Developer Stories: Nancy Mustapic, Expertin für Hacks und Sicherheitslösungen

Developer Story mit Nancy Mustapic

Die Themen Compliance und IT-Sicherheit können ziemlich aufregend sein. Davon ist Nancy Mustapic überzeugt. Sie arbeitet als Security Cloud Solution Architect bei Microsoft und sorgt dafür, dass Kunden aus der Automobilindustrie und der Finanzwirtschaft sicher arbeiten können.

In meinem alten Job konnte ich manchmal nicht gut schlafen, weil ich um all die Sicherheitsrisiken in der IT weiß“, erzählt Nancy Mustapic. Softwareschwachstellen, Denial-of-Service-Attacken und Zero-Day-Exploits, Angriffe per Social Engineering, Verschlüsselung wichtiger Server und Systeme – das alles kann zu Daten- und Know-how-Diebstahl führen oder die Arbeitsfähigkeit von Unternehmen einschränken und gar unmöglich machen. Das zu verhindern, ist mit großer Verantwortung verbunden. Nancy arbeitete bei einem Automobilhersteller und war unter anderem für die IT-Sicherheit der konzerneigenen Bank zuständig. Im Bereitschaftsdienst hätte sie bei einem Hackerangriff sofort zur Stelle sein müssen, um Gegenmaßnahmen zu ergreifen und die Sicherheitslücke zu schließen.

Immer in Bereitschaft: Laufend Alarme beim Incident-Handling

Im Incident-Handling kommen laufend Alarme aus verschiedenen Sicherheitssystemen herein, die untersucht werden müssen. Während wir Alarme analysieren, überlegen sich gleichzeitig Hacker*innen auf der ganzen Welt, wie sie Schwachstellen im Unternehmen ausnutzen können und über neue Angriffsarten ungesehen in die Unternehmens-IT eindringen können. So geht der Kampf zwischen “Attacker” und “Defender” immer wieder in eine neue Runde. Das heißt, man muss immer wachsam sein, und sich laufend weiterbilden, denn morgen könnte etwas Schlimmes passieren. Idealerweise entwickelt man heute schon Sicherheitslösungen, die den Angriff von morgen abfangen könnten. Das finde ich ein spannendes Thema, weil man dabei ein bisschen seiner Zeit voraus sein muss. Ich habe großen Respekt vor dieser Aufgabe“, räumt sie ein.

 

Azure Developer Community Call

Du möchtest regelmäßig Updates und Best Practices rund um Microsoft Azure erhalten? Bei unserem Azure Developer Community Call bekommst Du zweimal im Monat die Möglichkeit dafür. Unser Motto ist: „Zwei Formate – EINE Developer Community“. Das bedeutet: Ganz egal, ob du dich nur zum Zuhören einwählst oder aktiv mitdiskutieren möchtest – mit unseren beiden Formaten findest du sicher das Passende für dich. Bei unserem Azure Developer Community Call dreht sich alles um Microsoft Azure, Cloud Native Development, GitHub und weitere Dev-Themen.

Mehr Informationen

Mittlerweile hat Nancy die Seiten gewechselt – nicht auf die Hackerinnen-Seite, sondern vom IT-Anwender zum IT-Anbieter. Sie arbeitet jetzt bei Microsoft als Security Cloud Solution Architect und sorgt dabei dafür, dass die Umgebungen der Kunden bestmöglich gegen Cyberangriffe abgesichert sind und im Ernstfall optimal auf Angriffe reagiert werden kann. „Bei Microsoft unterstütze ich unsere Kunden dabei, ihre Cloud-Umgebung sicherer zu machen. Dabei spreche ich nicht nur von der Microsoft Cloud, also von Azure, sondern auch von anderen Cloud-Umgebungen. Außerdem unterstütze ich unsere Kunden dabei, ihr Security Operations Center in die Cloud zu bringen, damit sie ihre Cloud Workloads bestmöglich überwachen und auf Angriffe schnellstmöglich reagieren können.

Security Cloud Solution Architect: Mehr Sicherheit durch Praxiserfahrung

Nancy im Home Office
Nancy an ihrem Arbeitsplatz im Home Office.

In ihrer Arbeit als Security Cloud Solution Architect kommt ihr die große Erfahrung zugute, die sie in der Praxis gesammelt hat. Bei dem Automobilhersteller hat sie sich auf der IT-Anwenderseite lange mit Compliance und Sicherheit beschäftigt. Sie kennt die rechtlichen Herausforderungen wie Dokumentationspflichten, Mindestanforderungen an die Sicherheit und nicht zuletzt die Datenschutzgrundverordnung sowie die bereits erwähnten technischen Angriffe, aber auch deren organisatorische und praktische Abwehr aus dem Tagesgeschäft. Diese Erfahrung bringt sie in Beratungsprojekte mit Kunden aus der Automobil- und der Finanzindustrie ein.

