nach dem Traineeprogramm bin ich dann direkt in dem Bereich eingestiegen, der mir während des Programms am besten gefallen hatte. Mittlerweile bin ich nun also schon 3 ½ Jahre bei der KPMG, wohne wieder in Hamburg, studiere unter der Woche hier in Braunschweig und habe einen Teilzeit-Vertrag bei der KPMG.
Ich kann wirklich jedem nur empfehlen, nach dem Bachelor erst einmal in das Berufsleben zu schnuppern. Das Masterstudium macht mir nun viel mehr Spaß, da ich mit mehr Interesse dabei bin und viele Dinge schnell mit der Praxis vergleichen kann. Auch das Studieren an sich fällt mir leichter und ich weiß die viele Zeit im Studium besser zu schätzen. Bei Präsentationen in der Uni fühle ich mich sicherer, da ich im Job sehr viel präsentiert habe und auch einige Schulungen zu dem Thema besuchen durfte. Und zu guter Letzt macht sich das auch sehr positiv bei meinen Noten bemerkbar. Also, in diesem Sinne: Genießt das Studium und scheut Euch nicht vor Herausforderungen, sondern im Gegenteil, sucht diese aktiv, denn sie bringen Euch persönlich weiter!
Kristina
]]>an den Herausforderungen, die mein neuer Lebensweg und das Traineeprogramm bei der KPMG mit sich brachte (s. meinen ersten Blog-Eintrag), bin ich sehr gewachsen und habe viel gelernt. Das Programm wurde mittlerweile geändert, sodass ich nicht auf den ganz genauen Verlauf eingehen werde. Wen das aber trotzdem interessiert, kann sich gerne bei mir melden.
Der wohl größte Vorteil des Traineeprogramms bestand darin, von Anfang an ein großes Netzwerk zu haben. Neben mir fingen ca. 30 andere Trainees in verschiedenen Niederlassungen an. Das Programm startete mit einem mehrwöchigen Schulungsprogramm, in dem wir uns gegenseitig alle sehr gut kennen lernten. Noch heute ist das ein großer Vorteil für mich bei der Arbeit. Egal zu welchem Thema es gerade eine Frage gibt, meistens kenne ich einen meiner Traineekollegen, der in dem Bereich arbeitet. Ein großes Netzwerk in einer Firma zu haben ist immer ein riesiger Vorteil – egal ob es um Fragen, Beförderungen oder nur darum geht, die Kaffeepause nicht alleine zu verbringen.
Außerdem empfinde ich bei der KPMG auch den Umgang mit Kollegen und Vorgesetzen als sehr positiv. Alle Mitarbeiter sind sehr jung und motiviert. In meinem Team, in dem ich nun seit gut drei Jahren arbeite, gehen wir sehr oft auch nach der Arbeit zusammen aus und man hält sich gegenseitig den Rücken frei. Zu unseren Chef haben wir alle eine sehr freundschaftliche und respektvolle Beziehung.
In meinem nächsten Beitrag erfahrt Ihr dann, warum ich jetzt hier an der TU gelandet bin!
Kristina
]]>Im Rahmen des Moduls Methoden der Wirtschaftsinformatik in meinem Masterstudium der Wirtschaftsinformatik möchte ich heute beginnen, von meinen Erfahrungen im Traineeprogramm bei der KPMG zu berichten, um Euch einen Einblick in die Praxis zu geben.
Nach meinem Bachelor in Wirtschaftsinformatik stand ich mal wieder vor der Frage „Was nun?“. Auf einen Master hatte ich zu dem Zeitpunkt noch keine Lust. Also fing ich an mich umzuschauen. Ich ging in Hamburg auf einige Jobmessen (kann ich jedem nur empfehlen!), die ich immer sehr interessant fand und entdeckte viele neue Möglichkeiten für mich. Hier wurde ich auch auf das Traineeprogramm der KPMG aufmerksam. Traineeprogramme bieten die Möglichkeiten, viele Bereiche eines Unternehmens kennen zu lernen und nicht fest auf einer Stelle zu starten. Für mich genau das Richtige, da ich noch sehr unentschlossen war in welchen Bereichen der IT ich arbeiten möchte. Das Traineeprogramm gab mir die Möglichkeit viele Bereiche der Wirtschaftsinformatik kennen zu lernen.
