Ernõ Jeges - Trainer
Sie können das Schreiben guter Software-Sicherheit zu einer guten Gewohnheit machen. Etwas, an das Sie kaum denken, wie Zähneputzen oder Anlegen des Sicherheitsgurts. Das High Tech Institute arbeitet mit den Spezialisten des ungarischen Unternehmens Cydrill zusammen, um Ihnen das beizubringen.
‚Wir bringen Entwicklern bei, wie man nicht programmiert.‘ László Drajkó verunsichert seine Gesprächspartner gerne mit dieser kühnen Aussage. Doch genau darum geht es in den Software-Sicherheitskursen seines Unternehmens Cydrill: Entwicklern die professionelle Disziplin beizubringen, Schwachstellen in ihrer Software zu vermeiden.
Vielleicht ist ‚Disziplin‘ ein zu starkes Wort. Drajkó meint, es sei eher mit dem Anlegen des Sicherheitsgurtes zu vergleichen. Man merkt nicht mehr, dass man ihn anlegt. Auf die gleiche Weise können Sie sich die gute Gewohnheit aneignen, gute Software-Sicherheit zu schreiben. Und dann werden Sie automatisch Fallstricke vermeiden, ohne darüber nachzudenken. Wir bringen den Menschen bei, instinktiv gute Programmiergewohnheiten anzuwenden.‘ Sichere Kodierung braucht nicht mehr Zeit, sagt Drajkó. Man braucht Zeit, um es zu lernen, aber wenn man es einmal gelernt hat, gibt es keinen Unterschied mehr.
Menschen beizubringen, wie man sicheren Code schreibt, ist ein arbeitsintensives Unterfangen. Auf der ganzen Welt gibt es ständig Einbrüche, die Schwachstellen aufdecken. Es braucht ein großes Team, um mit all diesen Informationen Schritt zu halten und sie in Form von Fallstudien in das Schulungsmaterial einzuarbeiten. Ein unabhängiger Lehrer würde für jede Unterrichtsstunde vier Stunden damit verbringen, auf dem Laufenden zu bleiben und neues Material einzuarbeiten“, schätzt Drajkó.
Deshalb arbeitet das High Tech Institute mit Cydrill zusammen, einem Spezialisten, der sich voll und ganz auf die Ausbildung von Menschen zum Schreiben von sicherem Code konzentriert. Das ungarische Unternehmen ist besonders auf die Sicherheit von eingebetteten Systemen spezialisiert.
Wir verkaufen keine Schmerzmittel und Pflaster, sondern bauen ein Immunsystem auf, das extrem widerstandsfähig ist“, sagen Ernõ Jeges (links) und László Drajkó (rechts), die den High Tech Campus in Eindhoven im letzten Sommer besucht haben.
Der Commodore 64 und der ZX Spectrum
Cydrill befindet sich in Ungarns Hauptstadt Budapest. In den achtziger Jahren hatte der junge László Drajkó Zugang zu Computern, auch wenn dieser Zugang im russischen Einflussbereich sehr begrenzt war. Seine erste Bekanntschaft machte er, als er zwölf Jahre alt war. ‚Die Wissenschaft war unpolitisch. Das Bildungssystem war sehr theoretisch, aber ziemlich gut. Hinter dem Eisernen Vorhang mussten wir uns auf unseren Verstand verlassen und hatten nur wenige andere Ressourcen.‘
Drajkó und seine Kommilitonen schrieben ihren Code auf Papier. Wir haben ihn in unseren Köpfen durchgespielt. Wir suchten nach Programmierfehlern, die nie implementiert worden waren. Wir machten unsere Korrekturen auch auf Papier. Denn als wir endlich Zugang zu einer Maschine hatten, wollten wir sie mit fehlerfreien Programmen füttern. Wir hatten kaum Geld oder Computer.‘
Mitte der achtziger Jahre durften die ungarischen Programmierer nach Deutschland und Österreich reisen, wo sie Commodore 64s und ZX Spectrums kaufen konnten. Die Generation vor unserer musste Millionen von Dollar für einen Computer berappen, aber plötzlich konnten wir einen Heimcomputer für fünfhundert Dollar kaufen. Der PC hatte einen großen Einfluss auf unsere Altersgruppe.‘
Mitte der achtziger Jahre studierte Drajkó Informatik in Ungarn. Noch während seines Studiums fiel der Eiserne Vorhang, was einen großen Einfluss auf ihn hatte. Ein Stipendium der Europäischen Wirtschaftsgemeinschaft ermöglichte ihm ein Studium an der Technischen Universität Delft. Das Ergebnis war ein Kulturschock. In den ersten Monaten in den Niederlanden erlebte er eine „totale Fehlkommunikation“.
