Erfolgreich als App Security Engineer: 6 Gründe, in der Cybersicherheit zu arbeiten
Obwohl die Arbeit für App-Sicherheit (App Sec) in jeder Branche gleich zu sein scheint, ist sie es nicht. Unternehmen, die sich nicht primär auf Sicherheit konzentrieren, bieten nicht die gleichen Möglichkeiten für ein umfassendes berufliches Wachstum wie Unternehmen mit einem Sicherheitsfokus. So erging es auch Marvin Petzolt, Senior Application Security Engineer bei Nord Security. Er wechselte von einer Tätigkeit als Application Security Engineer bei einem Musik-Sharing-Unternehmen zu einem Cybersicherheits-Unternehmen. Marvin erzählt uns im Interview, welche Faktoren für ihn dazu beitragen, dass er seine Ziele und Visionen in unserem Unternehmen erfolgreich verfolgen kann.
#1 Du kannst Dinge bewegen
Viele Menschen – so auch ich – arbeiten gerne an einem Ort, an dem sie etwas bewirken können. Als Engineer für App-Sicherheit bei Nord kann ich am Sicherheitsdesign und an der Implementierung einiger der besten Cybersicherheitsprodukte der Branche mitwirken – dazu gehören NordVPN, NordPass, NordLayer und NordLocker. Indem ich hohe Sicherheitsstandards für jedes Produkt setze, trage ich dazu bei, sinnvolle, benutzerfreundliche und sicherheitsorientierte Lösungen für Verbraucher zu entwickeln, die von Millionen von Menschen und Unternehmen weltweit geschätzt werden.
Aber nicht nur bei den Sicherheitsprodukten kann ich etwas bewirken. Meine Sicherheitsempfehlungen und -richtlinien dienen auch der Verbesserung von Arbeitsabläufen und der Zusammenarbeit. Als ich Teil des Application Security Teams wurde, wurden wir zum Beispiel hauptsächlich von Automatisierungs- und Benachrichtigungs-Bots über bevorstehende Produktaktualisierungen informiert. Bei diesem Ansatz blieb uns jedoch nur sehr wenig Zeit zwischen den Sicherheitstests neuer Funktionen und der Freigabe für die Entwicklung, was den Druck auf das Team natürlich erhöhte.
Deshalb habe ich das Konzept der Security Product Owner eingeführt, das einen wechselseitigen Austausch zwischen einem bestimmten Nord-Produkt und dem App-Security-Team vorsieht. Mit diesem Konzept konnten wir die Kommunikation zwischen Entwicklern, Teamleitern und dem App-Security-Team verbessern. Wir werden jetzt deutlich früher über anstehende Änderungen informiert, sodass wir genug Zeit für die notwendigen Sicherheitstests haben.
#2 Du bekommst die Möglichkeit, dein berufliches Potenzial voll auszuschöpfen
Leider ist es so, dass man als App Security Engineer in vielen Branchen nicht sein volles berufliches Potenzial ausschöpfen kann, weil man nur an einer limitierten Anzahl an Fällen und Aufgaben im Bereich der Anwendungssicherheit arbeitet. Das war einer der Hauptgründe, warum ich eine vielversprechende Stelle als App Security Engineer bei einem der bekanntesten Musik-Sharing-Dienste verlassen habe. Dort habe ich mich hauptsächlich nur mit generellen Sicherheitsfragen bezüglich der Anwendungsentwicklung beschäftigt, sodass die Problematiken, die mich herausfordern, begrenzt waren.
Ich wollte mich auch mit anderen Sicherheitsfällen von Apps auseinandersetzen, meine Karriere vorantreiben und mich mehr auf die technischen Aspekte, das Sicherheitsdesign und die Kryptografie konzentrieren – Dinge, die mir am Herzen liegen.
Ein Cybersicherheits-Unternehmen wie Nord Security mit seiner breiten Palette an Anwendungen und dem Potenzial für verschiedene Sicherheitsfälle schien mir die natürliche Wahl zu sein, um all diese Ziele zu erreichen.
