Gude! Stuart Security - Selbst & Ständig

Inhaltsverzeichnis

Hello, World!

Mein Weg in die Informatik begann mit etwa 18 Jahren. Damals noch mit der Absicht, etwas mit der Entwicklung von Spielen zu machen, wie so viele andere. Bei meinem ersten Gehversuch habe ich festgestellt, dass das Programmieren mir hervorragend liegt und sogar eine gewisse Güte besitzt. Deswegen entschied ich mich für ein Studium in der angewandten Informatik (B.Sc.) in Wiesbaden, mit der Fokussierung auf Systemprogrammierung (C/C++, Rust). Meine Vorliebe für Systemprogrammierung entwickelte sich aber erst im Laufe des Studiums. Das Thema Security war mir damals bewusst, stellte jedoch für mich keinen Fokus dar. Und Aspekte, die die berüchtigte „Industrie“ unter Security versteht, waren eher nachgelagerte „Probleme“. Es war für mich zu dem Zeitpunkt eher ein theoretisches Konzept, was jedoch schnell auf meine Must-Know-Liste landete. Denn Systeme und Technologien in der Tiefe auf Fehler zu untersuchen und deren Funktionalität zu analysieren, war etwas, dass mir stets Freude bereitet hat und es auch heute noch tut. Ich war und bin überzeugt, dass man alles einmal ausprobieren sollte, um einen umfassenden Blick auf ein Thema zu gewinnen.

An mein Bachelorstudium hing ich noch ein Masterstudium der Informatik dran, dieses Mal mit dem Fokus auf verteilte und eingebettete Systeme (in Rust & C); siehe hierzu ein Forschungsprojekt von mir. Während des Masters arbeitete ich an noch an einem weiteren Forschungsprojekt mit, dessen Ziel es war, einen Prototyp zum sicheren Transfer und Programmierung von Drehgebern umzusetzen, d. h. Transfer von Firmware über NFC, kryptografisch gesichert. Das Forschungsprojekt fand in Zusammenarbeit mit einem Industriepartner statt. Bei diesem Projekt kam die echte, tatsächliche Konfrontation mit dem Thema Security im OT-Bereich zustande. Da sichergestellt werden musste, dass zwei der klassischen Schutzziele der Informationssicherheit, Integrität und Vertraulichkeit, beim Firmware-Transfer erhalten bleiben.

Anschließend arbeitete ich mehrere Jahre als (Senior) IT-Security Berater bei verschiedenen Unternehmen, mit Fokus auf operative IT-Security (SecOps). Um die vier zentralen Themen meiner letzten Jahre zusammenzufassen:

  • Pentesting
  • Code Audits
  • (Secure) Code Development
  • Mitarbeit im Security Operation Center (SOC) als Entwickler für ein Security Orchestration, Automation and Response (SOAR) Tool

Zwischendurch hielt ich mit meinen damaligen Kollegen eine Lehrveranstaltung an der Goethe-Universität Frankfurt zum Thema Einführung in das Penetrationtesting. Studierende zu unterrichten und ein Thema meiner Leidenschaft näherzubringen, hat mir recht große Freude bereitet – zusätzlich zu den technischen Herausforderungen, eine Laborumgebung in AWS mit Terraform aufzusetzen, um sicherzustellen, dass die Studierenden nicht von ihren CTF-Maschinen ausbrechen :).

Was wird hier gebloggt?

Ich möchte hier über Themen schreiben, die sich um einen dieser Bereiche drehen:

  • Forschung zu Themen der offensiven IT-Security.
  • Dev-Blog zu meinen Produkten und Software, entwickelt für mich und andere.
  • Kommentare zu aktuellen Geschehnissen (Regulatorik, Gesetze etc.) im Bereich der IT-Security.1
  • Use Case Betrachtung zu IT-Architektur, Automatisierung und Experimenten mit „neuer Technologie“.

Ein Blog soll jedoch nicht Hauptfokus meiner Arbeit sein. Hauptsächlich bin ich freiberuflicher Pentester und IT-Security Berater und daher biete ich ein Spektrum an Dienstleistungen an.

Wenn du dich (oder dein Unternehmen) in einem der Punkte wiederfindest oder eine konkrete Problemstellung hast, die sich bisher nicht wiederfindet, nimm gerne Kontakt auf. Ich bin zuversichtlich, dass ich dein Problem lösen kann.

1

Das wird jedoch selten vorkommen. Denn sinnentleertes Geblubber über mehrere Paragrafen ist weder informativ, lehrreich noch unterhaltsam. Insbesondere wenn kein Ende in Sicht ist und der Herr Autor meint, einfach immer weiter schreiben zu müssen ohne Punkt und Komma.