Interview-Fragen zum Security Engineer

Mai 21, 2019
Sicherheitsingenieur: Interviewfragen für Software-Ingenieure

Sicherheit war noch nie so wichtig wie in diesem Moment. Als Gesellschaft haben wir uns daran gewöhnt, viel sensiblere und wichtigere Informationen in Bereichen abzulegen, die wir nicht kontrollieren können. Hinzu kommt, dass wir kollektiv arbeiten und viele der Anwendungen, die wir früher auf unseren eigenen Systemen gehostet haben, jetzt in der Cloud gehostet werden. Während diese neuen Trends eine Fülle von Möglichkeiten schaffen, bedeutet die wachsende Komplexität der Systeme, die Sensibilität der Daten und die Ausweitung des Zugriffs auf unsere Netzwerke, dass die Rolle des engagierten Sicherheitsingenieurs für die meisten Unternehmen unerlässlich geworden ist.

Security Engineers sind nicht einfach Ihre Standard-Software-Ingenieure oder -Entwickler, die von einer anderen Funktion abgezogen wurden, um sich um die Sicherheit zu kümmern. Die besten Kandidaten haben einzigartige Fähigkeiten und Herangehensweisen, die sie für diesen Zweck besonders geeignet machen. Security Engineers benötigen einen eigenen Bildschirm, der von den anderen Technologien, die Sie verwenden, getrennt ist. Lesen Sie weiter, um herauszufinden, was genau Ihr Sicherheitsingenieur wissen muss und wie Sie herausfinden können, ob er es weiß.

In diesem Leitfaden erfahren Sie es:

What is a security engineer?1. Was ist ein Sicherheitsingenieur?

Früher waren Ingenieure und Entwickler für die Sicherheit der Systeme verantwortlich, an denen sie arbeiteten. Wahrscheinlich irgendwann in den frühen Achtzigern begannen ein oder zwei Unternehmen, Leute mit dem alleinigen Zweck einzustellen, sich auf die Sicherheit zu konzentrieren, aber die Rolle des Sicherheitsingenieurs gewann erst in den frühen 2000ern wirklich an Popularität.

1.1 Wofür sind Sicherheitsingenieure zuständig?

Das Hauptziel eines Sicherheitsingenieurs ist es, Ihr Unternehmen gegen Cyberangriffe zu wappnen. Unter anderem beheben sie unsichere Verfahren, wenden Software- und Hardware-Update-Richtlinien an und entwerfen Zugriffskontrollen für verschiedene Systeme und Daten.

Sicherheitsingenieure denken immer über Bedrohungen für Ihr System nach. Das bedeutet, dass sie für die Definition, Aufzählung und Modellierung aller potenziellen Sicherheitsbedrohungen verantwortlich sind. Sie sind auch dafür verantwortlich, die Sicherheitsanforderungen Ihrer Computersysteme und Netzwerke zu erkennen. Wie machen sie das also?

1.2 Welche Arten von Arbeit machen Sicherheitsingenieure?

Technische Lösungen sind ein großer Teil des Jobs. Sicherheitsingenieure implementieren auch Sicherheitsrichtlinien und setzen sie durch. Wenn die Richtlinien in Kraft sind, liegt es an ihnen, alle Abschwächungen, Gegenmaßnahmen und andere Sicherheitsinfrastrukturen zu überwachen, zu warten und anzuwenden. Sie sind auch für die Erstellung und Weiterentwicklung von Maßnahmen und Richtlinien zur Reaktion auf Vorfälle verantwortlich.

Der Schutz von Systemen ist sicherlich ein Teil der Arbeit, aber Sicherheitsingenieure müssen oft einen Schritt weiter denken, nämlich an die Arten von Vermögenswerten, die in diesen Systemen gespeichert sind. Neben dem Schutz des Netzwerks und der IT-Infrastruktur Ihres Unternehmens konzentrieren sie sich auch auf die Sicherung des geistigen Eigentums des Unternehmens, das an diesen Orten gespeichert ist. Sie befassen sich auch mit einem Teil der physischen Sicherheit, da Cyberangriffe oft eine physische Komponente haben.

1.3 Warum ein Sicherheitsingenieur?

Ein Sicherheitsingenieur oder ein Team von Sicherheitsingenieuren übernimmt die Verantwortung für diesen wichtigen Bereich der Softwareentwicklung. Durch die Entwicklung einer speziellen Kompetenz im Bereich Sicherheit sind Sicherheitsingenieure in der Lage, bessere Ergebnisse zu erzielen als ein normales Entwicklungsteam. Das liegt vor allem daran, dass sie besser in der Lage sind, mit neuen Bedrohungen Schritt zu halten, einschließlich Schwachstellen, die in gängiger Software gefunden werden. Indem sie es zu ihrer Aufgabe machen, auf diese Bedrohungen zu reagieren, können sie das Unternehmen schützen, bevor diese gegen sie verwendet werden. Indem Sie einen engagierten Sicherheitsingenieur oder ein Sicherheitsteam unterhalten, kann Ihr Unternehmen gegen Bedrohungen in die Offensive gehen und sich selbst verteidigen, anstatt die Auswirkungen eines Sicherheitsverstoßes abmildern zu müssen.