#3 Du arbeitest an sinnvollen Produkten und mit spannenden Herausforderungen
Bei Nord Security trage ich dazu bei, sicherheitsfokusierte Produkte – wie NordVPN, NordPass, NordLayer und NordLocker – zu entwickeln, die Menschen und Unternehmen online schützen. Die meiste Zeit konzentriere ich mich auf Verschlüsselung, Sicherheitsarchitektur und auf clientseitige Low-Level-Implementierungen. Gelegentlich führe ich Design-Reviews, Bedrohungsanalysen, Pen-Tests von Funktionen und Release Candidates sowie Sicherheitscode-Reviews durch.
Meine Aufgabenbereiche sind sehr vielfältig und hängen davon ab, woran ich arbeiten möchte. An einem Tag untersuche ich zum Beispiel die Architektur von NordLocker und wie es zukünftig Dateien verschlüsseln wird. Am nächsten Tag konzentriere ich mich darauf, den Code der Meshnet-Funktion von NordVPN (stellt Peer-to-Peer-Verbindungen zwischen zwei Endpunkten her, um Daten auszutauschen und Traffic zu routen) zu überprüfen und sicherzustellen, dass er richtig implementiert wurde. An anderen Tagen kümmere ich mich darum, eine Blackbox-Sicherheitsprüfung des Android-Clients von NordPass durchzuführen.
#4 Du arbeitest mit einem erfahrenen Team zusammen
Wenn du in einem sicherheitsorientierten Unternehmen wie Nord Security arbeitest, kannst du dir sicher sein, dass du mit den besten Experten im Bereich der Cybersicherheit zusammenarbeitest.
Solltest du mit einer herausfordernden Situation konfrontiert sein, die zu schwierig oder zu komplex ist, um sie allein zu bewältigen, kommt das gesamte Application Security Team zusammen, um zu helfen. Das Teammitglied mit der meisten Expertise bewertet das Problem nach Schwere und Relevanz. Wenn es relevant ist, entscheiden wir als Team, wie wir dich bei der Lösung des Problems unterstützen können und helfen dir, es so schnell wie möglich zu beseitigen.
Eine der nützlichsten Erkenntnisse, die ich von meinem Team erhalten habe, ist, dass App Security Experten nicht alle Aspekte der Arbeit des Teams kennen oder in sie involviert sein müssen. App-Sicherheit hat viele Facetten und Spezialisierungen, z. B. Windows-Sicherheit, Linux-Sicherheit, Android- und iOS-Sicherheit. Es ist schon schwer genug, mit einer Spezialisierung Schritt zu halten, aber bei allen auf dem Laufenden zu bleiben, ist fast unmöglich. Es ist also in Ordnung, wenn du nicht in allen Bereichen ein Experte bist, denn in diesem Fall kannst du dich immer auf dein Team verlassen.
Ein weiterer wichtiger Tipp: Halte es unkompliziert und benutzerfreundlich. Die perfekte Sicherheitslösung gibt es in der Regel nicht oder sie beeinträchtigt das Nutzererlebnis mitunter erheblich. Ein 32-Zeichen-Passwort oder eine biometrische Authentifizierung für jede Aktion, die du in der App durchführst, nützt niemandem etwas. Deshalb ist es wichtig, sich auf realistische Bedrohungen zu konzentrieren und kleinere theoretische Risikofälle für später beiseite zu legen.
Außerdem habe ich von meinem Team gelernt, wie wichtig es ist, die kryptografischen Systeme einfach zu halten. Bei der Entwicklung eines kryptografischen Systems ist das entscheidend, damit jeder es verstehen und es auf sichere Weise weiterentwickeln kann. Je mehr Funktionen und Änderungen hinzugefügt werden, desto komplexer wird das System. Deshalb ist es notwendig, das kryptografische Design von Grund auf neu umzugestalten und neu auszurichten, um es besser an die neuen Anforderungen anzupassen. Wenn man das nicht tut, hat man ein Design, das niemand versteht. Das macht es unmöglich, die erforderlichen Maßnahmen für Sicherheit und Privatsphäre anzuwenden.
#5 Du kannst dazulernen und dich weiterentwickeln
Wenn du gerade erst in eine Position in der App-Sicherheit einsteigst und aus einem etwas anderen Bereich kommst, wie z. B. der Web- oder Cloud-Sicherheit, oder einfach mehr lernen willst – selbst in einer führenden Position – werden dein Team und das gesamte Unternehmen dir helfen, zu wachsen. Wenn du ein Neuling bist, bekommst du einen „Buddy“ zur Seite, der dir dabei hilft, mit allem, was im Application Security Team vor sich geht, Schritt zu halten. Außerdem erhältst du ein spezielles Dokument, das dich durch die ersten 30 und 90 Tage führt, sowie eine Checkliste mit allen Tools und Zugangsberechtigungen, die du für deinen Einstieg benötigst.