Ich wohnte zu der Zeit in Hamburg und das Traineeprogramm wurde in München, Frankfurt und Düsseldorf angeboten. Eine neue Stadt reizte mich schon länger. Das Traineeprogramm sollte 1 ½ Jahre gehen. Ich entschied mich für München, bewarb mich und wurde zum Assessment Center in Frankfurt eingeladen. Noch am gleichen Tag bekam ich eine Zusage. Das neue Abenteuer konnte beginnen…
Viele neue Herausforderung: Neuer Job, neuer Wohnort, neue Leute – wie ich damit zu Recht kam erfahrt ihr in meinem nächsten Blog-Eintrag!
Kristina
]]>Bei einem Code-Review werden sehr verschiedene Komponenten untersucht. Ein zentraler Punkt sind die vorhandenen Richtlinien, die in der Regel durch das Unternehmen selbst definiert werden. Diese müssen auf ihre Angemessenheit hin untersucht werden (test of design). Hierbei vergleicht man oft mit Best-Practice-Ansätzen und branchenüblichen Vorgaben. Daneben muss verifiziert werden, ob diese Richtlinien allen beteiligten Mitarbeitern bekannt sind und ob sie tatsächlich angewendet werden (test of effectiveness). Anschließend geht es im eigentlichen Code-Review darum, den produzierten Quellcode zu analysieren. Hierbei wird darauf geachtet, dass die Unternehmenseigenen Vorgaben konsequent berücksichtigt werden, aber auch gängige Maßnahmen zur Erhöhung der Sicherheit angewendet werden. (Die Softwareengineering- und Programmieren-Vorlesungen im Wirtschaftsinformatik-Studium helfen ungemein sich schnell in einer neuen Programmiersprache zurecht zu finden, aber je mehr man tatsächlich selbst programmiert, desto schneller fallen einem Schwachstellen auf.)
Am Ende eines Code Reviews wird typischerweise nach Rücksprache mit dem Mandanten ein Bericht erstellt, indem alle Ergebnisse zusammengefasst sind. Dies sind sowohl die Prozesse und deren Einhaltungsgrad selbst, als auch die Ergebnisse der Code-Analyse. Im Allgemeinen treten Schwachstellen wie SQL-Injection, vertrauliche Informationen in Debugging-Logs oder ein direkt im Code implementiertes, nebenläufiges Berechtigungskonzept auf. Für diese Art von Schwachstellen entwickelt man im Laufe der Zeit einen gezielten Blick, oft gerade weil man diese Schwachstellen in den ersten eigenen Projekten noch selbst versehentlich implementiert hat.
Zusammenfassend möchte ich die Arbeit im IT-Security Consulting als sehr abwechslungsreiche und spannende, aber auch lernintensive Tätigkeit beschreiben. Es ist für jedes Projekt erforderlich, sich in einen neuen Sachverhalt einzuarbeiten und es gilt neue Kenntnisse zu erwerben. Mir persönlich macht diese Arbeit sehr viel Spaß.
Michael Bier
]]>Ein Mandant bat um einen umfassenden Einblick in das Thema Mobile Security und die Gefahren, welche im Zuge der Nutzung mobiler Endgeräte entstehen. Gemäß einem der Slogans von KPMG – „Weil wir mehr liefern als von uns erwartet wird “ – verstehen wir unter diesem Auftrag allerdings nicht nur eine ansprechende Präsentation des aktuell vorhandenen Bücherwissens, sondern viel mehr eine auf den Mandanten zugeschnittene Beratung zum Thema sowie gezielte Awareness-Maßnahmen.