Die Vorteile der erhöhten IT-Sicherheit führen dazu, dass man in mittleren bis großen Unternehmen immer häufiger eine engagierte Person oder ein Team findet, das sich der Sicherheit widmet, wo man vor ein paar Jahren noch keine gefunden hätte. Zu diesen Teams gehören neben den Sicherheitsingenieuren oft auch Pentester. Pentester sind das Ying zum Yang eines Sicherheitsingenieurs. Ein Sicherheitsingenieur baut Verteidigungsmaßnahmen in Ihrem System auf, während der Pentester versucht, Wege zu finden, diese zu durchbrechen. Indem er Schwachstellen aufdeckt, hilft der Pentester dem Sicherheitsingenieur, stärkere Verteidigungsmaßnahmen zu errichten.

Die besten Sicherheitsingenieure sind Spezialisten auf diesem Gebiet. Das heißt, es gibt keine formalen Anforderungen, um ein Sicherheitsingenieur zu werden. Für die meisten Leute ist es eine Mischung aus einem starken Verständnis für Informatik gemischt mit einem Verständnis für menschliche Psychologie.

What is important for an IT Recruiter to know about a security engineer?2. Was ist für einen IT-Recruiter wichtig, um über Sicherheit zu wissen?

Paradigmenwechsel sind im Sicherheitsbereich eher selten. Aber diese Tatsache sollte nicht zur Selbstzufriedenheit ermutigen. Sie brauchen nur darauf zu achten, wie oft Updates für Ihr Antivirenprogramm kommen, um zu erkennen, dass neue Angriffe, Schwachstellen und andere Sicherheitsprobleme an der Tagesordnung sind.

Im Laufe der Zeit neigen diese Angriffe dazu, sich zu verändern und in bestimmte Richtungen weiterzuentwickeln. Heutzutage findet man beispielsweise eher einen XSS-Angriff als ein früher beliebtes bösartiges Java-Applet. Was ein Recruiter jedoch verstehen muss, ist, dass Sicherheit ein sehr breites Wissen über IT-Themen erfordert.

Sicherheitsingenieure müssen Systemadministration, Computernetzwerke und Programmierung verstehen. Sie müssen auch verstehen, wie diese Komponenten alle zusammenkommen, um Barrieren zu schaffen und Schwachstellen zu beheben. Ein ganzheitlicher Systemansatz kann effizient mit Sicherheitsproblemen in einem Netzwerk umgehen.

3. Mit welchen Tools und Techniken sollte ein Sicherheitsingenieur vertraut sein?

Wie in vielen entwickelten Bereichen der Technologie gibt es eine Fülle von Tools, die Sicherheitsingenieuren zur Verfügung stehen. Dazu gehören Frameworks, Bibliotheken und andere Tools, die zur Verfolgung, Abwehr und Ermittlung der wahrscheinlichen Ursachen von Sicherheitsverletzungen verwendet werden.

In addition to tools, security engineers need to understand more domain specific issues. These include social engineering, phishing, buffer overflows, XSS, zero-days, and Metasploit. They should have a good knowledge of administrative tools, firewalls, antivirus solutions, and threat modeling. Finally, an understanding of Intrusion Detection Systems/Intrusion Prevention Systems or Security Information and Event Management systems is required on a daily basis.

3.1 Hilfreiche Erfahrungen für Kandidaten der Sicherheitstechnik

Für den Umgang mit sicherheitsrelevanten Themen sind Kenntnisse in der Serveradministration, Flottenadministration, Netzwerkadministration und grundlegende Skriptprogrammierung wichtig. Ein guter Indikator dafür, dass sich Ihr Kandidat mit Sicherheitsfragen beschäftigt hat, ist kommerzielle Erfahrung in ähnlichen Positionen. Außerhalb der kommerziellen Erfahrung sind die Mitarbeit an sicherheitsrelevanten Open-Source-Projekten und die Teilnahme an sicherheitsrelevanten Veranstaltungen wie CTF-Spielen oder Sicherheitskonferenzen ein starker Indikator für das Interesse an Sicherheitskenntnissen. Erfahrung mit Pentesting oder Sicherheitsforschung ist ebenfalls hilfreich.

4. Screening eines Sicherheitsingenieurs anhand seines Lebenslaufs

Der Lebenslauf Ihres Bewerbers ist ein guter Ausgangspunkt, um herauszufinden, womit er vertraut ist. Aber sein wirklicher Wert liegt darin, dass er als Leitfaden für die Befragung während der Interviewphase dient. Zusätzlich zu den oben erwähnten Erfahrungen ist es wichtig, auf bestimmte wichtige Technologien im Lebenslauf eines Bewerbers zu achten. Um Ihnen dabei zu helfen, haben wir ein Glossar mit sicherheitsspezifischen Begriffen zusammengestellt.