Obwohl er Englisch sprach, verstand Drajkó die Fragen seiner Berater nicht. Nicht in Bezug auf die Sprache, aber konzeptionell. Der pädagogische Ansatz war völlig anders. Sie fragten mich Dinge wie: ‚László, an welchem Problem möchtest du arbeiten?‘ Und ich habe gesagt: ‚Nein, nein, ich habe keine Probleme. Sagen Sie mir einfach, welchen Code ich schreiben soll und ich werde den besten Algorithmus dafür finden.‘ Aber dann sagten sie Dinge wie: ‚Wie würden Sie die Welt gerne zum Besseren verändern?‘ Und ich dachte: ‚Ich bin in der Kunstschule gelandet!‘
Als ich in Delft studierte, dachte ich, ich würde an der Kunsthochschule landen“ – László Drajkó über den Kulturschock, den er als ungarischer Student in den Niederlanden erlebte.
Novell, Compaq und Microsoft
Nachdem er fünfundzwanzig Jahre lang für internationale Unternehmen wie Novell, Compaq und Microsoft gearbeitet hatte, beschloss Drajkó, in ein Schulungsunternehmen zu investieren. Er wollte sein Wissen weitergeben und war auf der Suche nach einer geeigneten Nische. Er fand sie im Bereich Sicherheit. Ich fragte mich, was falsch lief, und eine der Antworten war Cybersicherheit.
Vor einiger Zeit traf Drajkó auf zwei bekannte Gesichter, Zoltán Hornák und Ernõ Jeges. Alle drei haben an der Technischen Universität Budapest studiert, aber Hornák und Jeges kennen sich schon seit 1990. In jenem Jahr traten der Ungar und der Serbe bei der zweiten Internationalen Informatikolympiade in Minsk gegeneinander an. Ein paar Jahre später beschloss Jeges, in Budapest Informatik zu studieren.
Hornák und Jeges wurden schnell Freunde und während ihrer Doktorarbeit führten sie Tests für Nokia durch, bei denen sie in Mobiltelefone und vernetzte Systeme einbrachen. Die Nachfrage war so groß, dass sie ihre Doktorarbeit abbrachen und begannen, im Auftrag Systeme zu hacken. Damals war White Hat Hacking noch Neuland“, sagt Jeges. Nur sehr wenige Unternehmen haben das gemacht. Nokia hatte eine Menge Aufträge, und wir merkten, dass wir bei der Arbeit mehr lernten als an der Universität.
Die Aufträge für Penetrationstests (Pentesting) flossen in Strömen zu ihrem Unternehmen Search Lab: Die beiden wurden angeheuert, um in Netzwerkhardware, Set-Top-Boxen und mehr einzubrechen. Die meisten der Zielsysteme waren eingebettet. Nicht viele Sicherheitsunternehmen konzentrieren sich auf diese, denn man muss das System auf Chipebene verstehen. Die meisten Pentesting-Firmen konzentrieren sich auf Websites und Webdienste, aber wir haben uns ausdrücklich auf eingebettete Systeme spezialisiert.
Die Krise von 2008 hat Search Lab hart getroffen. In dieser Zeit wechselte die Mobiltelefonbranche vollständig zu den Plattformen Iphone und Android. Hornák und Jeges verloren den Großteil ihres Geschäfts mit Kunden, mit denen sie schon lange zusammenarbeiteten.
Ihr gemeinsamer Fokus auf Sicherheit hat den Klick bei Drajkó ausgelöst. Die Zahl der Vorfälle nimmt exponentiell zu, während das Bewusstsein dafür minimal ist“, erklärt er. Nur eine Handvoll Unternehmen unternimmt etwas dagegen. Alle sind damit beschäftigt, Fehler zu beheben, aber das löst das Problem nicht. Aufklärung ist die große Chance, eine Software-Sicherheitskrise zu verhindern. Unsere Haltung ist, dass wir keine Schmerzmittel und Pflaster verkaufen, sondern ein Immunsystem aufbauen, das extrem widerstandsfähig ist.
Das Ziel von Ernõ Jeges ist es nicht, den Menschen beizubringen, wie man hackt, sondern Paranoia zu schüren.
