goSecurity BLOG

Es war Mitte März 2020, bekannt durch den Ausbruch von Covid-19. Ich hatte gerade vergangenen Sommer mein Studium als Techniker in Informatik HF berufsbegleitend abgeschlossen und wollte mir die Zeit nehmen, auf einem Hilfswerkschiff für ein paar Monate zu arbeiten. Dann kam der Ausbruch vom neuen Corona-Virus und meine Kündigung bei meinem alten Arbeitgeber stand bereits fest.

Ich war nun arbeitslos während einer Pandemie und der daraus folgenden Wirtschaftskrise… Toll. Nichtsdestotrotz habe ich mich an die Arbeitssuche gemacht – man kann ja trotz Absagen, Erfahrungen im Bewerben sammeln. Meine Pläne vom Herbst habe ich in den Frühling verlegt: Auszug aus den Bündner Bergen in den Raum Zürich und eine neue Stelle anzutreten. Über Freunde von Freunden bin ich an ein WG-Zimmer geraten. Und dann ging es mit der Arbeitssuche los…

Während dem Studium hat mich das Fach und der Dozent im Fach Informationssicherheit fasziniert. Ein Thema, dass mich seit meiner Ausbildung zum Informatiker aber auch in meiner Freizeit immer wieder beschäftigt hat. Das Fach im Studium, sowie meine Erfahrungen im Arbeitsalltag im IT-Support an einer Fachhochschule und in meinem privaten Umfeld hat mir gezeigt, dass es mich in diese Richtung zieht. Ich merkte, wie klein die Awareness in Bezug auf die Gefahren des World Wide Web ist, wie wichtige Grundregeln oft einfach nicht beachtet werden und ich hier gerne mithelfen möchte, sie bekannter zu machen. Also bin ich los und habe Stellen in Bereich System Engineering, IT-Consulting und Cyber Security gesucht und mich beworben. Durch einen Tipp eines Kollegen, bin ich auf die Suche nach Topfirmen im Raum Zürich / Winterthur gegangen.  Unter anderem wurde hier die Bewertung von Kununu mit einbezogen. So bin ich auf die goSecurity AG gestossen, die einen Top-Ruf bei den Kunden, aber auch bei den eigenen Mitarbeitenden zu haben schien und auf der Suche nach einem IT-Security Consultant ist. Das Stelleninserat, die Beschreibung der Tätigkeiten, deren Dienstleistungen sowie ihre Prinzipien, welche der meinen entsprechen, haben mich sehr angesprochen.

Also sandte ich kurzum eine Bewerbung in digitaler Form ab. Noch am gleiche Tag hatte ich eine Antwort im Postfach, mit der Mitteilung, man prüfe meine Bewerbung. Alles klar dachte ich, das habe ich schon oft gehört, also weiter mit der Suche. Aber schon am Tag danach hat sich der CEO, Sandro Müller, bei mir gemeldet. Er war von Anfang an offen und transparent: „Wir denken, dass Ihnen für diese Stelle in der ISO-Beratung noch ein paar Jahre Erfahrung im IT-Security Umfeld fehlen“, das Mail ging aber noch weiter: „Wir suchen aber auch immer wieder Mitarbeitende für den technischen Consulting Bereich. Dort stellen wir üblicherweise Juniors ein und hierfür passt Ihr Jobprofil einiges besser. Wir haben Interesse, Sie etwas besser kennen zu lernen, wenn Sie sich diese Stelle im technischen Bereich (Durchführen von Audits, Penetration Tests, Awareness-Schulungen) vorstellen können.“ Toll! Genau eine solche Stelle hatte ich gesucht, bei der ich meine bisherigen technischen Kenntnisse einsetzen, ausbauen und spezialisieren und Erfahrungen im IT-Security Umfeld sammeln konnte.

Keine zwei Wochen später traf man sich, Corona-sei-Dank, virtuell zu einem ersten Kennenlernen. Das Gespräch wurde von beiden Parteien als sehr angenehm wahrgenommen und am Tag darauf hatten wir schon die nächsten Schritte besprochen: ein zweites Gespräch, diesmal in Person in Wiesendangen. Dabei wurde mir aber klar und deutlich kommuniziert, dass es durch die Pandemie schwierig abzuschätzen ist, ob sie schlussendlich eine Stelle im technischen Bereich anbieten können, da meine Stelle ja nicht direkt ausgeschrieben war, sondern, als Initiativbewerbung zu beachten gilt. Also haben wir uns geeinigt, zwei Wochen zu warten. Dies, um die Wirtschaftslage abzuwarten und wenn es sich zeigt, dass die Wirtschaftslage der goSecurity AG einen weiteren Mitarbeitenden verträgt, wird man sich erneut treffen. Die Bestätigung des Termins folgte 10 Tage später. Das Gespräch war super, es wurden die klassischen Fragen gestellt, aber auch mein technisches Knowhow geprüft. Am Ende des Gespräches nickten sich meine beiden Gesprächspartner zu und sie offerierten mir einen Job als Junior Cyber Security Consultant!