Security engineer glossary for technical recruiters

4.1 Sicherheitsingenieur-Glossar für technische Recruiter

APT (Advanced Persistent Threat) Ein Langzeitangriff, bei dem ein Angreifer oder eine Gruppe von Angreifern über einen langen Zeitraum hinweg in Deckung bleibt und dabei in der Regel fortschrittliche Techniken einsetzt und unbekannte Schwachstellen ausnutzt, die als 0-Tage bekannt sind.
Arbiträre Code-Ausführung (ACE) Siehe Remote Code Execution.
Antivirus Software zur Erweiterung der Sicherheit, insbesondere für Endknoten. Sie wird verwendet, um Malware oder unerwünschte Software zu erkennen, entweder durch statische Analyse mit Hilfe von Signaturen oder durch Verhaltensanalyse.
CCNA-Sicherheitszertifizierung (Cisco Certified Network Associate Sicherheitszertifizierung ) Sicherheitsorientierte Zertifizierung von Cisco.
CIA-Dreieck/Triade/Prinzip (manchmal auch AIC genannt, um Verwechslungen mit einem Geheimdienst zu vermeiden) CIA steht für Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit). Drei Schlüsselaspekte der Sicherheit, die bei der Bedrohungsmodellierung und der Gewährleistung der Sicherheit des Computersystems helfen.
CISSP (Certified Information Systems Security Professional) Eine bekannte und angesehene Sicherheitszertifizierung.
CSRF (Cross Site Request Forgery) Ein Angriff, der das Vertrauen ausnutzt, das die Website für den Benutzer/Browser hat. Der Angreifer versucht, einen authentifizierten Benutzer dazu zu bringen, unfreiwillig eine Aktion auszuführen, z. B. durch das Senden eines präparierten Links.
CVE (Common Vulnerability and Exposures) Ein von der MITRE Corporation gepflegtes System, das eindeutige IDs für öffentlich bekannte Schwachstellen bereitstellt.
DLP (Data Loss/Leak/Leakage Prevention) Technologien und Tools, die zur Gewährleistung der Sicherheit wichtiger Daten eingesetzt werden. DLP-Systeme verwenden transparente Ver-/Entschlüsselungsmethoden, um den Datenverkehr zu filtern, der kritische und wertvolle Daten enthält, um sicherzustellen, dass unverschlüsselte Informationen das Netzwerk des Unternehmens niemals verlassen werden.
Aushärtung Schritte, die unternommen werden, um die Sicherheit einer Anwendung oder eines Computersystems zu erhöhen, indem Patches angewendet, zusätzliche Module installiert oder unnötige Teile entfernt werden. Die Härtung reduziert die Angriffsfläche und verhindert in einigen Fällen, dass der Angreifer nach einem erfolgreichen Hack nennenswerten Schaden anrichten kann.
HSTS (HTTP Strict Transport Security) Eine Sicherheitsmaßnahme, die vor der Herabsetzung des Sicherheitsstandards bei der Übertragung über HTTPS schützt.
Social Engineering Hacken von Menschen statt Maschinen (z. B. die Sekretärin davon überzeugen, dass sie ein Dokument kopieren soll, statt einzubrechen und es zu stehlen).
IDS/IPS NIDS/HIDS (Intrusion Detection System / Intrusion Prevention System Netzwerk Intrusion Detection System/Host Intrusion Detection System) Systeme, die Werkzeuge zur Erkennung, Erkennung und Meldung von bösartigem Verhalten bereitstellen, das durch einen Einbruch verursacht werden kann. IPS bietet auch die Möglichkeit, Eindringlinge nach der Erkennung zu entschärfen.
Eindringprüfung Ein autorisierter Prozess der Sicherheitsprüfung eines Systems oder einer Anwendung, der einen Angriff aus der realen Welt simuliert. Er liefert Erkenntnisse über die tatsächliche Sicherheit des getesteten Objekts. Penetrationstests können je nach dem Wissen, das die Tester haben, unterteilt werden. White Box ist eine Angriffsart, bei der die Angreifer tiefe Kenntnisse über das Ziel haben. Im Gegensatz dazu ist Black Box ein Szenario, bei dem die Tester wenig oder kein Wissen über das getestete System haben.
Malware/Ransomware Der Begriff Malware steht für bösartige Software und beschreibt Programme, die von vornherein schädlich sind. Malware ist ein weit gefasster Begriff, der mehrere Arten von Schadsoftware wie Computerviren, Rootkits und Würmer beschreibt. Ransomware ist die Malware, die Benutzerdaten sperrt, sie in der Regel verschlüsselt und Lösegeld für die Entschlüsselung verlangt.
Metasploit Software, die von Rapid7 entwickelt und gewartet wird. Man könnte sie als das Schweizer Taschenmesser eines Pentesters bezeichnen. Metasploit bietet eine Datenbank mit bekannten Exploits und zusätzlicher Software und Methoden (z. B. zur Antiviren-Umgehung), die bei der Durchführung von Penetrationstests helfen.
Nmap/Port-Scanning Beim Port-Scanning wird ermittelt, welche Netzwerk-Ports geöffnet sind, indem TCP- oder UDP-Pakete an einen untersuchten Host gesendet und die erhaltene Antwort interpretiert wird. Nmap ist ein beliebter Port-Scanner, ein Tool, das zur Durchführung von Port-Scans verwendet wird.
OSCE (Zertifizierter Experte für Offensive Sicherheit) Zertifizierung für Penetrationstests.