Unser Ziel war es aufzuzeigen wie Schwachstellen in aktuellen Smartphone-Betriebssystemen ausgenutzt werden können. Daher entschieden wir uns für ein Szenario in dem einem Opfer vertrauliche Daten gestohlen werden sollten. In Googles Android-Betriebssystem fand ich schließlich eine Schwachstelle die einen Drive-By-Download ermöglichte, welche somit ideal für dieses Szenario geeignet war. Ich nutzte diese Schwachstelle gezielt aus, um alle gespeicherten SMS-Nachrichten von einem Mobiltelefon zu stehlen. Zur Demonstration des Angriffs verwendete ich zum einen den Android-Emulator und die auf IT-Security spezialisierte Linux-Distribution Kali. (Mit den Kenntnissen aus dem Android Lab am IBR war der Emulator schnell aufgesetzt und für das Szenario passend konfiguriert.)
Als Ergebnis stand ein aussagekräftiges Video, in dem gezeigt wird wie alle gespeicherten SMS-Nachrichten eines Opfers durch einfachen Klick auf einen Link in einer Phishing-Nachricht auf dem Webserver des Angreifers landen. In einem weiteren Angriffsszenario haben wir gezeigt, welche Risiken auch durch unverschlüsselt gespeicherte Daten von verschiedenen Apps auf dem Smartphone selbst entstehen. So haben wir beispielsweise auf die internen Datenbanken eines iPhones zugegriffen, um so vertrauliche Daten im Klartext anzeigen zu können. Abschließend wurden mögliche Maßnahmen für mobile Security bewertet und analysiert, um dem Mandanten Gegenmaßnahmen aufzeigen zu können.
Michael Bier
]]>Als externe Berater werden wir aus verschiedensten Gründen hinzugezogen, einer dieser Gründe ist häufig, dass für eine konkrete Problemstellung kein standardisierter Lösungsweg existiert, wie zum Beispiel bei einem Firewall Re-Design. Hierbei muss zunächst die existierende Firewall-Struktur analysiert und plausibilisiert werden, um das vorhandene Regelwerk bewerten zu können. Hieraus können dann Vorschläge gegeben werden wie die Firewall hardwareseitig aufgebaut sein sollte und wie ein sauberes Regelwerk strukturiert werden kann.
Bei einem konkreten Projekt waren derart viele interne und externe Systeme in zahlreichen Subnetzen beteiligt, dass es zunächst darum ging, die Kommunikation von über 8.000 verschiedenen IP-Adressen zu analysieren. Als Input lagen lediglich Log-Files der Firewalls, ein umfassender Netzplan sowie das komplette Regelwerk mit mehreren hundert Regeln vor. Allein das Handling der Log-Dateien, die jeweils mehrere GB groß waren, stellte sich als besondere Herausforderung dar. Es musste nun also eine vor allem zeitlich effiziente Möglichkeit gefunden werden, diese Daten auszuwerten, um dem Mandanten konkrete und relevante Informationen liefern zu können.
Wir entschieden uns also dazu, für die Daten individuelle Parser zu programmieren, sodass wir alle Daten in eine MySQL Datenbank überführen konnten. Da jedoch selbst einfache Anfragen bei dieser Datenmasse sehr viel Zeit in Anspruch nehmen, musste die Datenbank gezielt durch verschiedene Indizes optimiert werden. (Hierbei hilft es enorm die Vorlesung RDB2 gehört zu haben.) Durch diese Indizes war nun die schnelle Auswertung der Daten möglich und es konnte analysiert werden, welche Systeme miteinander kommunizierten und welche Firewall-Regel dies erlaubte. Wir konnten dem Mandanten nun unterschiedlichste Informationen liefern, wie zum Beispiel miteinander in Konflikt stehende Regeln oder Regeln, die nie Anwendung finden.
Zum Abschluss mussten diese gewonnen Informationen mit den prozessualen Bedürfnissen des Mandanten zusammengebracht werden, um abzuleiten, welche Systeme tatsächlich miteinander kommunizieren müssen und zwischen welchen Subnetzen eine Kommunikation per Firewall verboten werden muss. Hierbei hat man als externe Person häufig einen unvoreingenommeneren Blick auf die Systemlandschaft und kann somit die besseren „Warum“-Fragen stellen, anstatt eine bestehende Regel als notwendig hinzunehmen.