Nun hatte ich mehrere Stellenangebote in Aussicht und stand vor der Qual der Wahl. Meine Entscheidung ist schlussendlich gefallen, als Sandro Müller die Stelle wie eine weitere Lehre beschrieben hat, bei der ich den Beruf als Cyber Security Consultant erlernen könne. Durch die Erfahrung in der Ausbildung von Security Consultants, ist der goSecurity AG bekannt, welche Erwartungen wie hoch gesteckt werden können, um dann dort anzusetzen. Sie werden sich sicher das erste Jahr damit beschäftigen, mir die wichtigsten Grundlagen beizubringen, die in der Cyber Security Welt gebraucht werden. Dies ist ihr Beitrag zum Bildungssystem der Schweiz, die Ausbildung von neuen IT-Sicherheitsspezialisten. Diese Erwartungen an einen Auszubildenden, die interne strukturierte Prozesslandschaft, aber auch die Erfahrung der Ausbildung von Juniors (es wurden bereits mehrere Juniors ausgebildet) und deren Verbleiben bei der goSecurity AG hat mich überzeugt, die Stelle anzutreten. In meinen Erwartungen habe ich es mir ähnlich vorgestellt, wie beim Antritt meiner Lehrstelle als Informatiker EFZ vor einigen Jahren. Man bringt mir das nötige zusätzliche Wissen für den Job bei.

Damit der neue Arbeitgeber genügend Zeit hat, meinen Stellenantritt vorzubereiten, haben wir den Arbeitsbeginn auf einen Monat später verlegt. In dieser Zeit war ich in aktivem Kontakt mit der goSecurity AG und es wurden allfällige Dokumente ausgetauscht, Betreibungs- und Strafregisterauszüge erstellt sowie ein Fotoshooting und das Anprobieren der internen Hemden durchgeführt. Dann war der Tag da, an dem ich meine Stelle antrat.

Der Security Consultant

Was ist den nun eigentlich ein Cyber Security Consultant? Ist es ein Hacker (White, Black oder Grey Hat), ist es ein Verkäufer? Ein Schönredner? Ein Pessimist? Ein Besserwisser? Ein Opportunist?

Wenn man mich heute fragt, was ich arbeite, so Antworte ich als Hacker. Warum? Darunter können sich die meisten mehr vorstellen, als unter Cyber Security Consultant. Der Begriff ist durch das Kino geprägt und stellt jemanden dar, der sich an den Computer setzt und in jedes System einbrechen kann. Das ist nun doch ein bisschen übertrieben, aber mein Gegenüber hat ein ungefähres Bild, was ich beruflich tue. Natürlich kläre ich noch weiter auf, was ich ungefähr mache.

Bei meiner Aufgabe als Cyber Security Consultant wird von einem Informatiker gesprochen, der sich auf die Sicherheit von IT-Infrastrukturen und Systeme, aber auch auf organisatorische Faktoren spezialisiert hat. Mein Ziel ist es, ein System auf interne und externe Schwachstellen zu prüfen und Vorschläge zu machen, wie man ein System sicherer gestalten könnte. Dies, um dem Kunden einen Mehrwert zu geben und seine Unternehmung vor Gefahren aus dem Internet zu schützen.

Die Vorrausetzungen für einen Junior Security Consultant umfassen eine Grundausbildung in Informatik mit einem höheren Fachschul- oder Fachhochschul-Abschluss.  Um ein Audit optimal durchführen zu können, braucht ein Security Consultant Erfahrungen im IT-Umfeld und System Engineering. Da tagtäglich neue Schwachstellen, Technologien und Verfahren veröffentlicht werden, muss sich ein Security Consultant regelmässig weiterentwickeln und weiterbilden. Beim Kunden gilt es innerhalb kurzer Zeit neue Sachverhalte aufzunehmen und sich ein Bild von der technischen Infrastruktur zu machen. Diesen Sachverhalt gilt es danach zu analysieren und dementsprechend den Bericht mit Empfehlungen und Hinweisen zu erstellen. Die komplexen Inhalte gilt es dann möglichst verständlich im Bericht abzulegen und zu präsentieren.