Damit unser Team optimal arbeiten kann, gibt es Meetings zum gegenseitigen Wissensaustausch, Pairing-Meetings und tägliche Stand-up-Meetings. All das hilft uns, über die Arbeit der anderen auf dem Laufenden zu bleiben, Best Practices auszutauschen und unsere Fähigkeiten im Bereich der App-Sicherheit zu verbessern. In unserem Team ist es zudem üblich, dass wir freitags „frei verfügbare Zeit“ haben, um etwas Neues zu lernen. Was wir lernen wollen, hängt von uns ab – das reicht von Technologien über das Lesen von Blogbeiträgen und Nachrichtenartikeln bis hin zu neuen Methodiken. Wer schon immer mal lernen wollte, wie man iOS-Anwendungen entwickelt oder an einem CTF (Capture-The-Flag Sicherheitsturnier) teilnehmen, hat hier die Möglichkeit dazu.
Die Zusammenarbeit mit anderen Teams hat ebenfalls einen großen Einfluss auf die Weiterentwicklung deines Fachwissens im Bereich App-Sicherheit. Sie verbessert deine Soft Skills und lehrt dich, effektiv über die Risiken und Schwere von Sicherheitsproblemen zu kommunizieren. Außerdem hast du einen direkten Draht zu den Entwicklern, was bedeutet, dass sie während des Entwicklungsprozesses mit ihren Fragen und Anliegen zu dir kommen werden. Im Gegenzug erhältst du einen einzigartigen Einblick in die technischen Grundlagen der zu entwickelten Software. Ich habe einfach so nebenbei neue Technologien und Programmiersprachen kennengelernt, da dies für das Verständnis des Quellcodes und der Implementierungsdetails erforderlich war.
Auf Unternehmensebene haben wir Veranstaltungen zum Wissensaustausch. Ein Beispiel dafür sind die „Tech Days“, die es uns ermöglichen, sich über die News, Trends und Fortschritte im Bereich Technik und Cybersicherheit zu informieren. Nord Security bietet auch ein persönliches Budget für jeden an, das für Schulungen oder Zertifizierungen verwendet werden kann, damit wir uns in unserem Bereich entwickeln können. Überdies besuchen die Teams oft verschiedene Konferenzen, wie z. B. Black Hat, um zu erfahren, was es Neues im Bereich der Informationssicherheit gibt.
Nicht zuletzt kann jeder seinen eigenen, persönlichen Plan zur beruflichen Weiterentwicklung gestalten. Das hilft mir zum Beispiel dabei, die Gesamtziele des Security-Teams im Auge zu behalten und herauszufinden, wie meine Rolle in das Gesamtbild passt. Ich persönlich würde gerne noch tiefer in die Sicherheitsarchitektur und Kryptografie eintauchen, deshalb habe ich dieses Ziel in Absprache mit meinem Manager in meinen persönlichen Plan aufgenommen.
#6 Du musst nicht jeden von der Wichtigkeit der Sicherheit überzeugen
Als Spezialist für App-Sicherheit weißt du, dass Sicherheit in jedem Unternehmen oberste Priorität haben sollte. Wenn man Unternehmen fragt, werden die meisten antworten, dass Sicherheit ihre oberste Priorität ist – aber stimmt das wirklich? Meiner Erfahrung nach diskutiert man häufig mit Produktmanagern, Produktverantwortlichen und Engineering Managern über Verbesserungen der Sicherheit. In einem Unternehmen, dessen wichtigstes Verkaufsargument die Sicherheit ist, ist es leichter, Änderungen voranzutreiben und das Team in die richtige Richtung zu lenken. All diese Gründe sprechen für mich dafür, warum Experten für App-Sicherheit bei Nord Security erfolgreich sind. Wenn auch du deine Karriere in diesem Bereich vorantreiben willst, bewirb dich bei uns und werde Teil des Application Security Teams in Litauen, Deutschland oder Remote.
Lust auf noch mehr Lesestoff?
Erhalte die neuesten Nachrichten und Tipps von NordVPN.