Meet the Team: PCI Security Services

3. May 2019

Photo: Nur Ahmad (left), Consultant PCI Security Services, Bastian Pütz, Senior Consultant PCI Security Services, Qualified Security Assessor

Security has 1,000 facets. Find your IT security discipline.

Nur, you studied computer engineering. What motivated you to enter the field of IT security after graduating?

Nur Ahmad: I find IT security particularly interesting because new challenges arise there every day – because IT is constantly developing, for example, which opens up new possibilities for attacks. In order to prevent or ward off such attacks, you have to keep your finger on the pulse and continue training and improving. So it never gets boring and you always stay up to date with the latest technologies.

Bastian, you are Nur’s “Buddy”, which means you accompany his training and help him get started in the PCI Security Services team. Tell us briefly what your team does.

Bastian Pütz: We advise companies worldwide on the data security requirements of the Credit Card Industry – the Payment Card Industry Data Security Standard (PCI DSS). We as a company and many of our team members are officially accredited as “Qualified Security Assessors”. This means that we not only advise companies on the security regulations, but also officially certify them against the standard.

Inspecting and confirming security measures. Sounds like a rather boring job.

BP: At first glance, it might. But in reality, our job is very varied. Every company has its own IT environment and data processing processes. When we are with a client, we get behind-the-scenes insights hardly anyone ever gets. At a small travel agency this may not sound exciting at first, but even there we encounter complex processes and software solutions that can acutally be very interesting. And the situation at a global corporation is on a whole different level, obviously. We also don’t have a one-size-fits-all solution that we can simply apply to any company. We really have to understand the individual situation of each client and then develop a practicable solution. The good thing is that we can help in a very concrete way.

Nur, there are different teams at usd: the pentesters at usd HeroLab, IT security consultants and your department, PCI Security Services. Why did you decide to join this team?

NA: Our job in the PCI environment combines technology and consulting, which is important to me personally. As a consultant you work with people a lot and you also get to know the latest technologies used in different IT systems. That’s great. Our international clients also give us the opportunity to travel to exciting places. In the last few weeks our colleagues have been to Sweden, Spain, Tunisia and the US, to name just a few examples.

So you are travelling all over the world and work independently in your projects. Can you really call yourselves a team at all?

NA: Absolutely. I didn’t expect the team to be working together and supporting each other this well. We have a super close network across all locations and departments and communication is surprisingly good. In addition, many colleagues here radiate a spirit that is really infectious. You honestly feel like getting to work and advancing IT security together.

BP: We want to deliver great results to our clients, so we actually have to be a good team. It’s important that each of us can rely on the different experiences and the special knowledge of all team members. We are in constant exchange with each other via different communication channels and have comprehensive meeting at least once a week.

What characteristics should a new colleague bring to your team?

BP: Ideally, he or she has a good understanding of information security, especially the technical aspects. Of course nobody knows everything, that’s why we constantly learn from each other and with each other and keep improving. However, this only works if you are genuinely interested in IT security and if you have a certain passion for the topic. You should also enjoy creating solutions to complex problems and have a pragmatic way of thinking, because that’s exactly what we need to help our clients.

NA: You have to take your job and the responsibility you carry with it absolutely seriously and be a helpful person. In addition, you should be finde with working both independently and in a team and be willing to travel every now and then.

How do you start as a beginner? 

BP: Anyone who is new to usd goes through the “Become a Hero” program in order to settle in, meet colleagues and get an overview of the entire usd. The individual teams then each have their own training concept. Our team has a structured training plan for new team members, which we are constantly optimizing.

NA: Most of what you learn, whether it’s dealing with customers or technical expertise, you learn directly in customer projects. If you notice that there’s something you don’t know yet, you can rely on the help of your colleagues and work through things afterwards. In addition, everyone who starts afresh will have a personal buddy and a mentor. The mentor is an experienced colleague who is always available for professional questions, gives important tips and accompanies your professional development. My buddy is Bastian, he’s  my go-to person for any issue that may come up in everyday work, so to speak. In general, however, you can always approach any colleague with any question you may have, and they will be happy to help you.

Someone with your qualifications can work almost anywhere these days. Why did you choose usd?

BP: I completed my training as a system integrator and then studied computer science with a focus on information security. With this focus, you stumble almost inevitably over usd in Cologne. You hear about the Hackers’ Days, for example. I started as a working student in 2014 and was immediately integrated and allowed to take on responsibility quickly. The decision to work here full time after my graduation in 2016 was therefore an easy one.

NA: I had a very pleasant interview and found the colleagues I talked to very likeable. In addition, I had the feeling that at usd I could contribute my own ideas. And I was right: Shortly after I started, for example, I indicated that I would like to get involved in the university environment. I’ve only been here for a few months now and am already in the middle of talks and preparations for a new cooperation project with a university. That’s really cool.

