Ihr Standort: movisco // Blog »
kontakt mail icon
kontakt phone icon

Cross-over von movisco AG mit Miriam Wiesner, Microsoft Corporation – ein Interview

Die movisco AG unterstützt und fördert Berufseinsteiger/Berufseinsteigerinnen auf ihrem Karriereweg in der IT. Nadja Seemann, Consultant bei der movisco AG, gibt auf der movisco Karriereseite einen Einblick über ihren Berufsstart bei der movisco AG. Doch die IT bietet eine breite Palette an Einstiegs- und Karrieremöglichkeiten. Welche Möglichkeiten die IT-Branche für Einsteiger bietet und welche Wege gewählt werden können, möchten wir heute in einem Cross-over zeigen.

Jana Rapp von der movisco AG hat mit Miriam Wiesner, Senior Security Researcher bei Microsoft, über ihren Werdegang, das Berufsleben als Senior Security Researcher und ihre Visionen gesprochen. Miriam Wiesner ist verheiratet und wohnt mit ihrem Mann in der Nähe von Nürnberg. Aktuell steht ihr erstes Buchprojekt kurz vor der Veröffentlichung.

movisco:

Miriam, wir freuen uns, mit Dir ein Interview für den movisco-Blog zu führen und anhand Deines Werdegangs zu erzählen, welche spannenden Entwicklungsmöglichkeiten es für Berufseinsteiger bzw. BerufseinsteigerINNEN gibt, die Interesse an IT haben. Die movisco AG berät Banken in fachlichen und technischen Fragestellungen und heute möchten wir mit Dir über unseren IT-Tellerrand hinausblicken und unseren Lesern damit eine andere IT-Perspektive sowie Berufswege abseits der Beratung zu zeigen. Wie hat Dein Weg begonnen und wann hast Du gemerkt, dass IT Dich begeistert?

Miriam:

Naja, eigentlich habe ich mich schon immer für Computer interessiert. Als Kind wollte ich immer „mit Computern sprechen“ können (lacht) und so habe ich eigentlich schon immer einen Hang zum Technischen gehabt. Als ich mir als Kind einen Gameboy aussuchen durfte, musste es natürlich der Durchsichtige sein, bei dem man freien Blick auf die Platinen hat, da ich dachte, dass ich es vielleicht eines Tages schaffe, so ein Gerät nachzubauen.

Mit acht Jahren habe ich mir dann nach langem Sparen meinen ersten Lern-Computer gekauft, durch den ich dann das Programmieren in QBasic erlernt habe und kleine Spiele in ASCII-Art programmiert habe. Später habe ich noch weitere Sprachen wie Visual Basic und C++ gelernt.

Meine Eltern waren leider nicht allzu angetan von meiner Begeisterung für Computer und so hatte ich lange Zeit kein Internet zu Hause und musste regelrecht um meine tägliche Computerzeit kämpfen, insbesondere wenn es um Computerspiele ging. Irgendwie haben sie mich trotz allem auf meinem Weg immer unterstützt. Heutzutage witzeln sie darüber: „...wenn wir damals gewusst hätten, dass Du eines Tages Dein Geld damit verdienen wirst…“.

movisco:

Konntest Du Dir denn damals schon vorstellen, Dein Hobby zum Beruf zu machen?

Miriam:

Ehrlich gesagt: Eine wirkliche Ahnung was ich mal machen möchte/werde, hatte ich damals noch nicht, aber ich glaube so geht es jedem, der sich nach der Schule entscheiden muss, als was er oder sie später mal arbeiten will.

Klar, so Träumereien wie „Ich will Spieleentwickler oder Hacker werden“, hatte ich schon. Aber insbesondere den zweiten Wunsch (also Hacker zu werden) habe ich nie laut ausgesprochen, weil Hacken ja illegal ist. Trotzdem habe ich immer ganz genau aufgepasst, wenn es um Security Themen ging – natürlich ohne den Verdacht zu erregen, dass ich es cool fände, ein Hacker zu werden (lacht).

movisco:

Hattest Du nach Deinem Schulabschluss mit Abitur einen Überblick über die Vielzahl der IT-lastigen Berufe? Warum hast Du Dich letztendlich für eine Ausbildung zur Informatikerin entschieden?

