Berufseinstieg als Penetrationstester bei BMW »Wir versuchen, unsere Autos zu hacken, bevor es die ›Bösen‹ tun«
Penetrationstester Michael Spahn: Das Hobby zum Beruf gemacht
Foto: BMWDieser Artikel gehört zum Angebot von SPIEGEL+. Sie können ihn auch ohne Abonnement lesen, weil er Ihnen geschenkt wurde.
Der Start ins Arbeitsleben ist aufregend, anstrengend – und oft ganz anders als geplant. In der Serie »Mein erstes Jahr im Job« erzählen Berufseinsteiger:innen, wie sie diese Zeit erlebt haben. Diesmal: Michael Spahn, 24, arbeitet als sogenannter Penetrationstester im Forschungs- und Innovationszentrum der BMW Group – und hat damit sein Hobby zum Beruf gemacht.
Alle bisherigen Folgen von »Mein erstes Jahr im Job« finden Sie auf unserer Serienseite. Sie haben Ihren Berufseinstieg selbst gerade hinter sich und möchten davon erzählen? Dann schreiben Sie uns an SPIEGEL-Start@spiegel.de .
»Seit ich das erste Mal von Hacking gehört habe, bin ich fasziniert davon. Jetzt hacke ich bei BMW Autos, um sie sicherer zu machen. Denn die sind inzwischen ja quasi fahrende Computer.
Der Begriff ›Hacking‹ wird gerade von Laien für alles Mögliche verwendet, meint aber eigentlich, unerlaubt in fremde Computersysteme einzudringen und dort eigene Programmcodes auszuführen. Ich habe schon in der siebten Klasse angefangen zu hacken. Zu Weihnachten bekam ich damals eine Wii geschenkt, doch mehr als die Spiele interessiert ich mich dafür, die Konsole auseinanderzunehmen.
Nach dem Abitur habe ich dann Elektro- und Informationstechnik studiert, da war viel Informatik dabei und eben Technik. Ich hatte ein Wahlfach, ›Grundlagen des Hacking‹, aber eigentlich habe ich mir das Meiste in meiner Freizeit beigebracht. Ohne ein privates Interesse an Hacking kann man in diesem Bereich nicht arbeiten, glaube ich. Auch, weil sich die Methoden ständig weiterentwickeln und man das in keiner Fortbildung lernt.
Stipendienprogramm während des Studiums
Ich komme aus Dingolfing, Sitz des europaweit größten Werks der BMW Group. Der Konzern ist deshalb allgegenwärtig. Meine Eltern machten mich kurz vor dem Abitur auf ein unternehmenseigenes Stipendienprogramm aufmerksam, bei dem man einen Zuschuss von rund 700 Euro im Monat bekommt, dazu Möglichkeiten für Praxiseinsätze sowie einen Mentor oder eine Mentorin.
Erst war ich mir nicht sicher, ob ich wirklich zu einem Automobilkonzern wie BMW passen würde. Das Auto, das ich fahre, soll einigermaßen gut aussehen und sich mit meinem Smartphone verbinden lassen. Der Rest ist mir egal. Ich hatte aber immer wieder gehört, dass die Arbeitsbedingungen und die Unternehmenskultur bei BMW stimmen, und die Konditionen des Stipendiums waren attraktiv. Also bewarb ich mich einfach.
Nach mehreren Praxiseinsätzen schlug mein Mentor vor, dass ich als Nächstes in die Abteilung für Automotive Security gehen könnte, das würde doch gut zu meinem Interesse für Hacking passen. Dort schrieb ich dann meine Bachelorarbeit und bekam anschließend eine Stelle als Penetrationstester – auch wenn ich die Bezeichnung Hacker bevorzuge, aus offensichtlichen Gründen.
Die Aufgabe eines Penetrationstesters ist es, Sicherheitslücken in Produkten zu finden, indem er diese mit den Methoden eines echten Hackers angreift. Wir versuchen also, unsere eigenen Fahrzeuge zu hacken, bevor es die ›Bösen‹ tun. In dieser Position verdiene ich derzeit gut 5500 Euro brutto im Monat – mit guten Entwicklungsmöglichkeiten.
Professionelles Hacking
Wenn ich anderen von meinem Job erzähle, stellen sich die meisten vor, wie irgendwelche düsteren Gestalten mit Kapuzenpullis einen Playstation-Controller in die Hand nehmen und auf einmal ein Auto fernsteuern. Das ist von der Realität ziemlich weit entfernt. Mein Arbeitsplatz ist kein dunkler Kellerraum, sondern eine große Werkstatthalle, in der immer vier, fünf Autos herumstehen.
Michael Spahn an seinem Arbeitsplatz
Foto:BMW
Meine Kolleg:innen und ich versuchen durch unsere Arbeit zum Beispiel, Diebstahl zu verhindern. Kriminelle könnten zum Beispiel versuchen, Sensoren oder andere Komponenten aus den Fahrzeugen zu stehlen. Wir kümmern uns aber auch um Manipulationen , die Nutzer:innen selbst an einem Fahrzeug vornehmen – etwa den Kilometerstand zu reduzieren. Außerdem nimmt das Chip-Tuning zu, heißt: Leute manipulieren die Software, um mehr Leistung aus ihrem Auto herauszuholen. Als Hersteller wollen wir das verhindern. Denn sobald Veränderungen am Fahrzeug vorgenommen werden, können wir dessen Sicherheit nicht mehr garantieren.
Wir sitzen also mit unseren Laptops neben und in den Autos in der Halle und versuchen, uns Zugriff auf die Steuergeräte der Autos zu verschaffen, die sind so etwas wie die elektronischen Schaltzentralen. Gelingt das, geben wir Rückmeldung an die Entwicklungsabteilung, damit die Kolleg:innen dort die Sicherheitslücke schließen können. Das überprüfen wir dann auch noch einmal.
Den Berufseinstieg hat es mir auf jeden Fall erleichtert, dass ich das Team aus meiner Zeit als Stipendiat schon kannte. Trotzdem war es am Anfang erst mal hart. Als Praktikant war ich gewissermaßen vogelfrei. Jetzt stand ich da und wusste: Ich bekomme in den nächsten Monaten zwölf Steuergeräte auf den Tisch; die muss ich alle testen und eine Entscheidungsgrundlage schaffen, ob sie sicher genug sind, um Menschen damit herumfahren zu lassen. Am Anfang hinterfragte ich ständig, ob ich denn wirklich genug getan hatte. Inzwischen hat sich das aber gelegt. Manchmal bitten mich jetzt sogar ältere Kolleg:innen um Rat, das bestärkt mich zusätzlich.
Für Autos interessiere ich mich ehrlich gesagt immer noch nicht. Trotzdem gefällt es mir, wenn ich auf der Straße ein Automodell herumfahren sehe, an dem ich mitgearbeitet habe. Und obwohl ich mein Hobby zum Beruf gemacht habe, habe ich davon noch immer nicht genug. Wenn ich von der Arbeit nach Hause komme, schalte ich als Erstes den PC an und suche mir eine neue Hacking-Challenge, an der ich mir die Zähne ausbeißen kann.«
Sie haben Ihren Berufseinstieg selbst gerade hinter sich und möchten uns davon erzählen? Dann schreiben Sie uns an SPIEGEL-Start@spiegel.de .