OSCP (Offensiv-Sicherheits-Zertifizierter Profi) Zertifizierung für Penetrationstests.
PBKDF In der Kryptografie ist KDF (Key Derivation Function) eine Funktion, die auf Basis einer geheimen Eingabe geheime Schlüssel erzeugt. PBKDF steht für passwortbasierte Schlüsselableitungsfunktion und wird zur Ableitung eines geheimen Schlüssels aus dem Passwort eines Benutzers verwendet.
Phishing Ein Angriffstyp, der darauf abzielt, Benutzeranmeldeinformationen und vertrauliche Daten zu erlangen. Er besteht in der Regel darin, dass E-Mails versendet werden, die sich als eine Autorität ausgeben (z. B. Sicherheitspersonal, Chef, Arbeitgeber) und die Benutzer auf eine Website umleiten, die eine vertrauenswürdige Anmeldeseite imitiert. Dies kann z. B. durch eine URL-Domain geschehen, die sich durch ähnliche Buchstaben unterscheidet (z. B. großes i und kleines L) oder durch Typosquatting. Es handelt sich um einen Angriff, der nicht nur technische Schwachstellen ausnutzt, sondern auch Social Engineering einsetzt.
Rotes Team Eine Gruppe von Sicherheitsspezialisten, die die Sicherheitssysteme und -verfahren einer Organisation in realen Szenarien testet. Red-Team-Assessments können nicht nur Cyber-Vektoren, sondern auch physische Vektoren verwenden, wie z. B. das Eindringen in Gebäude, das Einschleusen von Geräten in die Netzwerke und Computer einer Organisation, die zur Kompromittierung ihrer Systeme beitragen können. Ein mögliches Ergebnis kann die Exfiltration von vertraulichen Daten sein. Rote Teams werden angeheuert, um bei der Ausbildung von blauen Teams zu helfen - Spezialisten, deren Aufgabe es ist, das System eines Unternehmens sicher zu halten, Vorfälle zu überwachen und darauf zu reagieren und die Auswirkungen von Sicherheitsverletzungen zu minimieren.
RCE/ACE (Remote Code Execution/Arbitrary Code Execution) Beschreibt die Auswirkungen einer Sicherheitslücke, die es dem Angreifer ermöglicht, beliebigen Code oder Befehle auf dem Zielsystem auszuführen. RCE tritt auf, wenn der Angreifer in der Lage ist, beliebigen Code auf dem entfernten Host über das Netzwerk auszuführen.
Sandkasten Ein Begriff, der eine Art sichere, unprivilegierte und isolierte Umgebung beschreibt, in der nicht vertrauenswürdige Software ausgeführt werden kann, ohne anderen Systemen Schaden zuzufügen.
SIEM (Security Information and Event Management) Komplexe Tools, die für die Aggregation von Protokollen, die Überwachung und Berichterstellung sowie die Echtzeitanalyse von Alarmen und Ereignissen verwendet werden, die von Software- und Hardwarelösungen im Netzwerk eines Unternehmens generiert werden.
SPAM Unerwünschte und nicht angeforderte Nachrichten, die per E-Mail gesendet werden.
Spear-Phishing Sehr gezielter Phishing-Angriff, der sich auf eine Person/Organisation usw. konzentriert. In der Regel geht dem Angriff eine lange und ausführliche Erkundung voraus.
SQL-Einschleusung (SQLi) Einer der beliebtesten Angriffe, der auf Datenbankabfragen in Anwendungen abzielt. Sie werden durch unsachgemäße Bereinigung, Kodierung und Behandlung der vom Benutzer bereitgestellten Daten verursacht. SQLi-Angriffe führen zur Ausführung beliebiger SQL-Anweisungen auf der Datenbank und zur Exfiltration oder Modifikation ihres Inhalts.
SSTI (Server Side Template Injection) Eine Code-Injektionstechnik, die auftritt, wenn der Server vom Benutzer übermittelte Daten in der Vorlage verwendet. Diese Art von Angriff kann zu einer serverseitigen willkürlichen Codeausführung führen.
Modellierung der Bedrohung Dies ist ein Prozess, der potenzielle Bedrohungen erkennt, identifiziert und priorisiert. So können beispielsweise Schwachstellen aufgedeckt werden, die von einem Angreifer ausgenutzt werden könnten, um Computersysteme zu kompromittieren. Die Bedrohungsmodellierung hilft dabei, Verfahren, Richtlinien und Maßnahmen zu entwerfen und zu implementieren, um wertvolle Ressourcen zu sichern und Angriffe unrentabel zu machen. Um die Bedrohungsmodellierung zu erleichtern, wurden Methoden wie VAST entwickelt.
VAST (Visuelle agile und einfache Bedrohungsmodellierung) Eine Methodik, die bei der Bedrohungsmodellierung verwendet wird.
Bewertung der Anfälligkeit Ein Prozess der Durchsuchung eines Systems nach bekannten Bedrohungen (bekannten Schwachstellen) mithilfe von Techniken wie Port-Scanning und Services Fingerprinting. Bei der Schwachstellenbewertung werden die Ergebnisse analysiert, um die Schwachstellen des Systems zu ermitteln, und es werden Abhilfemaßnahmen bereitgestellt, um das Risiko oder die Auswirkungen eines möglichen Angriffs zu minimieren.
WAF (Web Application Firewall) Ein Tool, das zum Härten von Webanwendungen verwendet wird. WAFs validieren Benutzereingaben und überwachen Anfragen auf bösartige Anfragen, blockieren diese und melden sie.
XSRF Ein weiteres Akronym für CSRF
XSS (Cross-Site Scripting)