Miriam:

Ich hatte keine Ahnung, was es alles gibt und wie breit die Palette an Möglichkeiten gefächert ist. In der Schule war ich recht gut in Informatik, Biologie/Chemie oder Kunst, aber wenn es dann darum geht herauszufinden, was man einmal arbeiten will, hilft das alles ja nichts. Insbesondere hört man immer, dass man für Informatik viel Mathe und Physik braucht und in diesen beiden Fächern war ich eine Niete (vielleicht auch, weil ich einfach nicht gerne gelernt habe). Das Mathe- oder das Physik-Wissen, das ich dann schlussendlich gebraucht habe, hat mir allerdings Spaß gemacht und fiel mir einfach.

Aber zurück zu der Frage. Obwohl ich jahrelang Zoff mit meinen Eltern hatte, wenn es um Computer ging, waren es schlussendlich meine Eltern, die mir geholfen haben, die richtige Ausbildung für mich zu finden. Für mich war klar, dass ich nach dem Abitur erst mal nicht mehr lernen wollte, sondern gleich arbeiten. Damals habe ich nicht geahnt, dass das Lernen wirklich Spaß machen kann, wenn man die für einen selbst interessanten Themen lernen möchte. In einer Zeitungsanzeige (ich hatte ja kein Internet (zwinker)) haben wir herausgefunden, dass unter anderem das Max Planck Institut für ausländisches und internationales Strafrecht (MPI) in Freiburg gerade Auszubildende sucht. Ich habe mich beworben und wurde eingestellt. Als vom MPI die Frage gestellt wurde, ob ich lieber eine Ausbildung zum Fachinformatiker für Systemintegration oder zum Anwendungsentwickler machen möchte, wählte ich die Systemintegration. Denn programmieren konnte ich ja bereits schon und ich wollte im Gegensatz zu meinen ursprünglichen Intentionen ja doch noch etwas Neues lernen und herausgefordert werden.

movisco:

Die Ausbildung als Fachinformatikerin für Systemintegration war also der Startschuss für Deine berufliche Laufbahn. Welche Fähigkeiten sollte man für diesen Ausbildungsberuf denn mitbringen?

Miriam:

Auf jeden Fall das Interesse an Computern und das Verlangen, mehr darüber herausfinden zu wollen. Ausdauer, um Durchzuhalten wäre auch nicht verkehrt; man wurde ja schließlich auch zum Arbeiten eingestellt und bekommt nicht immer nur spannende und interessante Themen, die man abarbeiten muss.

Aber auch wenn man wenige oder keine Vorkenntnisse hat, kann man diesen Ausbildungsberuf erlernen. Man muss sich nur ein wenig Mühe geben.

movisco:

Welche Schwerpunktthemen hast Du während und nach Deiner Ausbildung bearbeitet?

Miriam:

Security fand ich schon immer interessant und ich habe versucht, alles über Security zu lernen, was ich finden konnte. Aber während einer Ausbildung lernt man ja sehr viele Themen. Da ich doch einen sehr engen Bezug zum Programmieren hatte, habe ich während meiner Ausbildung das Content Management System (CMS) gepflegt, das unsere Editoren genutzt haben, um Inhalte zu schreiben und zu veröffentlichen. Als Abschlussarbeit habe ich einen hochverfügbaren Webserver Cluster installiert und konfiguriert und eigens Scripte geschrieben, um den anderen Server abzuschießen und neu zu starten, sollte dieser sich aufgehangen haben oder nicht mehr erreichbar sein.

In der Berufsschule kann ich mich insbesondere noch an mein Steganografie-Projekt erinnern, das mich fasziniert hat. Steganografie ist die „Kunst“ der Speicherung und/oder Übermittlung verborgener Inhalte. Zum Beispiel kann man in einem ganz normalen, digitalen Bild eine geheime Botschaft (oder auch Code) verstecken und das Bild verändert sich nicht merklich für den Betrachter. Im Zuge dieses Projekts habe ich eine Logik in PHP geschrieben, mit der ich alle Informationen wie z.B. den Header und die Bildpunkte eines Bildes auslesen konnte und abändern konnte. Das fand‘ ich schon ziemlich cool.

movisco:

Was hast Du nach Deiner Ausbildung gemacht? Welche Erfahrungen hast Du gesammelt?

