Unser Kollege Tobias Madl gewinnt die European Cyber Security Challenge

Seit mehreren Jahren ist Tobias Madl Mitarbeiter der Stadt München. Aktuell arbeitet er beim Eigenbetrieb it@M im Bereich IT-Sicherheit.

Ab sofort kann sich die Stadt München durch ihn sogar europameisterlich geschützt fühlen. Denn privat ist Tobias auch unter dem Hacker-Pseudonym „explo1t“ bekannt und Kapitän des Deutschen Hacker-Teams. Die Mannschaft konnte sich Mitte Oktober gegen 16 weitere Teams aus verschiedenen Nationen behaupten und bei der „5. European Cyber Security Challenge“ in London den Titel holen. Zu dieser hervorragenden Leistung möchten wir nochmals herzlich gratulieren!

Wir haben nachgefragt!

Tobias Madl, Mitarbeiter im städtischen Eigenbetrieb it@M

Im Interview erzählt Tobias, wie er zur Stadt und dem Hacken gekommen ist und welche Handlungsfelder sich seiner Meinung nach für die städtische IT und speziell für das E-Government im Hinblick auf die Digitalisierung ergeben.

Hallo Tobias, wir freuen uns, dass du Dir Zeit nimmst! Stell Dich doch bitte kurz vor.

Servus, ich bin Tobias Madl, 25 Jahre alt und gebürtiger Münchner. Aktuell bin ich noch Masterstudent an der Hochschule München im Studiengang Applied Research in Engineering Sciences mit dem Forschungsgebiet Automotive Security. Im Februar 2016 absolvierte ich mein duales Studium Bachelor of Science Informatik in Zusammenarbeit mit der Landeshauptstadt München. Dort arbeite ich nun ebenfalls in Teilzeit im Eigenbetrieb it@M im Bereich Security, DMZ und externe Netze.

Wie bist Du damals zur LHM gekommen und was sind aktuell Deine Aufgaben dort?

Ich habe früher nebenbei in der Allianz Arena gearbeitet und dort Jan Kießling (Anmerkung: Mitarbeiter des Personalreferates) kennengelernt. Während der Weihnachtsfeier erzählte er mir dann von dem neuen dualen Studium der Stadt München. Nach meinem Abitur bewarb ich mich bei der Stadt auf das genannte Studium und wurde auch direkt genommen.

Die Hauptgründe für die Anstellung bei der Stadt waren eine direkt Festanstellung, eine gute Vergütung und ein Arbeitgeber, der auf Open Source Projekte/ Software setzt (zum Beispiel Linux und Libreoffice).

Aktuell arbeite ich im Team I32 bei it@M. Dort betreue ich die Web Application Firewall und führe Sicherheitsüberprüfungen für neue Anwendungen durch. Seit einiger Zeit bin ich auch örtlicher Ausbilder, da ich während meiner Zeit als GJAV Mitglied (Anmerkung: Gesamt-Jugend- und Auszubildendenvertretung) großes Interesse daran gefunden habe, Nachwuchskräfte der Stadt München auf ihrer Ausbildung zu begleiten und diese zu fördern.

Teilnahme und Erfolg bei der European Cyber Security Challenge

Gratuliere zum Europameistertitel! Erzähl uns doch mal, wie es zu Deiner Teilnahme dort gekommen ist.

Vielen Dank. Begonnen hat alles mit meinem privaten Interesse mich während meines Studiums im Thema IT-Sicherheit fortzubilden, da es dazu nur sehr wenig Vorlesungen und Weiterbildungsmöglichkeiten gab. Dadurch bin ich auf das Hacking-Lab gestoßen, welches viele Möglichkeiten und Aufgaben bietet, sich in die Materie einzuarbeiten. Dort ist mir auch die Anzeige zur Deutschen Meisterschaft: Cyber Security Challenge Germany (CSCG) aufgefallen. Um daran teilzunehmen, galt es neun Onlineaufgaben zu lösen und eine Zusammenfassung der Lösungswege zu beschreiben.

Die Gewinner des CSCG Finales, Foto: cscg.de

Die Gewinner des CSCG Finales, Foto: cscg.de

Insgesamt konnte ich mich gegen knapp 2000 Mitbewerberinnen und Mitbewerbern durchsetzen und wurde gemeinsam mit 19 anderen zum deutschen Finale eingeladen, das in Düsseldorf stattfand. Dort wurden wir in zufällige Teams aufgeteilt, in welchem wir einen Tag lang erneut Aufgaben lösen sollten. Im Anschluss zu dieser Veranstaltung wurden unabhängig von der Teamleistung die zehn Besten ausgesucht, die dann das Nationalteam bildeten. Das ist ähnlich, wie bei der deutschen Fußballnationalmannschaft. Erst ab diesem Moment kannten wir unsere Teammitglieder und konnten mit der Vorbereitung für die Europameisterschaft beginnen. Wöchentliche Trainings und Teilnahmen an verschiedenen Wettbewerben halfen uns, das Team kennenzulernen und die verschiedenen Fertigkeiten der Teilnehmer herauszuarbeiten. Das erwies sich für die European Cyber Security Challenge (ECSC) als sehr nützlich, da uns dort sehr wahrscheinlich die Teamarbeit zum Sieg über 16 andere Teams geführt hat.

Den Moment, als die Zeit ablief und wir Europameister wurden, war unbeschreiblich und ich werde ihn wohl ewig in Erinnerung behalten.

Das klingt nach einem wirklich tollen Erlebnis! Wie bist Du überhaupt zum Hacken gekommen?

