Vielfalt in der IT-Branche: das große NordVPN-Interview mit Tanya Janca

We Hack Purple ist eines von Tanyas bekanntesten Unternehmungen – die Plattform besteht aus einem Blog, einer Online-Lernakademie und einem Podcast – alles mit dem Ziel, den Menschen beizubringen, wie man sichere Software entwickelt. „We Hack Purple“ ist eine inklusive und vielfältige Community, die versucht, Cybersicherheit für ein breites Publikum zu öffnen und das Bewusstsein für Gleichberechtigung und Vielfalt in der Branche zu schaffen. Neben ihren Aktivitäten in der Community verfügt Tanya über umfangreiche Berufserfahrung aus ihrer früheren Arbeit für Tech-Giganten wie Microsoft, Adobe und Nokia.

Tanya schafft es immer wieder, anspruchsvolle und komplexe IT-Themen auf eine unkomplizierte Art und Weise darzustellen und einem nicht technischen Publikum näherzubringen. Ihr Buch „Alice and Bob Learn Application Security“ aus dem Jahr 2020 ist ein Beispiel dafür. Wir freuen uns, sie interviewen zu dürfen, um mit ihr über Vielfalt, Hacker-Klischees und ihre IT-Karriere zu sprechen.

Wie bist du dazu gekommen, dich für Cybersicherheit und „Ethical Hacking“ starkzumachen?

Ich war früher Softwareentwicklerin, aber ich habe auch in Bands gespielt. Ein Typ aus meinem Büro fing an, ethisch vertretbares Hacking zu betreiben – und er war auch in einer Band. Wir wurden Freunde und unsere Bands spielten zusammen. Nachdem wir uns anderthalb Jahre gekannt hatten, sagte er schließlich: „Du solltest wirklich in die Cybersicherheit gehen. Du wirst da Großartiges leisten! Ich zeige dir, was du wissen musst. Ich bringe dir alles bei, was ich weiß.“

Es dauerte weitere anderthalb Jahre, um mich davon zu überzeugen, dass ich das wirklich tun wollte. Und dann stimmte ich zu – und er brachte mir alles Nötige bei. Danach fand ich weitere professionelle Mentoren und mir wurde klar, dass die Anwendungssicherheit und nicht das „Pentesting“ das Richtige für mich war.

Welche Art von Musik hast du gespielt?

Ich war lange Zeit eine Solo-Folksängerin. Ich sang und spielte Gitarre. Du kannst mich immer noch auf Spotify finden und meine Alben auf verschiedenen Plattformen kaufen. Ich war auch in einer Reihe von Punk-Rock-Bands für Power-Pop, Post-Hardcore und Elektro-Punk. Ich spiele außerdem Schlagzeug, Synthesizer und wie zuvor erwähnt Gitarre. Nur nicht alles zur gleichen Zeit – ich kann lediglich zwei davon gleichzeitig bedienen.

Mir gefällt, wie du es schaffst, komplexe IT-Themen in einer vereinfachten Sprache und auf eine leicht verständliche Art und Weise zu präsentieren. Welche Themen findest du am schwierigsten zu veranschaulichen? Wie meisterst du diese Herausforderungen?

Am schwierigsten finde ich abstrakte Konzepte, die man nicht einfach selbst ausprobieren kann. So ist etwa die Kubernetes-Container-Orchestrierung sehr komplex – mir hilft es daher, diese Dinge zu skizzieren. Du kannst einen Kubernetes-Cluster erstellen und es dir bildlich vor Augen führen. Komplexe Konzepte wie Governance lassen sich etwas schwieriger erklären, weil man diese eben nicht einfach ausprobieren kann. Oft zeichne ich ein Diagramm, um es besser zu verstehen und stelle den Leuten selbst viele Fragen, um Dinge besser zu verstehen.

Ich gehe häufig zu Konferenzen und sehe mir Vorträge an. Wenn ich etwas sehe, womit ich mich nicht auskenne, versuche ich gezielt Vorträge dazu zu besuchen. Manchmal findest du dort jemanden, der dir die Dinge auf die richtige Art und Weise erklärt, oder sie einfach verbildlichen kann. Für mich ist es am einfachsten, etwas zu lesen und es dann selbst zu machen, um es dann später selbst verständlicher erklären zu können.