Miriam:

Mein Wunsch, irgendwann Spiele-Entwickler zu werden, schlummerte immer noch in meinem Hinterkopf. Daher wurde ich zunächst Software-Entwickler. Aber nicht für Spiele, sondern ich programmierte interne Software für ein Unternehmen, das Freiberufler vermittelte. Dieser Schritt brachte mich allerdings weiter weg von dem Plan, Spiele-Entwickler zu werden, dafür aber näher an die Security. Ich empfand das Thema Security schon von jeher als extrem wichtig und ging damit jedem Kollegen und Vorgesetzten auf die Nerven. Schlussendlich stieß ich auf offene Ohren und ein ordentlicher Security Prozess wurde eingeführt: Endlich wurde unser Code regelmäßig auf Schwachstellen gescannt! Das Schöne daran war, dass ich diese Lücken („Vulnerabilities“) selbst fixen durfte. Doch bevor ich sie geschlossen habe, habe ich sie natürlich noch selbst ausprobiert, um zu verstehen, wie sie funktionieren.

Anschließend arbeitete ich als System Engineer. Leider war ich immer noch nicht in der Security angekommen, aber es gibt Schlimmeres für ein Unternehmen, als ein Administrator, der/die Wert auf Sicherheit legt. Ich habe über Jahre hinweg fast komplett allein die Infrastruktur (Windows, Linux, MacOS, Netzwerk) betreut und erweitert sowie den kompletten Usersupport verantwortet. Da jeder wusste, dass mein Herz für Security schlug, durfte ich auch bei Projekten wie der Einführung der ISO 27001 unterstützen.

Allerdings war ich immer noch nicht an dem Punkt, wo ich hinwollte und fand heraus, dass es mittlerweile auch Möglichkeiten gab, legal als Hacker zu arbeiten – nämlich als Penetration Tester (oder kurz: „Pentester“). In meiner Freizeit lernte ich alles zu diesem Thema, was ich finden konnte und auch mein Arbeitgeber bemerkte, dass sich mein Interessengebiet erweitert hatte.Und so bekam ich die Chance, meine eigene Penetration Testing Abteilung zu gründen. Mein Traum wurde wahr! Das war so cool und ich bin meinem ehemaligen Arbeitgeber immer noch dankbar für diese Chance. Und so erstellte ich Prozesse, Verträge sowie Pentesting-Pakete/Angebote, suchte Tools aus, dokumentierte fleißig und durfte dann auch meine ersten Kunden legal hacken.

Das lief soweit ganz gut, nur plötzlich wurde Microsoft auf mich aufmerksam und versuchte mich abzuwerben. Da ich ja gerade meine eigene Pentesting-Abteilung bekommen hatte, lehnte ich das Angebot zunächst ab. Mein Mann und sein bester Freund konnten nicht glauben, dass ich „Nein“ zu Microsoft gesagt hatte und beriefen eine Intervention ein. Sie erstellten eine lange Pro&Contra Liste und überzeugten mich, dass ich mir zumindest mal anhören sollte, was Microsoft zu sagen hatte und das Interview wahrnehmen sollte…Tja, und da die Recruiterin auch nicht locker ließ und mich nochmal anfragte, wurde ich von Microsoft interviewt, was mich schlussendlich davon überzeugt hat, doch den Microsoft-Arbeitsvertrag anzunehmen. Und obwohl ich manchmal immer noch meine kleine Pentesting Abteilung vermisse, war es die beste Entscheidung meines Lebens, bei Microsoft anzufangen.

movisco:

Zugegeben, mit deinen Erlebnissen und Erfahrungen weißt du, wovon du sprichst. Ich könnte mir vorstellen, dass es als Frau in dieser Branche bestimmt nicht immer einfach ist? Ist die Aussage, dass es in IT-Berufen deutlich weniger Frauen als Männer gibt, ein Mythos? Was kannst Du Frauen, die sich unschlüssig sind, ob sie die Laufbahn IT einschlagen sollen, mit auf den Weg geben?