Michael Bier
]]>Die in meinem zweiten Eintrag beschriebenen Dienstleistungen (Netzwerk-/Firewall-Audit, PCI-Beratungen, usw.) erfordern in der Regel unsere persönliche Anwesenheit beim Mandanten. Da wir deutschlandweit und im näheren europäischen Ausland tätig sind, bedeutet dies im Normalfall, dass man zu Beginn der Woche das aktuelle Projekt vorbereitet und zum Mandanten reist. Die Woche verbringt man meist vor Ort beim Mandanten und die Nächte im Hotel. Hieran muss man sich zunächst ein wenig gewöhnen, da man wenig zuhause ist. Aber mit der Zeit merkt man sich einige Hotels, bei denen man weiß, dass die Kissen gemütlicher sind, die Handtücher weicher oder das Frühstück leckerer als bei anderen.. 
Der zeitliche Umfang eines Projektes hängt sehr von der Art der Beauftragung ab. Einige Themen wie Netzwerk- und Firewall-Audits benötigen einige Tage vor Ort, andere (z.B. PCI-Beratung) strecken sich häufig über mehrere Wochen oder Monate, in denen regelmäßige Workshop-Termine stattfinden. So lernt man in kurzer Zeit sehr viele Mandanten kennen.
Die Aufgaben in der IT-Prüfung und –Beratung sind äußerst abwechslungsreich und es gibt jede Woche etwas Neues zu lernen. Außerdem lernt man gerade als neuer Mitarbeiter innerhalb weniger Wochen das gesamte Leistungsspektrum des Teams kennen und hat vielfältige Möglichkeiten, um sich zu spezialisieren und einen persönlichen Fokus zu setzen. Natürlich verlangt diese Schnelllebigkeit auch viel Einsatz und Motivation. Mir macht die Arbeit im IT-Security Consulting nach wie vor sehr viel Spaß, da sie mich fachlich und auch persönlich extrem voran gebracht hat.
So viel also als letzter Erfahrungsbericht aus dem Alltag der IT-Prüfung.
Julia George
]]>Einige der Tätigkeiten, die mein Team häufig bearbeitet, möchte ich euch gerne vorstellen:
– Firewall- & IT-Infrastruktur Audit: Hier wird die IT-Infrastruktur bzw. der Aufbau der Firewalls des Mandanten in Gesprächen und anhand von Netzwerkplänen & Übersichten aufgenommen und analysiert. Ziel ist es, mögliche Schwächen im Aufbau der Infrastruktur zu erkennen und aus der Erfahrung heraus Empfehlungen geben zu können, wie eine Infrastruktur verbessert oder noch stärker abgesichert werden kann. Die Aufnahme und Bewertung der vorhandenen Strukturen benötigt (je nach Umfang) meist mehrere Tage und gehört zu den in meinen Augen anspruchsvollsten Tätigkeiten, da sehr viel Erfahrung und Wissen nötig ist, um die tatsächliche Ursache von Schwachstellen zu erkennen und deren Schwere abschätzen zu können. In einem abschließenden Bericht werden dem Mandanten Handlungsempfehlungen gegeben, durch welche die erkannten Schwachstellen beseitigt (oder zumindest deutlich abgeschwächt) werden können.
– Penetration Testing: Ein Penetrationstest (oder auch Schwachstellen-Scan) besteht aus einem automatisierten und einem manuellen Anteil. Im automatischen Teil klopfen Scripte aus einem entsprechenden Schwachstellen-Scanner (z.B. Nessus) eine Reihe bekannter Schwachstellen wie Standardpasswörter, einfaches Cross-Site-Scripting oder SQL-Injection ab. Tiefergehende Untersuchungen werden auf Basis der so erhaltenen Ergebnisse manuell durchgeführt.
– Code-Reviews: Anders als vielleicht zunächst vermutet, beinhaltet ein Code-Review nicht ausschließlich die Durchsicht und Analyse von Quellcode. Das Führen von Interviews mit Entwicklern und Prozessverantwortlichen sowie die Einsicht in Dokumentation und Entwicklungsrichtlinien sind wesentlicher Bestandteil dieser Projekte. Häufig sind akute Probleme mit dem Quellcode nicht auf die Entwickler zurückzuführen, sondern haben ihre Ursache in organisatorischen oder prozessualen Vorgaben des Unternehmens.