Eine Klasse von Computersicherheitslücken, meist in Webanwendungen, die es einem Angreifer ermöglichen, clientseitige Skripte (meist in JavaScript, manchmal auch VBScript) einzuschleusen. Das Ausführen von Code im Browser eines Benutzers kann helfen, einige Zugriffskontrollmethoden wie SOP (same origin policy) zu umgehen, Authentifizierungsdaten (Cookies) zu exfiltrieren, um sich als angemeldeter Benutzer auszugeben, oder eine Website dynamisch zu verändern.

XXE (Externe XML-Entität) Ein Angriff, der auf XML-verarbeitende Anwendungen abzielt, die Verweise auf externe Entitäten nicht richtig behandeln. Normalerweise führt diese Art von Sicherheitslücke zur Offenlegung von Daten.

4.2 Die gebräuchlichsten Bezeichnungen für Sicherheitstechnik, die austauschbar verwendet werden

  • CRSF <-> XSRF (siehe Glossar)

4.3 Völlig unterschiedliche Versionen von Sicherheitsthemen

  • SSTI geht in der Regel XSS voraus, führt aber zur serverseitigen Codeausführung. Im Gegensatz dazu geht es bei XSS um die Ausführung von Client-seitigem Code.

4.4 Wie wichtig sind Security-Engineering-Zertifikate für die Beurteilung der Programmierkenntnisse eines Kandidaten?

Zertifikate sind sicherlich nicht alles, aber es gibt einige bemerkenswerte Zertifikate, die für Sicherheitsingenieure respektiert werden. Diese sind gut zu haben, aber nicht unbedingt notwendig. Die am häufigsten respektierten sind:

  • CISSP
  • OSCP
  • OSZE
  • CCNA [Sicherheit]

4.5 Andere Dinge, auf die man im Lebenslauf eines Sicherheitsingenieurs achten sollte

  • Es ist gut, eine Liste der eingereichten CVEs zu haben (siehe Glossar)

Security engineer interview questions to ask during a phone/video technical interview5. Interviewfragen für Sicherheitsingenieure bei einem technischen Telefon-/Videointerview

Ein Lebenslauf eines Sicherheitsingenieurs kann Ihnen einen Anhaltspunkt über das Wissen und die Erfahrung eines Sicherheitsingenieurs geben, aber es ist wichtig, zu prüfen, worüber der Kandidat tatsächlich sprechen kann und wie er sein Wissen in der Vergangenheit angewendet hat.

5.1 Fragen zur Erfahrung des Kandidaten

Q1: Haben Sie einen Verstoß behandelt? Wie ist es dazu gekommen? Wie konnte er verhindert werden?

Warum Sie Q1 fragen sollten: Der Kandidat soll in der Lage sein, seine Erfahrungen mit der gegebenen Branche zu teilen. Riesige Verstöße passieren nicht täglich, aber kleinere Unfälle schon, daher sollte der Kandidat einige Gedanken und Schlussfolgerungen zu diesem Thema haben. Beachten Sie, dass bestimmte Fälle lebenswichtige Informationen sind und Details vertraulich sein können, so dass ein Interviewpartner möglicherweise nicht darüber sprechen darf.

Q2: Was ist Ihre Meinung über die Rolle des Sicherheitsingenieurs in der Firma?

Warum Sie Q2 fragen sollten: Der Kandidat sollte die Aufgaben eines Sicherheitsingenieurs in einer Organisation kennen. Beachten Sie, dass bestimmte Aufgaben außerhalb oder innerhalb des Umfangs dieser Funktion liegen können - dies hängt von der Struktur der Organisation ab.

Q3: Was halten Sie von BYOD (bringen Sie Ihr eigenes Gerät mit)?

Warum Sie Q3 fragen sollten: Unabhängig davon, für welche Seite sich der Kandidat entscheidet, ist es wichtig, die Risiken, Schwachstellen und den richtigen Umgang mit nicht vertrauenswürdigen Geräten und dem Zugriff auf die Daten des Unternehmens zu verstehen.

5.2 Fragen zu den Kenntnissen und Meinungen des Kandidaten

Q1: Was ist eine Bedrohung, Verwundbarkeit, Ausbeutung und Schadensbegrenzung? (erklären)

Warum Sie Q1 fragen sollten: Mit dieser Frage kann der Kandidat sein Verständnis und seine Grundkenntnisse der in der IT-Sicherheit verwendeten Begriffe zeigen. Der Kandidat sollte darlegen, dass Mitigations Patches/Korrekturen sind, die auf Software (oder andere Mechanismen, die z.B. auf Kernel-Ebene verwendet werden) angewendet werden, um die Ausnutzung der Schwachstelle zu verhindern.

Q2: Was ist eine SQL-Injektion und wie unterscheidet sie sich von XXE? (erklären)

Warum Sie Q2 fragen sollten: Der Kandidat sollte in der Lage sein, ein grundlegendes Verständnis für einige häufige Schwachstellen in modernen Anwendungen zu zeigen.

Q3: Was führt zu SSTI (serverseitige Template-Injektion) und ist sie gefährlicher als XSS? Wie unterscheiden sie sich?

Warum Sie Q3 fragen sollten: Schwachstellen sind komplex. Manchmal kann das Auftreten einer Art von Fehlern ein Hinweis darauf sein, dass sich auch ein anderer Teil der Anwendung fehlerhaft verhält und die tatsächliche Bedrohung eine viel größere Auswirkung hat, als zunächst angenommen wurde.