Ich denke, dass wir wirklich sehr hart an der Bildung arbeiten müssen. Und Bildung muss dabei nicht einmal viel kosten. Sie muss insgesamt viel zugänglicher werden, und damit meine ich den Preis, die Tonalität und die Formate, in denen sie verfügbar ist. Denn wie ich schon bei der letzten Frage sagte, bin ich gut darin, etwas zu hören und es dann einfach zu machen. Manche Menschen können das nicht, sie müssen die Sachen vielleicht eher sehen und beobachten. Wir könnten also versuchen, verschiedenen Lernstile abzudecken. Ich glaube, dass Bildung in der Cybersicherheit im Moment ziemlich schwach ist.

Ich bin überzeugt, wir sollten das Thema in der Schule lehren. In Universitäten, die Informatik als Fach anbieten, sollte sicheres Programmieren auf dem Plan stehen. Die gesamte Branche muss daran mitwirken.

Ich denke auch, dass Sicherheitsfachleute etwas über Softwareentwicklung, Qualitätssicherung und andere Dinge, die sie zu sichern versuchen, lernen sollten. Jemand, der zum Beispiel versucht, eine Cloud zu sichern, sollte diese in- und auswendig kennen. Wie soll man uns helfen, sie zu sichern, wenn man nicht versteht, was wir mit ihr vorhaben und wie sie funktioniert?

Wenn wir die aktuelle Situation mit der Situation vor der Einführung der sozialen Medien vergleichen, denkst du, dass sich das Sicherheitsbewusstsein der User verbessert oder eher verschlechtert hat?

Ich würde sagen, dass die Nutzerinnen und Nutzer mehr über Cyberangriffe und -Probleme wissen, aber ob sie besser darauf vorbereitet sind, kann ich nicht so genau sagen. Ich habe Statistiken darüber gesehen, wie viele Leute die Multi-Faktor-Authentifizierung aktivieren. Die Zahlen sind ziemlich niedrig – zwischen 11 und 15 Prozent. Ich denke, die Menschen sind sehr zurückhaltend, wenn es um ihren eigenen Schutz geht. Hat es sich verbessert? Ja, ich glaube, die Menschen wissen heute mehr – aber die Bedrohungen haben auch zugenommen.

Was können Unternehmen und Organisationen tun, um diese Situation zu verbessern und dafür zu sorgen, dass das Wissen der User mit den neuen Bedrohungen Schritt hält?

Ich würde sagen, es gibt zwei Aspekte. Zum einen müssen wir das gesamte System vereinfachen und die notwendigen Informationen bereitstellen, die der durchschnittliche Nutzer wissen sollte. Ich fahre ein Auto und weiß nicht, welche Airbag-Marke ich habe – das muss ich auch nicht und ich muss ihn auch nicht selbst einbauen können. Wichtig ist nur, dass ich weiß, dass mein Auto mit einigen Airbags ausgestattet ist, die mich schützen sollen. Ich muss lernen, wie man Auto fährt, aber ich muss nicht alle Sicherheitsfunktionen meines Autos kennen und schon gar nicht selbst einbauen.

Wenn du ein iPhone oder Android-Telefon kaufst, solltest du wissen, dass du ein VPN benötigst. Aber die meisten Leute wissen das eben nicht. Du solltest zudem einen Passwortmanager kaufen. Aber auch das wissen die meisten Nutzenden nicht. Was wäre aber, wenn diese Dinge einfach schon eingebaut wären?

Ich glaube, wir erwarten einfach, dass die User viel wissen. Die Menschen wissen genug, um ein Auto zu fahren. Würde das Auto dann aber manchmal zufällig und ohne Grund explodieren, wären Autos illegal. Zieht man diesen Vergleich bei IT-Geräten heran, sieht es so aus, als sei das aus irgendeinem Grund in diesem Bereich OK. Es gibt ständig Datenschutzverletzungen. Wenn ich ein durchschnittlicher User wäre, weiß ich nicht, ob ich meinen IT-Systemen aufgrund dessen sehr vertrauen würde. Als Cybersicherheitsexperte tue ich das definitiv nicht.

Wie wird sich deiner Meinung nach die allgemeine Cybersicherheitslandschaft in den nächsten Jahren verändern, wenn man bedenkt, dass wir immer mehr Datenschutzverletzungen und Ransomware-Fälle haben? Auch die sozialen Medien werden immer zudringlicher.

Ich würde sagen, in mancher Hinsicht wird es besser werden. In anderer Hinsicht aber auch nicht. Ich möchte sagen, dass die Cyberkriminellen, die Ransomware einsetzen, schlimm sind, aber ihr Einfallsreichtum ist beeindruckend. Sie werden immer gewiefter und treiben die Cybersicherheitsbranche dazu an, bessere Schutzmaßnahmen zu entwickeln. Aber auch wenn die Entwicklung besserer Schutzmaßnahmen gut ist, werden viele User immer noch geschädigt. Die Sicherheitsvorkehrungen gewinnen immer mehr an Bedeutung und der Sicherheitsaspekt sollte bei Entwicklern immer im Hinterkopf sein, wenn wir Systeme entwickeln und neue Produkte auf den Markt bringen.