Miriam:

Je nachdem wo man arbeitet, ist das kein Mythos. In der Berufsschule besuchte außer mir genau eine weitere Frau die Klasse und in den meisten mittelständischen Unternehmen, in denen ich gearbeitet habe, war ich entweder die einzige oder hatte maximal eine weitere KollegIN. Mir selbst hat das wenig ausgemacht, aber ich hätte auch nichts dagegen gehabt, weibliche Unterstützung zu bekommen. Manchmal gab es schon einen raueren Umgangston, aber ich hab‘ das als meine Chance gesehen, zu wachsen. Viele Frauen haben ihr Leben lang von der Gesellschaft implementiert bekommen, dass sie vielleicht zu „dumm“ sind oder nichts von Technik verstehen, weil sie Frauen sind. Das ist absolut falsch. Ich habe so viele schlaue und bewundernswerte Frauen in der IT kennen gelernt und arbeite mit so vielen zusammen. Lasst Euch nicht verunsichern, von dem was andere sagen, sondern macht Euer eigenes Ding!

In vielen großen Firmen wie z.B. Microsoft gibt es heutzutage deutlich mehr Frauen als Jahre zuvor. Seit ich bei Microsoft arbeite, denke ich - ehrlich gesagt - gar nicht mehr daran, dass ich eine „Frau in der IT“ bin, weil es einfach egal ist wer Du bist – Hauptsache, man leistet gute Arbeit.

movisco:

Mittlerweile arbeitest Du seit fünf Jahren bei Microsoft. Welchen Weg bist Du gegangen, um die Position des Senior Security Researcher zu erreichen?

Miriam:

Das war ehrlich gesagt ein ganz schön steiniger Weg. Ich habe zuerst als Premier Field Engineer bei Microsoft gearbeitet. Heutzutage heißt diese Rolle „Customer Engineer“. Das ist so etwas Ähnliches wie ein Consultant, der mit Kunden zusammenarbeitet, um deren Probleme zu lösen und die Kunden zu unterstützen. In dieser Rolle habe ich ebenfalls zahlreiche Security Assessments absolviert: Ich habe die Umgebungen verschiedener Kunden auf Sicherheitsrisiken untersucht und Empfehlungen ausgesprochen. Dabei bin ich ganz schön in der Welt herumgekommen, was mir immer großen Spaß, vielfältige Erfahrungen und tolle Kontakte gebracht hat. Da ich für Microsoft meine Pentesting Abteilung aufgegeben hatte, habe ich immer wieder versucht, mich in diese Richtung weiterzuentwickeln. Aber das ist gar nicht so einfach, denn die meisten dieser Jobs werden nicht am Standort Deutschland angeboten und ich wollte ungerne nach Redmond, Australien oder Israel umziehen. In der Zwischenzeit war mein neues Ziel, die Rolle des Security Researchers, da ich diese Rolle tiefgreifender als eine Red Teaming (Pentesting) Rolle empfand. Ich habe mich jahrelang immer wieder auf entsprechende Stellen beworben, mit der Hoffnung, dass es vielleicht doch klappt und ich in Deutschland bleiben kann.

Doch in der Zwischenzeit fand ich erstmal eine andere coole Rolle bei Microsoft und arbeitete als Program Manager. Das klingt zwar auf den ersten Blick gar nicht technisch, ich kann aber versichern, dass es eine tief technische Rolle darstellt. Ich war in dieser Position mit verantwortlich für die Weiterentwicklung des Defenders (insbesondere mit Fokus auf Defender for Endpoint und Microsoft 365 Defender). Ich habe mit Kunden zusammengearbeitet und deren Feedback in die Entwicklung mit eingebracht. Allerdings war der Wunsch, Security Reseacher zu werden, immer noch vorhanden. Ich machte meinen Job zwar gut, aber das war nicht mein Endziel. Also bewarb ich mich wieder und immer wieder. Ich vermute, dass der Großteil aller Microsoft Security Researcher mich schon mal interviewt hat (lacht). Und letztes Jahr fand ich tatsächlich einen Manager, der mich unbedingt als Teil seines Teams sehen wollte, so dass er für mich eine Ausnahme bis ganz nach oben eskaliert hat. Finales Ergebnis: ich durfte als Senior Security Researcher in seinem Team remote arbeiten und bin somit in Deutschland geblieben!

movisco:

Was genau macht ein Senior Security Researcher? Wie kann man sich Deinen Arbeitsalltag vorstellen bzw. gibt es überhaupt einen „Alltag“?