Q4: Was sind: IDS, IPS und EDR. Wie unterscheiden sie sich?

Warum Sie Q4 fragen sollten: Der Kandidat sollte in der Lage sein, die grundlegenden Klassen von Werkzeugen zu unterscheiden, mit denen Angreifer entdeckt und daran gehindert werden können, Schäden zu verursachen.

Q5: Wie funktioniert die asymmetrische Verschlüsselung? Wann sollten Sie sie einsetzen? Was sind die Vor- und Nachteile im Vergleich zur symmetrischen Verschlüsselung? Nennen Sie einen symmetrischen und einen asymmetrischen Verschlüsselungsalgorithmus.

Warum Sie Q5 fragen sollten: Kryptographie ist bei der Absicherung moderner Anwendungen allgegenwärtig. Der Kandidat sollte die Nachteile der asymmetrischen Verschlüsselung kennen (z. B. Geschwindigkeit).

Q6: Was ist der Unterschied zwischen der Stromchiffrierung und der Blockchiffrierung?

Warum Sie Q6 fragen sollten: Der Kandidat sollte in der Lage sein, grundlegende Kenntnisse über die Werkzeuge der modernen Kryptographie und deren Anwendungsfälle darzustellen.

Q7: Was ist Hashing (kryptographisch), wofür wird es verwendet, wann und wie unterscheidet es sich von Verschlüsselung? Nennen Sie einen Hashing-Algorithmus, der nicht verwendet werden sollte, und einen "nicht erwiesenermaßen unsicheren".

Warum Sie Q7 fragen sollten: Der Kandidat soll wissen, dass z. B. das Speichern von Passwörtern von Clients im Klartext eine verwerfliche Praxis ist und hier Hashing-Funktionen eingesetzt werden sollten. Die unsichere Funktion ist zum Beispiel MD5. SHA256 hat nach wie vor nachweislich keine Kollisionen und ist eher sicher zu verwenden.

Q8: Was ist PBKDF, wie funktioniert sie? Warum sie verwenden?

Warum Sie Q8 fragen sollten: The candidate should be able to show knowledge about the existence of these mechanisms and efficient/convenient ways of implementing security on a daily basis.

Q9: Wie unterscheidet sich CSRF von XSS?

Warum Sie Q2 fragen sollten: The candidate should be able to differentiate classes of common vulnerabilities.

Q10: Was ist ein Fingerabdruck?

Warum Sie Q10 fragen sollten: This topic allows the candidate to talk about methods of identifying encountered systems. The technique is usually used by the attacker in the reconnaissance phase. The candidate may also talk about unique fingerprint based tracking methods.

Q11: Wie kann man überprüfen, ob die heruntergeladene Datei korrekt ist?

Warum Sie Q2 fragen sollten: This question gives the candidate the ability to show some practical and basic knowledge about checksums, hashing algorithms, and cryptographic signatures.

Q12: Erklären Sie das CIA-Prinzip.

Warum Sie Q12 fragen sollten: The CIA principle or CIA triangle is a basic model used to create security policies. The candidate should be able to use it to show their deep knowledge of which rules should be considered when developing rules and policies.

Q13: Was ist Hafenklopfen?

Warum Sie Q13 fragen sollten: The candidate should be familiar with basic security measures. This question is a little bit tricky because port knocking shouldn’t be considered bulletproof.

Q14: Name secure protocol to manage remote servers?

Warum Sie Q14 fragen sollten: The candidate should be able to talk about basic tools ensuring security during daily tasks like remote servers management. SSH is one of them.

Q15: What is rlogin and should it be used? Why? Why not? Explain

Warum Sie Q15 fragen sollten: IT security is a very dynamic field but sometimes environments must address legacy requirements. That’s why they use old technologies like rlogin. By answering that question, the candidate can prove they have an in-depth knowledge of security tools and knows which of them lacks security and why.

Q16: Was ist Verhärtung?

Warum Sie fragen sollten Q16: This question should give the candidate an opportunity to talk about various methods of making the environment and applications more secure.

Q17: Was sind Penetrationstests? Was ist eine Schwachstellenbewertung? Wie unterscheiden sie sich? Was ist ein Sicherheitsaudit?

Warum Sie Q17 fragen sollten: This question is a little bit tricky. Sometimes these terms are misunderstood and used interchangeably. Management may misuse these terms, so the candidate should be familiar with them and know the differences.

Q18: Nennen Sie einen Pentesting-Leitfaden.

Warum Sie fragen sollten Q18: Pentesting reports usually appear on a security engineer’s desk. The candidate should be able to know some guidelines of penetration testing not only to properly handle reports but also consider features not affected by the pentest.

Q19: Was ist PKI (Public-Key-Infrastruktur)? Wie funktioniert sie?

Warum Sie Q19 fragen sollten: By answering this question, the candidate can prove their knowledge of handling authentication provided by cryptographical solutions. The candidate should be conscious of the assumptions that go with this kind of mechanisms.

Q20: Was ist Kerberos? Wozu wird er verwendet? Kann es in Windows-Domänen verwendet werden?

Warum Sie Q20 fragen sollten: A large organization’s networks need special solutions to reduce attack surfaces in areas connected with access restrictions. The candidate can show their understanding of one of the most popular solutions, its advantages, and limitations.

Q21: Was ist Zertifikatsanheftung? Wie macht man das richtig?