Wenn es darum geht, unsere Daten weiterzugeben, hoffe ich, dass die Leute es sich zweimal überlegen, bevor sie es tun. Ich hoffe, dass die Sicherheit bei jedem Projekt eine Priorität wird. Ob das wirklich passieren wird, weiß ich nicht, aber ich hoffe es wirklich, wegen des großen Schadens, den Cyberkriminelle bereits jetzt anrichten.

Ich glaube, man sagt, dass die Schäden der Cyberkriminalität im Jahr 2020 ein Prozent des weltweiten Bruttoinlandsprodukts ausmachte und den Kriminellen 6 Milliarden Dollar Gewinn einbrachte. Das ist Wahnsinn. Betrachtet man diese Zahlen, muss das Thema einfach Priorität haben und die Menschen sollten anfangen es ernster nehmen.

Ja, vor allem, wenn wir bedenken, dass diese Ransomware-Fälle manchmal lebensbedrohlich sind und ganze Infrastrukturen destabilisieren, wie wir beim Colonial-Pipeline-Hack gesehen haben.

Ja, es ist erschreckend. Ich glaube, der erste durch Ransomware verursachte Todesfall war letztes Jahr. Hacker griffen ein Krankenhaus an und jemand starb. Es widert mich an, dass ein Krimineller zulässt, dass ein Mensch stirbt, damit er sein Geld bekommt. Aber das ist wahrscheinlich der Grund, warum ich kein Krimineller bin. Aber ich habe das Gefühl, dass die Lage immer schlimmer wird.

Was sind die häufigsten Missverständnisse, denen du als Cybersicherheits-Expertin in Bezug auf deinen Beruf und der Cybersicherheit begegnest?

Die Leute sagen oft zu mir: „Ich hoffe, du hackst mich nicht“, was ich witzig finde, denn das würde ich natürlich nicht tun. Wenn ich bösartige Aktivitäten durchführen würde, hätte ich keine so großartige Karriere. Ich halte es für interessant, dass der erste Gedanke vieler Leute, wenn du sagst, dass du im Bereich Cybersicherheit arbeitest, ist: „Hackst du auch?“ Und ich antworte dann meistens: „Manchmal führe ich Sicherheitsaufgaben durch und das nennt man ethisches Hacking. Und das ist normalerweise ziemlich langweilig. Man benutzt eine Menge Tools und sitzt oft nur herum und schlägt den Kopf gegen die Wand.“

Viele haben eine falsche Vorstellung. Für sie ist Hacking glamourös und aufregend, wie es eben in Filmen gezeigt wird – leider hat das nichts mit der Realität zu tun. Das Gute ist, dass viele denken, man sei sehr intelligent, wenn man in der Cybersicherheit arbeitet. Da habe ich nichts dagegen.

Du hast auch die Organisation „The Women of Security“ mitbegründet, die sich für Gender-Vielfalt in der IT-Branche einsetzt. Es ist schön, diese Art von Initiative zu sehen, denn die IT war lange Zeit ein von Männern dominierter Bereich. Hat sich die Situation in diesen Belangen verändert? Was sind derzeit die größten Probleme, die in diesem Bereich noch angegangen werden müssen?

Wenn ich die Antwort auf diese Frage wüsste, wäre ich um einiges wohlhabender. Aber ich glaube, dass die Durchsetzung von Richtlinien und die Abmahnung von Menschen, die im beruflichen Umfeld unangemessene Verhaltensweisen an den Tag legen, eine abschreckende Wirkung hätten. Vielleicht hast du schon davon gehört, dass Defcon kürzlich jemanden gesperrt hat, der sich gegenüber Frauen sehr unangemessen verhalten hat. Das ist ein Beispiel dafür, wie eine Organisation ihren Verhaltenskodex durchsetzt. Viele Organisationen haben nicht einmal einen oder haben einen, aber sie sagen: „Oh, aber dieser Typ trägt wirklich viel bei. Er organisiert all diese Dinge und wir wüssten nicht, was wir ohne ihn machen würden. Boys will be boys, eben.

Und es sind nicht immer nur die Männer – manchmal sind es auch Frauen, die mit Dingen davonkommen, die sie nicht tun sollten. Und ich glaube, wenn wir allgemein anfangen, Menschen für ihr Verhalten zur Rechenschaft zu ziehen, werden weniger so etwas tun, weil sie merken, dass diese Handlungen Konsequenzen haben. Solange es keine Konsequenzen für Fehlverhalten gibt, wird sich auch nichts ändern.

