent mindestens eine SQL Injection. - SQL Injections
Obwohl sich SQL Injections auf dieser Liste weiter unten befinden, sind sie aufgrund ihrer leichten Ausführbarkeit doch eine der häufigsten, auftretenden Sicherheitslücken. Angreifer platzieren SQL-Abfragen in entsprechende Eingabebereiche und versuchen so, über die Anwendung, die den Zugriff auf die Datenbank bereitstellt, eigene Befehle einzuschleusen. Dadurch ist es Angreifern möglich, Informationen einzusehen, Daten zu verändern und sogar zu löschen sowie die Kontrolle über den Server vollständig zu übernehmen. - Directory Traversals
Directory Traversals sind beängstigend, da weder viel Wissen noch Werkzeuge nötig sind, um damit großen Schaden anzurichten. Im Prinzip kann jeder mit einem Webbrowser und Hacking-Grundkenntnissen durch die Manipulation von Pfadangaben ungeschützte Seiten hacken, so Zugang zu größeren Dateisystemen erlangen und dort nützliche Informationen wie Passwörter, kritische Dateien oder sogar Seiten- und Anwendungsquellcodes abgreifen. Gemessen an den gängigsten Programmiersprachen sind 47 Prozent aller Anwendungen von Directory Traversals betroffen. - Unzureichende Datenvalidierung
Simpel gesprochen lässt sich sämtlicher Input, den Anwender im System abspeichern, kontrollieren und verwalten, unter der Voraussetzung, dass die Daten, die in das eigene Netzwerk kommen, entsprechend validiert und "sterilisiert" werden. Ist dies nicht der Fall, entstehen eine Reihe an Sicherheitsrisiken, die bösartigen Angreifern unter anderem ermöglichen, Daten auszulesen und zu stehlen sowie Sitzungen und Browser-Aktivitäten fremdzusteuern.