Cloud-Computing hat sich längst in nahezu allen Wirtschaftsbereichen zum Standard entwickelt, denn es kann gerade auch in der Sicherheit punkten: Gute Cloud-Anbieter verfügen über weit mehr Kompetenz für den Betrieb sicherer IT-Infrastrukturen und -Services als die meisten Anwenderunternehmen. Nicht zuletzt nutzen leistungsstarke Sicherheitslösungen wie Microsoft Defender selbst Cloud-Services, um Angriffe und gefährliche Dateien oder Abläufe automatisch zu erkennen.

Komplexe Themen: Studium in Karlsruhe zahlt sich aus

Als Security Cloud Solution Architect erarbeite ich mit den Kunden die passende Absicherung für ihre IT. Hier ist mein Know-how als Developer gefragt, auch wenn ich selbst heute keinen Code mehr schreibe. Aber ich muss die passende Sicherheitsarchitektur entwerfen und aufbauen können. Dabei hilft mir, dass ich im Studium gelernt habe, mit komplexen Themen umzugehen und Lösungen zu entwickeln“, sagt Nancy. Sie hat Information Engineering and Management am Karlsruher Institut für Technologie studiert. Damals interessierte sie sich vor allem für Big Data und Analytics, was ihr noch heute hilft: „Ich muss große Log-Dateien analysieren, Alarmierungen für Sicherheitsvorfälle aufbauen, Code für Abfragen schreiben und das Verständnis für alle Anforderungen zusammenbringen. Das habe ich im Studium sehr gut gelernt.“ Jetzt als Architektin versuche sie, in die bestehende Infrastruktur von Kunden neue Sicherheitslösungen so zu integrieren, dass diese gut miteinander funktionieren.

It-Schwachstelle

Keine IT- oder Cloud-Architektur ist wie eine andere“, erklärt Nancy. „Es gibt natürlich Lösungen, die man wiederverwenden kann. Aber meistens muss man sich doch immer wieder neu überlegen: Wie kann ich in dem speziellen Fall mit dem speziellen Kunden und mit den speziellen Daten die bestmögliche Architektur aufbauen? Der Developer-Gedanke in meiner Arbeit geht dann in dem Sinne in die Richtung Architektur-Development bzw. Architektur-Management.

Testangriff: Gemeinsam mit Kunden die Gefahr abwehren

Der Umgang mit schwierigen Themen reizt Nancy – und ist tägliche Herausforderung. „Ich muss mein Wissen aktuell halten und lerne jeden Tag dazu. In der Regel nehme ich mir einen Tag pro Woche für meine Weiterbildung und zum Ausprobieren“, erzählt sie. Dafür hat sie sich eine eigene Testumgebung aufgebaut, an der sie Angriffe und Abwehrmaßnahmen simulieren kann. „Das Testen macht mir am meisten Spaß, gerade auch mit Kunden“, erzählt sie. Die passende Infrastruktur und Anwendungslandschaft dafür nachzubauen sei schon eine Bastelaufgabe, sagt sie ohne Ehrfurcht vor dem Aufwand. Mithilfe der Anwendungslandschaft können Nancys Kunden einen Hackerangriff „am eigenen Leib“ erleben.

Wir simulieren dann mit Mitarbeiter*innen einen kleinen Angriff: Das heißt, wir schleusen zum Beispiel eine Schadsoftware ein, natürlich keine echte, sondern zum Beispiel Antivirus-Files, die man zum Testen verwenden kann. Damit werden dann Alarme ausgelöst. Kunden können wir so zeigen: Schau mal, bei dieser Art von Angriff würde unsere Security-Lösung so und so reagieren, zum Beispiel die Schadsoftware blocken oder einen Alarm anzeigen.“ Diese praktische Herangehensweise an das für manche eher leidige Thema Sicherheit weckt den sportlichen Ehrgeiz und damit auch die Fantasie der Kunden-Mitarbeiter*innen, sich vorzustellen, wie Hacker arbeiten und wie sie deren Attacken zielgerichtet abwehren können. Wenn Nancy so aus ihrem Arbeitsalltag berichtet, springt der Funke über – und man versteht, wie lebendig das Thema IT-Sicherheit ist und welche Spannung es verspricht.