Foto: Nur Ahmad (links), Consultant PCI Security Services, Bastian Pütz, Senior Consultant PCI Security Services, Qualified Security Assessor

Sicherheit hat 1000 Facetten. Finde Deinen Bereich in der IT Security.

IT Security ist das Hype-Thema unserer Zeit. Die Jobbeschreibungen der Stellenbörsen sind vielfältig und häufig gefüllt mit kaum verständlichen Buzzwords. In unserer Interviewreihe geben Veteranen und Novizen der usd deshalb Einblicke in ihre Arbeit und damit in die unterschiedlichen Bereiche der IT Security. Mit Nur Ahmad und Bastian Pütz sprechen wir über Ihren Bereich PCI Security Services.

Nur, du hast Technische Informatik studiert. Was hat dich dazu bewegt, nach deinem Abschluss in den Bereich IT-Sicherheit einzusteigen?

Nur Ahmad: IT-Sicherheit finde ich besonders spannend, weil dort tagtäglich neue Herausforderungen entstehen – nicht zuletzt, da sich mit der kontinuierlichen Weiterentwicklung der IT auch ständig neue Möglichkeiten für Angriffe auftun. Um solche Angriffe zu verhindern bzw. abwehren zu können, muss man ständig am Ball bleiben und sich weiterbilden. So wird es niemals langweilig und man bleibt immer auf dem neusten Stand in puncto neuste Technologien und Co.

Bastian, du bist Nurs „Buddy“, das heißt, du begleitest seine Einarbeitung ins Team PCI Security Services. Erzähl doch mal kurz, was euer Team macht.

Bastian Pütz: Wir beraten Unternehmen weltweit zu den Datensicherheitsauflagen der Kreditkartenindustrie, dem sogenannten Payment Card Industry Data Security Standard, kurz PCI DSS. Wir als Unternehmen und viele unserer Teammitglieder sind offiziell als “Qualified Security Assessor” akkreditiert. Das heißt, dass wir Unternehmen zu den Sicherheitsvorschriften nicht nur beraten, sondern sie auch offiziell nach dem Standard zertifizieren dürfen.

Sicherheitsmaßnahmen kontrollieren und bestätigen. Das klingt erstmal recht eintönig.

BP: Auf den ersten Blick vielleicht. Tatsächlich ist gerade unser Job aber sehr abwechslungsreich. Jeder Kunde hat seine ganz eigene IT-Umgebung und Datenverarbeitungsprozesse. Vor Ort bekommen wir Einblicke, die normalerweise kaum jemand bekommt. Bei einem kleinen Reisebüro klingt das vielleicht erstmal nicht spannend, aber auch dort gibt es komplexe Prozesse und Softwarelösungen, die sehr interessant sind. Bei einem Weltkonzern sieht das dann noch einmal ganz anders aus. Es gibt für uns auch keine One-size-fits-all-Lösung, die man einfach auf jedes Unternehmen anwenden kann. Wir müssen die individuelle Situation jedes einzelnen Kunden wirklich nachvollziehen und dann eine praktikable Lösung entwickeln. Das Schöne ist, dass wir damit ganz konkret helfen können.

Nur, es gibt bei der usd die Pentester des HeroLabs, Berater im Bereich Security Consulting und euren Bereich, PCI Security Services. Warum hast du dich gerade für dieses Team entschieden?

NA: Die Tätigkeiten im PCI-Umfeld vereinen Technik und Beratung, was mir persönlich beides wichtig ist. Man hat als Berater viel mit Menschen zu tun und lernt außerdem durch die unterschiedlichen IT-Systeme die neusten Technologien kennen. Das ist toll. Außerdem haben wir durch unsere internationalen Kunden die Möglichkeit, an spannende Orte zu reisen. In den letzten paar Wochen waren unsere Teamkollegen in Schweden, Spanien, Tunesien und den USA, um nur ein paar Beispiele zu nennen.

Ihr seid also auf der ganzen Welt unterwegs und arbeitet eigenständig in euren Projekten. Kann man euch denn dann überhaupt als Team bezeichnen?

NA: Absolut. Ich hätte vorher nicht gedacht, dass die Zusammenarbeit und der Zusammenhalt zwischen den Kollegen so gut funktioniert. Quer über alle Standorte und sogar Fachbereiche hinweg sind wir super vernetzt und die Kommunikation läuft überraschend gut. Außerdem versprühen viele Kollegen hier so einen Macher-Spirit, der echt ansteckt. Man bekommt richtig Lust, aktiv zu werden und IT-Sicherheit zusammen voranzubringen.