Ich glaube, wenn wir in diesem Bereich ernsthafter, bewusster und verantwortlicher umgehen würden, wären die Dinge besser und wir hätten mehr Frauen, die in die Branche einsteigen. Es gibt auch schon Verbesserungen und das ist großartig, aber es gibt immer noch sehr vieles, was in unserer Branche noch Alltag ist und in anderen Branchen seltener vorkommt.

Was sind deine Zukunftspläne in Hinsicht auf Bildung und soziale Initiativen?

Ich werde in ein paar Monaten mit dem Schreiben meines nächsten Buches beginnen. Das erste Buch kam 2020 heraus und ich hatte jetzt anderthalb Jahre Pause. Ich denke, Alice und Bob müssen sicheres Programmieren lernen. In den letzten zwei Jahren habe ich viel über sicheres Programmieren gelehrt.

Außerdem erweitere ich die „We Hack Purple“ Community. Am Anfang waren es nur ein paar von uns, aber es wurden immer mehr. Seit letztem Jahr kann jeder, der will, einfach kostenlos mitmachen. Wir sind jetzt eine Gruppe von Freiwilligen, und ich stelle einen weiteren Mitarbeiter ein, der dabei helfen wird, dass wir weiter wachsen können. Wir wollen, dass die Leute ihre ersten Community-Blogbeiträge schreiben und ihre ersten Vorträge halten können. Wir wollen der Ort sein, an dem du Antworten erhältst, wenn du bei der Arbeit nicht weißt, was du tun sollst.

Unsere Community hat einen sehr strengen Verhaltenskodex und ist daher sehr vielfältig. Bei uns gibt es viele Frauen, viele Menschen mit unterschiedlichen Herkunftshintergründen und Menschen mit Behinderungen. Wir planen eine Plattform, die für sehbehinderte Nutzende zugänglich ist, denn Barrierefreiheit ist einer unserer Grundwerte. Ich versuche also, diese Gemeinschaft zu vergrößern, um einen „Safe Space“ für Menschen im Internet zu schaffen, wo sie sich weiterbilden können. Außerdem werden wir demnächst einen weiteren kostenlosen Kurs zum Thema „Infrastructure-as-Code-Security” anbieten. Dieser wird ebenfalls kostenlos sein.

Was sind die größten Herausforderungen, die du bei deinen Aktivitäten bewältigen musst, um die Community vielfältiger zu machen und viele Menschen einzubeziehen?

Mein größtes Problem ist die Masse an Menschen. Ich glaube, wir sind im Moment etwa 1.300 Leute. Das ist eine Menge für eine Person, die sich darum kümmert. Deshalb habe ich ein Team von Freiwilligen zusammengestellt und habe jetzt viele Moderatoren, viele Leute, die Inhalte posten, und Leute, die neue Mitglieder willkommen heißen. Die Unterstützung von Freiwilligen ist das A und O einer Community. Das Team bringt viele neue Ideen ein und gemeinsam lassen sich diese dann auch umsetzen.

Mir ist wichtig, dass sich jeder in die Gemeinschaft einbringt, nicht nur Tanya. Also haben wir darüber gesprochen, wie jeder auf seine Art und Weise etwas beitragen kann.

Das ist schön zu hören, denn ich komme aus dem geisteswissenschaftlichen Bereich und mir kam diese ganze IT-Welt anfangs kalt und arrogant vor. Deshalb ist es schön zu sehen, dass es solche Initiativen gibt, die sie zugänglicher und freundlicher machen. Ich möchte euch also wirklich für eure Arbeit danken.

Als ich zur Cybersicherheit kam, war ich überrascht, weil ich etwa siebzehn Jahre lang Softwareentwickler war. Dann wechselte ich zur Sicherheit und dachte: „Warum sind alle so gemein zu mir? Warum sind alle feindselig? Warum gibt es Leute, hinter meinem Rücken über mich reden?“ Ich habe viele arrogante Pentester getroffen. Das hat mich überrascht, und dann habe ich herausgefunden, welche Stellen auf mich warten, in die meine Persönlichkeit besser passt.

Ich bin eine Sicherheitsexpertin für Anwendungssicherheit, aber ich hänge den ganzen Tag mit Softwareentwicklern zusammen – und es macht Spaß, mit ihnen zu arbeiten. Als ich vor Covid auf Partys ging, waren es immer Softwareentwickler, mit denen ich irgendwo in der Ecke stand und erzählte.