Miriam:

Es gibt viele Möglichkeiten, was ein Security Researcher machen kann. Allerdings ist eine Tätigkeit grundlegend: die Forschung und das regelmäßige Erlernen neuer Inhalte. Ja, sobald man eine Nische gefunden hat, die einen interessiert, kann das Lernen großen Spaß machen. Grundsätzlich kann man sich das so vorstellen, dass ein Security Researcher forscht, wie Angreifer vorgehen bzw. vorgehen können und dann entsprechende Empfehlungen für Unternehmen schreiben. In meinem Fall schreibe ich Detections für den Microsoft 365 Defender, um Unternehmen, die das Produkt einsetzen, besser vor Angriffen zu schützen. Oft finden Security Researcher auch komplett neue Angriffsmuster oder manche suchen auch gezielt nach Schwachstellen in existierender Software im Rahmen sogenannter Bug Bounty Programme. Es gibt viele Forschungsbereiche.

Einen wirklichen Alltag gibt es nicht, da Angreifer sich stetig weiterentwickeln. Manchmal kann es Stoßzeiten geben, wie z.B. um Weihnachten 2020 herum („Solarwinds Hack“) oder die log4j Schwachstelle, die gerade vor kurzem erst in den Medien war (und aktuell auch noch vermehrt auftaucht). Auf solche Ereignisse muss natürlich umgehend reagiert werden, und viele Security Researcher mussten für solche Ereignisse Überstunden machen. Aber so etwas kommt ja zum Glück nicht jeden Tag vor und den Rest seiner Zeit kann man relativ entspannt planen.

movisco:

Das klingt total spannend und nicht danach, als sei bei Dir diese Position schon die Endstation. Wohin möchtest Du Dich weiterentwickeln und was treibt Dich an?

Miriam:

Ich habe viele Menschen, die ich mit sogenanntem Mentoring unterstütze. Wenn es um Career Development geht, habe ich ihnen immer mein sogenanntes „North Star Goal“ ans Herz gelegt. Es ist nicht einfach zu finden, aber es unterstützt einen seine eigenen Lebensziele zu verwirklichen. So ein North Star Goal habe ich mir auch gesetzt. Meiner Meinung nach sollte jede/jeder wichtig Ziele im Leben haben, und zwar auch teilweise echt abgedrehte und unerreichbare Ziele. Denn wenn man sich nur wenige Ziele steckt (wie z.B. „In der nächsten Rolle will ich als XYZ arbeiten“) und diese erreicht, fällt man plötzlich in ein tiefes Loch und hat keine Perspektive mehr. Deshalb empfehle ich meinen Mentees, sich ein North Star Goal zu suchen und zu finden. Das ist überhaupt nicht einfach, weil man sich überhaupt selbst erstmal klar werden muss, was man will und benötigt viel Zeit mit sich selbst, um nachzudenken. Und natürlich muss ein North Star Goal auch kein Karriereziel sein, es kann auch einfach etwas sein, was einen glücklich und erfüllter macht. Frage Dich:

„Was würdest Du tun, wenn Du alles machen könntest, was Du möchtest – egal welche Skills oder welches Wissen benötigt wird?“

Ein weiteres wichtiges Kriterium eines North Star Goals ist, dass es schier unerreichbar oder sehr schwer erreichbar ist (zumindest im aktuellen Lebensabschnitt). Denn nur so hat man auf lange Zeit ein Ziel vor Augen und kann seine eigene Roadmap ausarbeiten. Und das Beste ist: Jeder Schritt in Richtung Deines North Star Goals ist ein Schritt in die richtige Richtung. Mein North Star Goal, das ich mir vor ein paar Jahren gesetzt habe ist, solche Skills zu bekommen, wie die Security Researcher aus dem Google Project Zero Team und in einer solchen Rolle zu arbeiten (vorzugsweise bei Microsoft). Ich bewundere seit Jahren die Menschen in diesem Team. Ich denke, dass ich selbst noch weit davon entfernt bin, aber jeder Schritt ist für mich ein Schritt in die richtige Richtung. Der einzige Schritt, der aus meiner letzten Rolle Sinn gemacht hat, war Security Researcher zu werden. Daher kam für mich auch keine andere Rolle in Frage und ich war so glücklich, als es endlich geklappt hat, offiziell als Security Researcher zu arbeiten.