BP: Um unseren Kunden das beste Ergebnis zu liefern, müssen wir sogar ein gutes Team sein. Es ist wichtig, dass jeder von uns auf die unterschiedlichen Erfahrungen und das Spezialwissen aller Teamkollegen zurückgreifen kann. Deshalb stehen wir über unterschiedliche Kanäle in ständigem Austausch miteinander und kommen mindestens einmal pro Woche zu einem ausführlichen Meeting zusammen.

Welche Eigenschaften sollte eine neue Kollegin oder ein neuer Kollege in euer Team mitbringen?

BP: Im Idealfall hat er oder sie ein gutes Verständnis von Informationssicherheit, insbesondere auch von den technischen Aspekten. Natürlich kann oder weiß niemand alles, deshalb lernen wir ständig voneinander und miteinander und bilden uns weiter. Das klappt aber nur, wenn man sich auch wirklich für IT-Sicherheit interessiert und Lust auf das Thema hat. Außerdem sollte man eine lösungsorientierte und pragmatische Denkweise haben, weil es genau das ist, was unseren Kunden hilft.

NA: Man muss den Job und die Verantwortung, die man damit trägt, absolut ernst nehmen und grundsätzlich ein hilfsbereiter Mensch sein. Außerdem sollte man sowohl selbstständig als auch im Team gut arbeiten und auch Lust haben, hin und wieder zu reisen.

Wie startet man bei euch als Einsteiger? Wie wird man fachlich „fit”?

BP: Jeder, der neu bei der usd anfängt, durchläuft das “Become a Hero”-Programm, um erstmal anzukommen, Kollegen kennenzulernen und einen Überblick über die gesamte usd zu bekommen. Die einzelnen Teams haben dann jeweils ihr eigenes Einarbeitungskonzept. Bei uns im Team gibt es einen strukturierten Plan für die fachliche Einarbeitung, den wir ständig optimieren.

NA: Das meiste, sei es der Umgang mit Kunden oder die fachliche Expertise, lernst du direkt durch Kundenprojekte. Bei auftauchenden Wissenslücken kannst du auf die Hilfe deiner Kollegen vertrauen und einiges im Nachhinein aufarbeiten. Außerdem bekommt jeder, der neu anfängt, einen Buddy und einen Mentor zur Seite gestellt. Der Mentor ist ein erfahrener Kollege, der immer für fachliche Fragen zu Verfügung steht, wichtige Tipps gibt und deine fachliche Entwicklung begleitet. Mein Buddy ist Bastian, sozusagen mein Ansprechpartner für alles, was im Arbeitsalltag so anfällt, auch, wenn mal Probleme auftauchen. Im Endeffekt kannst du aber immer mit allen Fragen auf alle Kollegen zugehen, und dir wird gerne geholfen.

Jemand mit eurer Qualifikation kann heutzutage fast überall arbeiten. Warum habt ihr euch für die usd entschieden?

BP: Ich habe eine Ausbildung zum Systemintegrator gemacht und danach Informatik mit dem Schwerpunkt Informationssicherheit studiert. Mit diesem Schwerpunkt stolpert man in Köln fast zwangsläufig über die usd, und wenns nur über die usd Hackertage ist. Ich habe 2014 als Werkstudent angefangen und wurde gleich integriert und durfte schnell selbst Verantwortung übernehmen. Die Entscheidung, nach meinem Abschluss 2016 voll einzusteigen, ist mir daher leicht gefallen.

NA: Bei der usd hatte ich ein sehr angenehmes Bewerbungsgespräch und fand die anwesenden Kollegen sehr sympathisch. Außerdem hatte ich hier das Gefühl, mitwirken zu können und eigene Ideen einzubringen. Und das hat sich auch bestätigt: Ich hatte zum Beispiel kurz nach meinem Start mal angedeutet, dass ich Lust hätte, mich im Hochschulumfeld zu engagieren. Ich bin jetzt erst ein paar Monate dabei und schon mitten in Gesprächen und Vorbereitungen für ein neues Kooperationsprojekt mit einer Uni. Das ist schon cool.

Also interesting:

DORA Deep Dive: Threat-Led Penetration Testing (TLPT)

DORA Deep Dive: Threat-Led Penetration Testing (TLPT)

The Digital Operational Resilience Act (DORA) will apply as of January 17, 2025. In addition to routine operational resilience testing, DORA will also make it mandatory for certain financial companies to carry out threat-led penetration testing (TLPT) every three...

Security Advisory on Gambio

Security Advisory on Gambio

The pentest professionals at usd HeroLab examined the online shop software Gambio during their pentests. The software offers merchants various functions that support the management of inventory and orders. Our professionals discovered a vulnerability in the password...