Hacken für einen guten Zweck
Damiano Esposito zählt zu den besten Nachwuchshackern der Schweiz. Was verboten klingt, dient in Wirklichkeit dazu, Sicherheitslücken in der IT aufzudecken und zu schliessen. Bereits zwei Mal hat der ZHAW-Masterstudent mit der Schweizer Auswahl an der European Cyber Security Challenge teilgenommen.
Sie haben mit der Schweizer Nachwuchshacker-Nationalmannschaft im vergangenen Jahr den dritten Platz an der Europameisterschaft erreicht. Wie muss man sich Hacken als «Teamsport» vorstellen?
Damiano Esposito: Bei der European Cyber Security Challenge waren die Aufgaben sowohl auf «Attack» als auch «Defense» ausgelegt. Das heisst, die Teams mussten sich nicht nur in fremde Systeme einhacken, sondern gleichzeitig auch ein eigenes System gegen aussen schützen. Als Team konnten wir uns in Angreifer und Verteidiger aufteilen. Auf diese Weise haben wir beide Seiten getestet und Sicherheitslücken effizient ausfindig gemacht. Ausserdem ist es bei komplexen Aufgaben ohnehin sinnvoll, die Arbeit auf mehrere Personen zu verteilen.
Haben Sie das im Vorfeld trainiert?
Das kann man so sagen. Bei der vergangenen EM war es so, dass wir über die Art der Aufgabenstellung mit «Attack» und «Defense» informiert wurden. So konnten wir schon vor dem Turnier bestimmen, wer welche Rolle übernimmt und auch ein paar Fälle als Training durchspielen.
Welche Rolle gefällt Ihnen am besten?
Das Attackieren macht mir ehrlich gesagt etwas mehr Spass.
Als «guter Hacker» ist es Ihre Aufgabe, Sicherheitslücken aufzudecken, um sie zu schliessen. Haben Sie nie daran gedacht, ein «böser Hacker» zu werden?
Zugegebenermassen hat es seinen Reiz, in die Rolle des Angreifers zu schlüpfen und sich in fremde Systeme einzuhacken. Es geht mir persönlich aber um die Herausforderung und um das Erfolgserlebnis. Dabei komme ich in der IT-Security voll auf meine Kosten. Das ist sozusagen Hacken für einen guten Zweck.
Von Ihren Fähigkeiten geht eine gewisse Faszination aus. Werden Sie manchmal auch um einen persönlichen Gefallen gebeten?
Solche Fragen kommen natürlich immer, wenn ich jemandem erzähle, dass ich in der IT-Security tätig bin. Diese Aussagen sind aber in aller Regel nur Spass. Zumindest nehme ich sie nicht ernst.
Sie waren bereits zum zweiten Mal an der Europameisterschaft dabei. Aller guten Dinge sind drei?
Solange ich mein Masterstudium noch nicht abgeschlossen habe, bin ich zur Teilnahme zugelassen. Vermutlich lasse ich in diesem Jahr aber anderen den Vortritt, weil ich mich auf meinen Masterabschluss konzentrieren möchte. Denn die Teilnahme an der EM kostet Zeit und Energie, auch im Vorfeld mit der Qualifikation und entsprechenden Übungsaufgaben im Team.
Abgesehen vom EM-Ergebnis – wo steht die Schweiz im europäischen Vergleich in der Ausbildung von IT-Security-Fachleuten wie Ihnen?
Die Ausbildungsmöglichkeiten sind bei uns sicherlich gut. Die ZHAW School of Engineering forscht und lehrt im Bereich IT-Security – auch zusammen mit Wirtschaftspartnern. In der Schweiz gibt es diverse Firmen, die sich mit IT-Security beschäftigen. Es wäre aber wünschenswert, dass sich noch mehr junge Leute für Informatik und speziell IT-Security begeistern. In der Schweiz meldeten sich vergleichsweise weniger Nachwuchshacker für die nationale Vorausscheidung an.
Wo sehen Sie Ihre berufliche Zukunft?
So ganz genau weiss ich das noch nicht, aber sicher in der IT-Security-Branche. Es gibt einige Firmen in der Schweiz, die ethisches Hacking als Dienstleistung anbieten. Entsprechende Fachleute sind also gefragt. Und der Markt wächst.