– PCI-DSS-Beratung: Jede Stelle, die Kreditkartendaten überträgt, verarbeitet oder speichert (wie beispielsweise Online-Shops), muss garantieren können, dass diese Daten bei ihnen sicher aufgehoben sind. Um dies überprüfen, wurde in den von den führenden Kreditkartenanbietern ein Standard ausgearbeitet (Payment Card Industry Data Security Standard). Dieser umfasst 12 Requirements, die betroffene Unternehmen erfüllen müssen. Diese Requirements bestehen aus vielen einzelnen Anforderungen und Prüfungshandlungen (https://de.pcisecuritystandards.org/minisite/en/pci-dss-v2-0.php). Um Mandanten bei der Umsetzung der geforderten Prüfpunkte zu unterstützen, bieten wir PCI-Beratungen an. Hier werden im Rahmen von Workshops zunächst die Flüsse von Kreditkartendaten in der vorhandenen Infrastruktur des Mandanten nachvollzogen und die konkreten Maßnahmen zur Umsetzung der Anforderungen diskutiert. Das Ergebnis einer solchen Beratung kann die Anpassung einzelner Infrastrukturelemente oder aber die Umstrukturierung gesamter IT-Bereiche sein.
Wer also „mit Menschen arbeiten“ möchte, ist in einem beratenden Umfeld sehr gut aufgehoben, da ein Großteil der Arbeit aus Gesprächen und Workshops mit Mandanten besteht.
Julia George
]]>Seit über 2 Jahren arbeite ich nun neben meinem Studium (bzw. studiere neben meiner Arbeit :)) bei der KPMG Wirtschaftsprüfungsgesellschaft. Bei KPMG in Deutschland arbeiten etwa 8.600 Mitarbeiter an 25 Standorten. Weltweit sind über 152.000 Mitarbeiter in 156 Ländern beschäftigt.
Die Dienstleistungen von KPMG gliedern sich in drei große Geschäftsbereiche auf:
Zu einem Partnerbereich gehören fachliche Mitarbeiter („Staff“), Manager sowie der leitende Partner. Die fachlichen Mitarbeiter (Associates und Assistent Manager) werden je nach den Anforderungen für ein Projekt „disponiert“ und reisen dann für die Dauer des Projektes zum Mandanten. Vor- und Nachbereitungen zu den Projekten (z.B. Berichterstellung) finden meist im Büro statt. Für die Akquise neuer Projekte sowie die Projektleitung sind (Senior) Manager verantwortlich. Die strategische Leitung eines Partnerbereichs übernimmt ein (oder mehrere) Partner.
Mein Partnerbereich Security Consulting besteht aus etwa 45 Mitarbeitern. Die meisten meiner Kollegen arbeiten – wie auch der leitende Partner des Bereichs – am KPMG-Standort in Köln. Daneben arbeiten einige Kollegen in den Niederlassungen Berlin und Frankfurt. Da es in vielen großen Städten KPMG-Niederlassungen gibt, kann man beispielsweise während Projektphasen jederzeit auch Büros in diesen Städten nutzen.
Um das Team trotz der verschiedenen Wohn- & Arbeitsorte zusammen zu halten, findet mehrmals im Jahr ein „Office Friday“ statt. Hier treffen sich die Mitarbeiter in Köln, besprechen neue Entwicklungen und tauschen Projekterfahrungen aus. Daneben finden im Winter eine Weihnachtsfeier und im Sommer einen Grillabend in Köln statt. Auch wenn man nur mit einem kleinen Teil der Kollegen direkt zusammenarbeitet, lernt man sich auf diese Weise doch gut kennen.
Ich arbeite innerhalb des Partnerbereichs in einem Team, das sich hauptsächlich mit technischer IT-Security beim Mandanten befasst. Unser Spektrum reicht hierbei von der Auditierung von Netzwerk- und Firewall-Infrastrukturen, über Schwachstellenscans und Code-Reviews bis hin zur weiterführenden Beratung bzgl. PCI und anderen Security-Standards.
Auf die konkreten Inhalte dieser Aufgaben möchte ich in meinem nächsten Blogeintrag näher eingehen und werde euch dann einige der Dienstleistungen vorstellen, die wir anbieten.
Julia George
]]>