IT-Sicherheit: Die größte Schwachstelle ist der Mensch

Bei allen organisatorischen und technischen Überlegungen gibt Nancy aber auch zu bedenken: „Die größte Schwachstelle in der IT-Sicherheit ist der Mensch. 100 Prozent Sicherheit gibt es nicht. Doch der gesunde Menschenverstand hilft schon, viele Risiken zu vermeiden.“ Und ein strategisches Konzept wie Microsofts „Zero Trust“-Ansatz für das Risikomanagement. Schulungen sind damit für alle, die im Unternehmen mit IT zu tun haben, unerlässlich. Außerdem werden mehr Cybersecurity-Expert*innen gebraucht. Hier schlägt der Fachkräftemangel voll durch. Interessierte, die sich in Sachen IT-Sicherheit weiterbilden wollen, finden jede Menge Informationen und Kursangebote im Internet. Aber Achtung: Wer für Sicherheit sorgen will, muss die Angreifer*innen zwar verstehen. „Doch wo lernt man Hacking? Das ist ja eigentlich verboten“, mahnt Nancy. Deshalb empfiehlt sie, unbedingt auf die Seriosität der Quelle zu achten. Microsoft bietet etwa viele kostenfreie Online-Kurse und umfangreiche Dokumentationsunterlagen zur IT-Sicherheit, beispielsweise im Rahmen der Initiative IT-Fitness und auf der Plattform Microsoft Learn.

Nancy hält einen Vortrag.
Mit Workshops und Vorträgen gibt Nancy Studierenden Einblick in ihre Arbeit.

Persönliches Anliegen: Studierende für IT-Sicherheit begeistern

Für Nancy ist es ein persönliches Anliegen, Studierende für ihr Thema IT-Sicherheit zu gewinnen und insbesondere Frauen zu motivieren, sich damit intensiv auseinanderzusetzen. Deshalb geht sie immer wieder an ihre Universität und erzählt aus ihrem abwechslungsreichen Arbeitsalltag. „Wer Spaß daran hat, ein Thema mit Ausdauer zu bearbeiten, und dabei bereit ist, kontinuierlich zu lernen, um sein Wissen immer aktuell zu halten, bringt schon gute Voraussetzungen mit.“ Das gilt selbstverständlich geschlechterunabhängig.

Ausdauer braucht Nancy nicht nur in ihrem Job. Auch in ihrer freien Zeit ist ihr Durchhaltevermögen beim Marathonlaufen gefragt. Und bei ihrem zweiten Hobby kann sie die eigene Kreativität in einen Augenschmaus verwandeln, der auch der Zunge mundet – Nancy liebt es, Kuchen und Torten mit viel Fantasie zu verzieren. Die liefern dann auch genug Nervennahrung, um sich gelassen und konzentriert der Sicherheit von IT-Systemen zu widmen.

Ein Beitrag von Jeanette Leuze

Commercial Communications Working Student

Jeanette

und Bosse Kubach

Commercial Communications Manager Innovation

Tags: , , ,

Weitere Infos zu diesem Thema

13. April 2022
Developer Stories: Stefanie Grois, die IoT-Architektin

Mit Mathe hatte sie nichts am Hut. Sie ging auf ein neusprachliches Gymnasium und schrieb ihren ersten Programmiercode erst im Studium: Stefanie Grois kam erst spät zur Informatik, aber heute ist sie mit größter Begeisterung dabei. Stefanie arbeitet als Cloud Solution Architect für IoT bei Microsoft und hilft Unternehmen, die optimale Struktur für Projekte im Internet der Dinge (IoT) zu finden.

20. Januar 2022
Developer Stories: Scott Hanselman, Lehrer und Motivator für C# und .NET

Er entspricht so gar nicht dem Klischee des Computer-Nerds: Scott Hanselman studierte Software-Engineering und schrieb selbstverständlich jede Menge Code. Doch wer ihm zuhört, merkt schnell: Eigentlich ist er vielmehr ein Lehrer, was auch früher sein Beruf war. Warum Scott seine Hauptaufgabe darin sieht, Begeisterung zu vermitteln und andere beim Programmieren erfolgreich zu machen, berichtet er in unserer Developer Stories-Reihe.

16. Dezember 2021
Developer Stories: Annika Wickert, die Netzwerkerin

Netzwerke aufbauen, Lösungen entwickeln und ein wenig Bastelei – das zeichnet die Arbeit von Annika Wickert bei der Microsoft-Tochterfirma GitHub aus. Doch Annika nutzt ihre Fähigkeiten nicht nur bei der weltweit größten Entwicklungsplattform, um Menschen weltweit miteinander zu verbinden.