Wie bereits kurz erwähnt, hatte ich schon sehr früh Interesse an den Themen IT-Sicherheit, „Hacken“ oder Schwachstellen in Systemen finden. Durch den Mangel an Vorlesungen zu diesen Themen, bin ich über Ctftime und dem Hacking-Lab auf neue Fortbildungsmöglichkeiten gestoßen und versuche seither, mich in diesen Themen kontinuierlich weiterzuentwickeln. Die Stelle bei I32 bei it@M bestärkte dies dann auch von beruflicher Seite.

Das Nutzen von Hacker-Wissen als Möglichkeit für die Stadtverwaltung

Wenn man an Hacken denkt, verbindet man meistens eher Negatives damit. Inwiefern kann aber einer Stadtverwaltung Dein Wissen weiterhelfen?

Oft verwendet man den Begriff „Hacker“ nur dazu, böswillige Aktionen zu beschreiben. Jedoch gilt es besonders seitens der IT-Sicherheitsspezialisten, das gleiche Skillset und Wissen bereitzuhalten wie die „bösen“ Hacker. Ziel ist es, dass die „Guten“ zum Beispiel die betriebenen Systeme und Anwendungen selbst versuchen zu hacken, um diese auf Schwachstellen, Sicherheitslücken oder Konfigurationsfehler zu überprüfen. Dadurch können Probleme behoben werden und es wird um ein vielfaches schwerer, das gehärtete System erfolgreich anzugreifen.

Letztendlich sollte es ein wesentlicher Bestandteil des IT-Sicherheitskonzepts der Stadt sein, sich von „guten“ Hackern angreifen zu lassen, um mit den daraus gewonnenen Ergebnissen die eigenen Systeme noch besser schützen zu können.

Tobias Madl löst Aufgaben auf der Cyber Security Challenge Germany, Foto: cscg.de

Tobias Madl löst Aufgaben auf der Cyber Security Challenge Germany, Foto: cscg.de

Digitalisierung – überall ist dieses Thema gerade aktuell. Auch in unserer Stadtverwaltung geschieht momentan ein großer Wandel. Wo siehst Du hier Potentiale?

Digitalisierung ist ein wichtiges Thema für die Stadt München. Ich habe jedoch nicht allzu viel dazu zu sagen. Was ich jedoch als äußerst wichtig erachte ist, im Gegensatz zu Facebook und Co, die Privatsphäre der Bürger und Bürgerinnen sowie der Mitarbeiter und Mitarbeiterinnen zu wahren und die erhobenen Daten entsprechend zu schützen. Diese Daten müssen wir zwangsläufig vermehrt und vertieft erheben, sobald wir uns beispielsweise online für einen neuen Personalausweis authentifizieren müssen.

Anforderungen an Online Services und das E-Government der Stadt

Kommen wir zum Thema E-Government. Was erwartest Du Dir aus Sicht eines Bürgers von den Online-Services der Stadt?

Bequemlichkeit ist meiner Meinung nach das wichtigste Kriterium. Endlich weniger und nur noch gezielte Amtsbesuche ohne langes Warten. Das würde auch eine hohe Annahme der neuen Angebote seitens der Bürger und Bürgerinnen fördern. Außerdem ist eine übersichtliche Darstellung der verfügbaren Angebote sehr hilfreich.

Übersichtliche Darstellung aller Online Service der Stadt München unter www.muenchen.de/online-services

Übersichtliche Darstellung aller Online Service der Stadt München unter www.muenchen.de/online-services

Und aus Sicht des „Hackers“?

Vor allem Sicherheit gegen Automatisierung und Datendiebstahl. Es sollte München keinesfalls so ergehen wie Berlin. Dort wurde eine neue Terminplattform online gestellt, über welche Termine für Amtsbesuche gebucht werden konnten. Leider wurde dort eine geeignete Automatisierungsschutzmaßnahme vergessen und eine Firma konnte alle Termine für die nächsten Jahre buchen. Diese Termine werden jetzt gegen Geld an die Bürger verkauft. Tolle Idee der Stadtverwaltung, jedoch eine schlechte technische Umsetzung. Genau solche Probleme sollte die Münchner Stadtverwaltung verhindern, indem sie ihre neuen Services ausgiebig auf Funktionalität und Sicherheit überprüfen (lassen).

Wo bestehen Deiner Meinung nach Handlungsbedarfe in der städtischen IT?

Vor kurzem gab es eine politische Entscheidung, sich von freier Open Source Software zu lösen und zu Redmond Unternehmen (Anmerkung: Microsoft) zu wechseln. Persönlich sehe ich das kritisch. Viele Probleme und Schwierigkeiten werden auf die Stadtverwaltung zukommen. Aus meiner Sicht sollte man diese Entscheidung nochmals überdenken und zum Beispiel eine duale Lösung bevorzugen. Eine vollkommene Abhängigkeit gilt es unbedingt zu vermeiden.

Du verlässt demnächst die Stadt München, um zu promovieren. Kannst Du Dir vorstellen, danach wieder zur LHM zurückzukommen?

Das ist richtig. Ich wählte diesen Schritt weit vor der erfolgreichen Europameisterschaft. Sie ist eher auf oben genannte politische Entscheidungen zurückzuführen. Sollte sich die Stadt jedoch eines Tages wieder Open Source Software in den Fokus stellen, könnte ich mir einen Wechsel zurück zu it@M durchaus vorstellen.

Vielen Dank für das Interview und Deine Einschätzungen Tobias. Wir wünschen Dir viel Erfolg bei den nächsten beruflichen Schritten und vielleicht auch bei weiteren Hacking-Meisterschaften.

Ein Beitrag unter Mitwirkung der dualen Studentin Patrizia Filz.

Team E- und Open-Government der Landeshauptstadt München

Schreibe einen Kommentar