Timo Sablowski zu Offensive Security und Produkt-Hypes
Interview mit Senior Security Consultant Timo Sabsolwski
In unserer Interviewreihe stellen wir Ihnen regelmäßig Persönlichkeiten und Unternehmen aus der Branche der Cybersicherheit vor.
Timo Sablowski ist Senior Security Consultant bei carmasec, Cyber Security Enthusiast und veröffentlicht gemeinsam mit Sascha Körner unter seinem Label riot:security auf LinkedIn hilfreiche Beiträge: Im Interview sprechen wir mit Timo Sabsolwski über seine Arbeit im Bereich der Offensive Security und seine weiteren Ziele.
Du bist bei carmasec als Senior Security Consultant tätig. Welche fachlichen Themenbereiche verantwortest du bei carmasec?
Ich bin bei der carmasec für den Themenbereich “Offensive Security” verantwortlich. “Offensive Security” beschreibt einen proaktiven und angriffssimulierten Ansatz, um die Umsetzung von Sicherheitsmaßnahmen in Unternehmen realistisch und nicht nur auf dem Papier zu überprüfen. Die Ergebnisse dieser Angriffssimulationen zeigen unseren Kunden noch nicht betrachtete Schwachstellen auf und dienen außerdem als Security-Awareness-Maßnahmen für Verantwortliche und Entscheider:innen.
Auf LinkedIn findet deine Arbeit als “Cyber Security Enthusiast” gerade viel Anerkennung. Was genau bedeutet dieser Begriff für dich?
Als Cyber Security Enthusiast” bezeichne ich mich, weil ich mich nicht nur für eine Einzeldisziplin, sondern für eine ganzheitliche Betrachtung und Verknüpfung aller Bereiche der Cybersicherheit begeistere. Meine offensiven Fähigkeiten setze ich gerne bei Penetrationstests oder Social-Engineering-Angriffen ein, um Unternehmen ihre Schwachstellen aufzuzeigen. Auf der anderen Seite bin ich häufig in den Bereichen Threat Informed Defense und Threat Hunting tätig. Diese beiden technischen Themen kombiniere ich zu einer Security-Management-Methodik, die vor allem auf messbare Ergebnisse ausgerichtet ist. Mir ist es wichtig, ein Security-Management aufzubauen, welches nicht nur einen Haken auf einer Compliance-Checkliste ermöglicht. Mit meiner Arbeit befähige ich Unternehmen, einen Angreifer zu erkennen, konkret aufzuhalten und im Incident-Response-Fall umgehend Maßnahmen ergreifen zu können.
War es schon immer dein Ziel, in der Cybersicherheit zu arbeiten oder gab es vorher andere Stationen? Gibt es Punkte in deinem Lebenslauf, die für dich besonders wichtig oder prägend waren?
Rückblickend muss ich sagen, dass mein Karriereweg mich direkt in die Cybersicherheit geführt hat. So habe ich meine Ausbildung zum Anwendungsentwickler bei einer Firma gemacht, die Security-Appliances herstellt. Ich bin sehr früh in diese Welt eingetaucht und fand sie sehr faszinierend. Auch in der darauffolgenden Station als System and Network Engineer war die Sicherheit ein großer Teil meiner Arbeit, bis ich 2015 entschieden habe, mich ausschließlich Themenkomplex der Cybersicherheit zu widmen. Seitdem ist dies mein Steckenpferd und ich liebe es, Systeme und Netzwerke auseinander zu nehmen und wieder richtig zusammenzusetzen.
Welche Ziele verfolgst du in deiner Arbeit als Security Consultant bei carmasec und im privaten Bereich?
Zurzeit liegt mir vor allem der Auf- und Ausbau der Offensive Security am Herzen. Wer mehr über das Thema erfahren will, kann in den Podcast “Eine Frage der Sicherheit” zum Thema “Weaponization und Delivery” reinhören.
Nebenher veröffentliche ich mit Sascha Körner unter riot:security Beiträge, um Unternehmen weiter dabei zu unterstützen, Verständnis für Cybersicherheit aufzubauen. Mir ist es sehr wichtig, dass Verantwortliche nicht in einen Kaufrausch verfallen und viel Geld für vermeintlich hilfreiche Produkte ausgeben. Viele Risiken lassen sich ganz einfach mit besseren Prozessen und bereits vorhandener Technologie minimieren.