Aktuell bin ich noch mit meinem „Mammutprojekt“ beschäftigt und schreibe ein Fachbuch, aber sobald das beendet ist, werde ich auch langsam wieder anfangen CTFs (Capture the Flag, das ist so eine Art Hackerwettbewerb) zu spielen und mich nun endlich auf meine OSCP Zertifizierung vorzubereiten, die ich für das Buch zeitweise auf Eis gelegt habe.

movisco:

Wie bist Du denn auf die Idee gekommen, ein Fachbuch zu schreiben und zu veröffentlichen?

Miriam:

Eines Tages wurde ich von einem Verlag über LinkedIn angeschrieben und gefragt, ob ich ein Fachbuch schreiben möchte. Zuerst war ich mir nicht sicher, ob ich das überhaupt kann, dann habe ich mich mit dem Inhalt auseinandergesetzt und bemerkt, dass ich das Wissen für die meisten Themen bereits habe und nur noch für sehr wenige Themen forschen muss. Ich bin echt gespannt, wie es ankommen wird. Meine Editoren und Project Manager des Verlages sind schon sehr aufgeregt und vermuten, dass das Buch großen Anklang findet wird.

movisco:

Kannst Du uns schon etwas zum Inhalt und Veröffentlichungsdatum verraten?

Miriam:

Es geht im Wesentlichen um Cybersecurity und PowerShell. Natürlich umfassen diese Themen auch noch andere Bereiche wie etwa Authentifizierung, Credential Theft und Auditing und Monitoring. Und leider gibt es heutzutage immer noch Menschen, die denken, PowerShell sei gefährlich und deaktivieren es. Und dass, obwohl PowerShell mittlerweile für viele wichtige Systemprozesse benötigt wird und es so einfach ist mit etwas Konfigurationsaufwand in einer deutlich sichereren Umgebung zu arbeiten, als es ohne PowerShell überhaupt möglich ist. Und natürlich schreibe ich auch über Risiken bestimmter Technologien/Konfigurationen und wie diese ausgenutzt werden können und was man tun kann, um seine Systeme sicherer zu machen. Welche Möglichkeiten gibt es, PowerShell auszuführen ohne die PowerShell.exe auszuführen (also warum macht das Deaktivieren von PowerShell es nur den normalen Administratoren schwieriger, aber nicht den Angreifern)?

In einem späteren Kapitel schreibe ich auch über typische Blue Team und Red Team Tasks, die per PowerShell ausgeführt werden können. Im dazugehörigen GitHub Repository befinden sich viele hilfreiche Scripts und Code Snippets, die das Arbeiten mit dem Buch erleichtern. All das und noch viel mehr wird in meinem Buch ausführlich behandelt werden. Ich habe versucht, es so zu schreiben, dass sowohl Anfänger als auch Fortgeschrittene angesprochen werden. Das Buch wird im ersten Halbjahr 2022 beim Packt Verlag erscheinen, also dauert es gar nicht mehr so lange...

movisco:

Auch für Banken ist das Thema Security, also Sicherheit, essenziell wichtig. Kannst Du unseren Bankkunden aus Deiner Arbeit und Buchrecherche heraus einen Tipp mit auf den Weg geben, worauf in der Praxis zu achten ist, wenn es um das Thema „Sicherheitslücken“ geht?

Miriam:

Der allerwichtigste Rat ist: „Haltet Eure Systeme aktuell und patcht diese, sobald neue Updates veröffentlicht werden.“

Leider sind fehlende Sicherheitsupdates einer der Hauptgründe warum Unternehmen kompromittiert werden. Man kann sich das so vorstellen: wenn ein Update veröffentlicht wird, heißt das, dass es bereits eine bekannte Schwachstelle gibt – eine Schwachstelle, die oft schon aktiv ausgenutzt wird und sehr gut dokumentiert ist. Angreifer können also spätestens nach dem Bekanntwerden der Lücke innerhalb kürzester Zeit Schadsoftware verbreiten.