Paranoia schüren
2018 gründeten Drajkó und Jeges Cydrill, ein Unternehmen, das sich auf Schulungen konzentriert. Die Sicherheitsbranche ist in ständiger Bewegung, und um damit Schritt zu halten, bietet Cydrill zusätzlich zu den traditionellen Kursen auch Online-Schulungen an. Gegen eine bescheidene Jahresgebühr können die Teilnehmer ihr Wissen mit Hilfe einer digitalen Gamification-Plattform auffrischen. Der Online-Ansatz macht es auch einfach, die Ergebnisse zu verfolgen. Wir messen unseren Erfolg daran, wie unsere Kunden unser Fachwissen in Programmiergewohnheiten umsetzen“, sagt Drajkó.
'If you ask developers to choose a course from nineteen different options, security will probably come in at the bottom.'
Der Bedarf an inhärent sicherem Code ist groß, aber nicht alle Entwickler sind von Sicherheitskursen begeistert. Wenn man Entwickler bittet, einen Kurs aus neunzehn verschiedenen Optionen zu wählen, wird Sicherheit wahrscheinlich ganz unten auf der Liste stehen. Das klingt sehr präskriptiv. Eine neue Plattform, eine neue Sprache oder eine neue Architektur ist für sie viel attraktiver.
In den Software-Sicherheitskursen von Cydrill lernen Entwickler nicht, wie man hackt. Es gibt viele Kurse, die das tun, sagt Drajkó. Viele seiner Kunden in den USA haben Erfahrung damit. Aber sie haben sich von ihnen abgewandt, weil die Kursdesigner es nicht mit ihrer täglichen Arbeit in Verbindung bringen konnten.
Drajkó glaubt, dass das Erlernen von Hacking-Techniken, um Hacks zu verhindern, Zeitverschwendung ist. Es spielt keine Rolle, ob es sich um ethisches Hacken oder Hacken mit böser Absicht handelt. Denn in Bezug auf die Technologie gibt es keinen Unterschied; es ist eine Frage der Moral.‘
Drajkó ist der Meinung, dass Entwickler gut darüber Bescheid wissen müssen, was genau Hacking ist. Deshalb sprechen wir es an. Die Teilnehmer müssen auch verstehen, dass Hacker unendlich viel Zeit und unendlich viele Ressourcen haben. Sie machen von Bots und Computern Dritter Gebrauch. Im Bereich der eingebetteten Systeme nimmt diese Nutzung im Gleichschritt mit dem Internet der Dinge zu.
Deshalb beginnen die Kurse von Cydrill immer mit einem Blick in den Kopf des Hackers. Wir zeigen ihnen zum Beispiel, dass ein Pufferüberlauf ein Problem sein kann“, sagt Jeges. Dass jemand auf diese Weise die Kontrolle übernehmen kann und dass es nicht mehr Ihr Programm ist, das läuft.
Jeges‘ Ziel ist es nicht, den Leuten beizubringen, wie man hackt, sondern ihnen Paranoia einzuflößen. Am ersten Tag gehen die Teilnehmer mit einem unguten Gefühl nach Hause. Sie erkennen, dass sie in der Vergangenheit Fehler gemacht haben. Dieses Gefühl ist wichtig. Es hat eine Wirkung, die wir mit Online-Schulungen nicht erreichen können. Nach dieser Erfahrung sind die Teilnehmer ganz Ohr, bemerkt Jeges mit einem Lächeln. ‚Emotional und intellektuell.‘
'They can apply the new techniques and skills they learn the next day.'
Das macht die Klasse reif für die Behandlung von Best Practices. Wir zeigen ihnen den Unterschied zwischen gut gemeinten Versuchen, den Code hacksicher zu machen, und tatsächlichen Best Practices“, sagt Jeges. Sie können die neuen Techniken und Fähigkeiten, die sie lernen, schon am nächsten Tag anwenden.
Fallstudien sind ein wichtiger Bestandteil dieser Best Practices. Wir verwenden jeden Vorfall, der weltweit Schlagzeilen gemacht hat“, erklärt Jeges.
Dieser Artikel wurde von René Raaijmakers geschrieben, dem technischen Redakteur von Bits&Chips.
Recommendation by former participants
By the end of the training participants are asked to fill out an evaluation form. To the question: 'Would you recommend this training to others?' they responded with a 9.3 out of 10.


