AccessControl ac = AccessControl.getAccessControl(request);

DiskussionGibt es auch gute Hacker?

Warum weiße Hüte gut sind, was Softwaredeveloper überhaupt machen und wie gefragt sie am Arbeitsmarkt sind. Fünf Experten im Gespräch über IT-Sicherheit und ein Berufsfeld, in dem es noch viel zu tüfteln gibt.

"Don't feed the bugs" lautert das Motto der LosFuzzys der TU Graz vertreten durch Karl Koch (rechts) und Ferdinand Bachmann (links). Sie diskutierten mit Markus Seme (Bearing Point, 2.v.l.), Jacqueline Resch (WeAreDevelopers) und Christian Rechberger (IAIK, TU Graz) © (c) Stefan Pajman
 

Braucht man heute als Führungskraft eines Betriebs ein 57-stelliges Passwort, wenn man auf Nummer sicher gehen will?

MARKUS SEME: In großen Unternehmen ist es genau vorgeschrieben, wie Passwörter zu vergeben sind. Zum Teil gibt es internationale „Normen“, die oft kontraproduktiv sind - komplexe Passwörter, die sich niemand merken kann. Ein langer Satz macht mehr Sinn. Man muss darauf achten, wie Menschen funktionieren, nicht, wie es technisch sinnvoll wäre.

CHRISTIAN RECHBERGER: Es gibt Firmen, die sich darauf spezialisieren, Passwortcracker zu bauen. Da helfen auch keine üblichen achtstelligen Zeichen.

Gibt es überhaupt das Berufsbild des „guten“ Hackers?

RECHBERGER: Der Begriff Hacker war ursprünglich positiv besetzt. In den 70er-, 80er-Jahren war das jemand, der sich intensiv mit Technologie auseinandergesetzt hat, alles bis ins Kleinste zerlegt hat.

KARL KOCH: Die Community trennt zwischen „White Hat Hackern“ und „Black Hat Hackern“. Begriffe, die man aus dem Wilden Westen kennt. Die Bösen hatten immer schwarze Hüte auf, die Sheriffs meist die weißen. Die White Hats versuchen, Schwachstellen aufzuspüren und zu melden.

Der Begriff Hacker war ursprünglich positiv besetzt.

Christian Rechberger

RECHBERGER: Um gut auf diesem Gebiet zu sein, sollte man nicht davor zurückschrecken, selbst unter die Hacker zu gehen. Das ist absolut nichts Schlechtes. Nur dadurch versteht man Sicherheitslücken und kann Systeme designen, die sicher sind.

Wie lernt man das Hacken am schnellsten?

FERDINAND BACHMANN: In dem man selbst etwas programmiert und dann versucht, sein eigenes Programm zu hacken, um zu schauen, ob man nicht doch einen Fehler gemacht hat. Es ist aber auch sehr viel Information frei im Internet verfügbar. Wenn man gut genug danach sucht, kann sich jeder damit beschäftigen und Neues lernen.

Für mich klingt das wie ein Polizist, der alles über Einbrüche lernt, ohne selbst jemals kriminell zu werden.

BACHMANN: Ich stelle mir das vor wie ein Schlosser, der sich schlaumacht, wie Schlösser geknackt werden, und dann lernt, solche zu bauen, die nicht mehr geknackt werden können.

Man muss darauf achten, wie Menschen funktionieren, nicht, wie es technisch sinnvoll wäre.

Markus Seme

Softwareentwickler sind kaum am Markt, schon schnappt sie sich ein Unternehmen. Wie findet man sie?

JAQUELINE RESCH: Wir haben dafür eine Jobplattform entwickelt, weil wir herausgefunden haben, dass die Ansprachen für Software-Developer nicht adäquat sind. Das ist eine Zielgruppe, die nicht auf LinkedIn oder anderen beruflichen Netzwerken unterwegs ist. In dem Bereich haben wir derzeit einen Fachkräftemangel von rund 5000 Personen in Österreich.

Was brauchen Software-Developer, um sich in einem Unternehmen wohlzufühlen?

RESCH: Wir haben dazu eine Studie herausgebracht. Einem Softwaredeveloper geht es weniger um die Marke eines Unternehmens. Er hätte gern ein Team, in dem er gut aufgehoben ist, wo er etwas lernen kann. Innovationsprojekte, Weiterbildung, Nachhaltigkeit, Selbstverwirklichung - das sind Werteträger, denen es weniger um Titel und Gehalt geht.

Wo findet man denn nun diese Talente?

RESCH: Aus dem Osten drängen viele Talente nach Österreich. Rund 25 Prozent von ihnen sind Frauen, die sich in der Domäne befinden. In Österreich sind es um die neun Prozent. Da ist auch die Politik ein Stück weit gefragt. Wir wollten einen Israeli für eine Position einstellen, die nur er erfüllen konnte. Das hat einen Prozess von neun Monaten losgetreten. Wenn man auch Nachwuchstalente aus dem CEE-Markt holen will, sollte das schneller gehen, sonst werden auch Unternehmen abwandern.

RECHBERGER: Wir machen auch angewandte Projekte mit Firmen. Unternehmen haben so auch Zugriff auf Absolventen, das wird als Recruitinginstrument verwendet. SEME: Es gibt in dem Bereich allerdings nicht nur die Spezialisten, die jeder haben will, sondern auch eine große Masse an Leuten, die qualifiziert sind und die man auch für Standardtätigkeiten einsetzt. Um die Top-Talents muss man sich als Firma bewerben, das ist aber in allen Bereichen so. Die Türen stehen nicht jedem offen, der sagt, er habe einen Computer zu Hause und könne die Tasten bedienen.

Die „LosFuzzys“, ein Fokusteam der TU Graz, spürt Sicherheitslücken in IT-Systemen auf. Was machen Sie, um in dem Bereich besser zu werden?

KOCH: Jeden Mittwoch wird an der TU Graz im FuzzyLab am Campus Inffeldgasse trainiert. Da kann jeder, der interessiert ist, vorbeikommen und mitmachen. Unsere Fähigkeiten stellen wir auch bei weltweiten „Capture the Flag“-Wettbewerben, Kurzform CTF, unter Beweis. (Anm.: In der CTF-Weltrangliste belegen die „LosFuzzys“ Platz 39, österreichweit sind sie Nummer 1).

Wie darf man sich so einen Trainingsabend vorstellen?

BACHMANN: Man informiert sich über Einzelheiten in den Programmiersprachen, über Dinge, die man leicht falsch machen kann, bekannte Schwachstellen.

Im Lehrplan anderer Studienrichtungen ändert sich über Jahre nichts - wie ist das in einem so schnelllebigen Umfeld?

RECHBERGER: Es gibt auch hier eine Basis, die gleich bleibt, aber meine Vorlesungen muss ich jedes Jahr updaten.

 

Diskutieren Sie mit - posten Sie als Erste(r) Ihre Meinung! Kommentieren