  • Daher: baut einen soliden Patch-Prozess, der es zulässt, schnell zu reagieren und Systeme innerhalb kürzester Zeit (< 1 Woche) zu patchen. Und damit spreche ich nicht nur von Windows Systemen, sondern auch von allen anderen (Linux, MacOS, Mobilgeräte, Netzwerkgeräte usw.).
  • Fahrt regelmäßige Vulnerability Scans und kontrolliert, dass auch wirklich alle Patches aufgespielt wurden und nicht nur Euer Management System anzeigt, dass keine Patches mehr vorhanden wären – denn es ist nur ein „Management System“ und das muss leider trotz allem kontrolliert werden.
  • Ebenfalls ist es wichtig unsichere Authentifizierungsvorgänge zu restriktieren, so das Credential Theft schwieriger wird bzw. ein Angreifer keine Möglichkeit hat, so einfach an hoch privilegierte Credentials (z.B. Domain Administratoren) zu gelangen. Im besten Fall gibt es dedizierte Geräte sowie Credentials, mit denen man keine Usertätigkeiten durchführt und die man nur für Administrationstätigkeiten nutzt - sowie die passende Konfiguration, die einen Login auf anderen Geräten verbietet. Und natürlich sollte man ebenfalls dem least privilege Prinzip folgen – ein Account sollte nur die notwendigsten Rechte haben.
  • Und schlussendlich sollte man Risiken nicht nur einfach akzeptieren. Man sollte akzeptierte Risiken regelmäßig reviewen und versuchen, diese zu beheben.

Im Laufe der Jahre habe ich Einblick in sehr viele Unternehmen erhalten: leider gibt es bei sehr vielen immer noch hohen Nachholbedarf, was Sicherheit angeht. Das war nur ein kleiner Überblick über häufige Probleme in Unternehmen. Man kann Sicherheit nicht sehen, bis das Unternehmen kompromittiert wird. Das passiert leider häufiger als man denkt. Die Frage ist meistens nicht, ob man gehackt wird, sondern wann – und es kann leider auch den Besten passieren. Daher investiert rechtzeitig in Sicherheit, bevor es zu spät ist.

movisco:

Miriam, vielen Dank, dass Du uns auf die Reise durch Deine Vergangenheit bis ins Heute mitgenommen und IT-Interessierten sowie Banken wertvolle Tipps und Einblicke gegeben hast! Wir sind schon sehr gespannt auf Deine erste Buchveröffentlichung und freuen uns schon jetzt, Dein Buch hier im movisco-Blog vorzustellen.

 

Lasst Euch nichts Neues entgehen: Miriam Wiesner gibt es nicht nur im movisco-Blog, sondern auch auf Twitter und auf Linkedin.

 

Und wenn ihr nach diesem Interview als Berufseinsteiger oder BerufseinsteigerIN Lust bekommen habt, Eure Karriere auch in der IT zu starten, schaut doch mal bei unseren Stellenausschreibungen rein: Hier findet ihr nicht nur Positionen im IT-Consulting, sondern auch unser Business Consulting-Team sucht Verstärkung!


Weitere Beiträge

  • Der Einstieg in die zukunftsorientierte Welt der SAP-Beratung weiterlesen
  • Berufseinstieg in die Beratung bei der movisco AG - ein Erfahrungsbericht weiterlesen
  • Start bei der movisco AG: Erfahrungsbericht als Newcomer in Zeiten der Corona-Pandemie weiterlesen

Ihre Ansprechpartnerin

Susanne Jung

info@movisco.com
elektronische Visitenkarte

Fon +49 40 767 53 777

Schnellkontakt-Formular

Die abgesendeten Daten werden nur zum Zweck der Bearbeitung Ihres Anliegens verarbeitet. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Datenschutz bestätigt?

Sie haben Fragen?

Wir freuen uns über Ihre direkte Kontaktaufnahme!

  • Telefon: +49 40 767 53 777
  • E-Mail