Warum Sie Q21 fragen sollten: This question is about ensuring security despite communication over an insecure channel. It will help the candidate to show their knowledge of common mitigations.

Q22: Was tun Sie, wenn Ihr privates Zertifikat gestohlen wird?

Warum Sie Q22 fragen sollten: The is a practical question which gives the candidate the opportunity to talk about actions that are rather rare but have a really strong impact on company security. This may be a very stressful and dangerous situation and knowing how to deal with it is one of the software engineering attributes.

Q23: Nennen Sie ein beliebtes Werkzeug zum Scannen von Schwachstellen?

Why you should ask Q23: This question, while not strictly about a security engineer’s job, enables the candidate to prove their knowledge of tools used in security assessments.

Q24: Was ist ein blaues Team, ein rotes Team und ein violettes Team? Welches ist das wichtigste?

Why you should ask Q24: Based on this question, the candidate will show if they are more into offensive security or defense. But no matter the choice, these questions will show an understanding of modern-day security challenges and solutions.

Q25: Was ist DLP, wie funktioniert es?

Why you should ask Q25: This question will give the candidate an opportunity to talk about some techniques that help to prevent or localize data leakage.

Q25: Was ist die WAF? Nennen Sie eine WAF-Lösung.

Why you should ask Q25: Web applications are really popular these days. That’s why they become targets very often. The candidate should have some knowledge of the possibilities of protecting them and common products that can be applied.

Q26: Was ist SOP (gleiche Ursprungsregeln)?

Why you should ask Q26: The candidate should be able to speak about those mitigations as they are implemented in modern browsers, their strong points, and weaknesses.

Q27: Was ist CSP (Content Security Policy), wann sollte es eingesetzt werden?

Why you should ask Q27: Since XSS has stayed on top of the OWASP Top 10 list of vulnerabilities, this question will allow the candidate to show that they are familiar with this problem and know the proper mitigations.

Q28: Wie lässt sich SQL-Injektion eindämmen?

Why you should ask Q28: This question enables the candidate to talk about some basic mitigations used in applications (e.g prepared statements) to ensure that user-provided data is handled the right way and stays classified as untrusted.

Q29: What is HSTS? Why you should use it?

Why you should ask Q29: The man in the middle has a great impact on security. The candidate answering this question should be able to show a basic understanding of cryptography appliances and solutions which mitigate this dangerous attack.

Q30: Erklären Sie, wie TLS funktioniert (in wenigen Sätzen).

Why you should ask Q30: This question provides the opportunity for the candidate to talk about modern-day cryptographic solutions to secure insecure communication channels with very popular technology.

Q31: Was ist der Unterschied zwischen Autorisierung und Authentifizierung?

Why you should ask Q31: This is a really basic question that will show that the candidate has a proper understanding of terms and challenges that they will be challenging every day in their job as a security engineer.

Q32: Was sind ACLs? Wie verwendet man sie?

Why you should ask Q32: This question will show that the candidate has proper knowledge of access restriction solution in modern day systems.

Q33: Nennen Sie Vertraulichkeitsebenen.

Why you should ask Q33: This question allows the candidate to talk about basic terms used to judge the level of the protection of assets in the organization.

Q34: Was ist RADIUS? Wann sollten Sie es benutzen?

Why you should ask Q34: By answering this question, the candidate will show their in-depth knowledge of modern-day solutions for authenticating and authorizing users, which is the key level of assuring security.

Q35: Was ist VLAN, wann sollten Sie es benutzen? Wie funktioniert das VLAN-Hopping?

Why you should ask Q35: This question will allow the candidate to tell how to use network solutions for network separation.

Q36: Wie sichert man WiFi in einer Organisation? (Netztrennung)

Why you should ask Q36: This is a broad topic. The candidate can show the understanding of the complex problem and their understanding of threat modeling.

Q37: Nennen Sie drei Arten von Sicherheitstests je nach Kenntnisstand des Angreifers. Welche ist die zuverlässigste und simuliert ein Szenario aus der realen Welt?

Why you should ask Q37: Pentests are one of the ways to challenge implemented security measures. The candidate will be able to show their level of knowledge of the simulated attacking team that will help with threat modeling and analysis of the reports.

Q38: Benennen Sie jede Schicht des ISO/OSI-Modells.

Why you should ask Q38: This question will provide the candidate the opportunity to show the basic knowledge of networks.

Q39: Was ist ein Restrisiko?

Why you should ask Q39: The candidate will be able to show their in-depth knowledge of threats and threat modeling. This is a key ability used in risk assessments.

Q40: Stellen Sie sich vor, Sie arbeiten für ein kleines Unternehmen. Dort werden jeden Monat mehrere Praktikanten für einen kurzen Zeitraum beschäftigt. Sie benötigen Zugang zu einigen Servern und einem WiFi-Netzwerk. Wie werden Sie damit umgehen?

Why you should ask Q40: This is a practical and broad topic that will allow the candidate to show their knowledge of networks and security solutions that help to ensure security in companies in a convenient way. He/she should point to mechanisms used to bypass the need for sharing and changing one password among the team.

Q41: Was ist ein Passwort-Manager? Wozu sollte er verwendet werden?

Why you should ask Q41: This question helps the candidate to show their knowledge about simplifying security mechanisms for end users.

Q42: Which policy is better – blacklisting or whitelisting, and why?

Why you should ask Q42: This question will enable the candidate to show a basic knowledge about the position of defenders in cyber-warfare. Knowing the disadvantages of whitelists may prevent catastrophic events in the future.

Q43: Definieren Sie, was ein Mann in der Mitte des Angriffs ist.

Why you should ask Q43: This question helps the candidate to show their knowledge about modern days’ threats and popular attacks. It should also give the opportunity to talk about countermeasures.

Q44: Wie funktioniert der Diffie-Hellman-Schlüsselaustausch (DHKEX)?

Why you should ask Q44: This question will allow the candidate to talk about one of the most popular and commonly used mechanism.

Q45: Was ist das SIEM und wie funktioniert es?

Why you should ask Q45: The candidate will be able to show their understanding of the tools deployed to help to defend an organization’s assets.

Q46: Was sind DoS und DDoS? Worin besteht der Unterschied zwischen DoS und DDoS?

Why you should ask Q46: This is an easy question that will show a basic understanding of really common and old attacks that are still very popular nowadays.

Q47: Wie verhindert man DNS-Spoofing und wie sichert man einen DNS?

Why you should ask Q47: This question will enable the candidate to show his or her administrative knowledge and understanding of modern threats in organizations. Talking about securing a DNS will show that the candidate is familiar with cryptographic mechanisms and solutions provided to fight current threats in internal networks.

5.3 Verhaltensbezogene Fragen Sie sollten fragen, um zu verstehen, wie sich der Kandidat in der Vergangenheit verhalten hat

Q1: Die letzten zwei Jahre waren von Lösegeldanschlägen besetzt, die in Organisationen und Unternehmen verheerende Verwüstungen anrichteten und riesige finanzielle und Reputationsverluste verursachten. Welche Schritte würden Sie unternehmen, um solche Unfälle in Ihrer Organisation zu verhindern?

Warum Sie Q1 fragen sollten: This question will allow the candidate to challenge modern days’ threats and show their creativity in solving non-trivial problems.

Q2: Ihr IDS meldete einen Bruch. Was würden Sie tun, um die Bedrohung zu beseitigen?

Warum Sie Q2 fragen sollten: This is a broad topic that will allow the candidate to show their understanding of security policies, understanding of the complexity of security problems and show their wide view on the problem.

Technical screening of security engineer skills using an online coding test6. Technisches Screening der Security-Engineering-Fähigkeiten mithilfe eines Online-Codierungstests

Security should not be an abstract concept that you think about. It should be an ongoing series of preparations against and reactions to the security threats that your organization is faced with.  As we discussed, a major component of this is the ability to code, using tools to test the security of an application or network. The coding test that you use should reflect that.

6.1 Welchen Sicherheitsprogrammiertest sollten Sie wählen?

When looking for the right security online programming test you should make sure they match the following criteria.

  • They reflect the real work being done, with real contemporary security challenges
  • They don’t take too much of the candidates time, one to two hours max
  • They can be sent automatically and can be taken anywhere to give you and your candidate flexibility
  • Sie prüfen nicht nur, ob die Lösung funktioniert, sondern auch die Qualität des Codes und wie gut er in Randfällen funktioniert
  • Sie sind so nah an der natürlichen Programmierumgebung wie möglich und ermöglichen dem Kandidaten den Zugriff auf die Ressourcen, die er normalerweise bei der Arbeit nutzen würde
  • They let the candidate use all the libraries, frameworks, and other tools they normally would use, including the ones most important to the job
  • They are at a proper level that matches the candidate’s abilities

7. DevSkiller gebrauchsfertige Online-Tests zur Bewertung der Sicherheitskodierung

Devskiller’s RealLifeTestingTM methodology is ideal for testing security engineer skills. The platform doesn’t ask academic questions. Instead, it sets up real security situations that a security engineer needs to approach using their experience and creativity. On top of that, the tests are graded automatically and you can see how the security engineer comes up with their solution. DevSkiller offers security test both with coding and systems. Here are a few you can try from.

JUNIOR
Geprüfte Fähigkeiten
Dauer
70 Minuten max.
Auswertung
Automatisch
Test-Übersicht

Auswahlfragen

Beurteilung des Wissens über Sicherheit, DevOps, Dockarbeiter

Testaufgabe - Stufe: Einfach

Sicherheit | SQL Injection | E-Mail-Leck auf eCommerce-Website - Finden Sie ein SQL Injection-Leck in der Webanwendung

JUNIOR
Geprüfte Fähigkeiten
Dauer
70 Minuten max.
Auswertung
Automatisch
Test-Übersicht

Auswahlfragen

Beurteilung des Wissens über Sicherheit

DevOps Aufgabe - Stufe: Einfach

Sicherheit | SQL Injection | E-Mail-Leck auf eCommerce-Website - Finden Sie ein SQL Injection-Leck in der Webanwendung

Beitrag teilen

Es ist mehr als nur ein Newsletter

Erhalten Sie nützliche Einblicke direkt in Ihren Posteingang und erfahren Sie mehr über die Einstellung von Technikern.

Kodierfähigkeiten nahtlos verifizieren & entwickeln.

Sehen Sie DevSkiller-Produkte in Aktion.

Sicherheitszertifizierungen & Konformität. Wir sorgen dafür, dass Ihre Daten sicher und geschützt sind.