Zu seinen Aufgaben zählen die Durchführung von internen Audits, Penetration Tests, Social Engineering sowie anschliessende Awareness-Schulungen. Die Audits sind auf jeden Kunden spezifisch angepasst. Das Ziel ist es, seine IT-Sicherheit zu erhöhen und zu optimieren. Die goSecurity AG verhält sich neutral und verkauft weder Hardware noch Software, Massnahmen werden vom Kunden selber umgesetzt. Neben den Kundenaufträgen besteht die Möglichkeit, sich weiterzubilden, neue Dienstleistungen zu entwickeln oder sich mit dem Team an einem Hackwettbewerb zu messen. Jeder Mitarbeitende wird mit der Zeit seine eigene Spezialität entwickeln und ausbauen. Die Grunddienstleistungen kann jeder im Betrieb durchführen, jedoch hat jeder noch sein Gebiet, mit dem er sich tiefer beschäftigt hat. Bei uns gibt es Mitarbeitende, die sich auf Penetration Tests, Premium Audits, Verkauf, technische Systeme oder Schulungen spezialisiert haben.

Die standardmässigen Audits werden bei verschiedenen Arten von Kunden durchgeführt. Von Banken bis zu Logistikunternehmen, Detailhandel oder kantonale, städtische Verwaltungen zählt alles in unser Kundengebiet. Wir haben uns spezialisiert, dass wir uns für jeden Kunden neu orientieren und die Aufträge so anpassen, dass der Kunde dies kriegt, was er benötigt.

goSecurity AG

Über die letzten Jahren hat sich die goSecurity AG enorm weiterentwickelt und ist gewachsen. Gestartet hat alles im Jahr 1997 mit drei IT-Studierenden, die eine Marktlücke in der damaligen IT-Welt gefunden haben. Daraus ist ein Webdesign-Studio entstanden. Daraus hat sich die heutige goSecurity AG gebildet, welche sich auf IT-Sicherheit und Informationssicherheit spezialisiert hat. Heute arbeiten 15 Personen in der ISO-Beratung, Administration und dem Auditoren-Bereich. Neue Mitarbeitende haben im neuen Jahr das Team noch erweitert. Die goSecurity AG wächst beständig. Stationiert ist die goSecurity AG im ländlichen Wiesendangen in einem Bauernhaus. Kühe gibt es dort aber schon lange nicht mehr. Dafür heimelige Büros. Gearbeitet wird im Büro, beim Kunden oder im Homeoffice. Unsere Mitarbeitenden kommen aus verschiedenen Bereichen der IT-Welt. Alle Mitarbeitenden verfügen über langjährige Erfahrungen mit dem Aufbau, Betrieb und Wartung einen Infrastruktur, so wie deren konzeptioneller Aufbau und Dokumentation. Jeder hat eine erweiterte Weiterbildung in der Informatik gemacht und bildet sich stetig weiter. Mit den langjährigen Erfahrungen der verschiedenen Mitarbeitenden, wurden interne Prozesse und Arbeitsabläufe ausgearbeitet und digitalisiert, die es einem Mitarbeitenden erleichtert, die alltäglichen Aufträge und Projekte durchzuführen. Die unterstützenden technischen Mittel sind der Arbeit angepasst. Da die goSecurity AG auf Nachhaltigkeit setzt, verwendet man kaum Papier bei der täglichen Arbeit, Berichte werden so oft wie möglich in digitaler Form abgegeben.

Bei der goSecurity AG steht die Work / Life Balance im Zentrum. Überzeiten werden abgebaut und möglichst verhindert. Die Arbeitszeiten sind flexibel und es wird sehr selbständig gearbeitet. Das Team lernt voneinander und regt sich gegenseitig an, sich zu verbessern. Jederzeit können sich Mitarbeitende an die Vorgesetzten wenden, können mitreden, eigene Ideen einbringen und sich aktiv weiterentwickeln. Bei der goSecurity AG wächst man gemeinsam, aus Fehlern wird gemeinsam gelernt und Schlüsse gezogen. Stetig ist das Team dabei, neue Ideen zu entwickeln, um die Schweiz und ihre Wirtschaft von technischen Gefahren besser zu schützen. Bei der goSecurity AG steht der Kunde im Zentrum. Wir wollen das Beste für den Kunden und nicht nur unsere Aufträge verkaufen. Wenn wir unsere Aufträge vorschlagen, dann weil wir hier Potenzial beim Kunden sehen, zu wachsen und die Infrastruktur abzusichern.

Rückblick & Fazit

Für einen Quereinsteiger wie mich, in der IT-Sicherheits-Branche, ist die goSecurity AG Top aufgestellt. Sie hat bereits viele Erfahrungen darin sammeln können, da bereits mehrere Junior Security Consultants bei der goSecurity AG angefangen haben und bis heute noch im Bereich tätig sind. Die Prozesse dafür sind klar definiert. Das Team nimmt sich extra viel Zeit, sodass der neue Mitarbeiter auch korrekt eingeführt wird und die hohe verlangte Qualität erreichen kann. Dies zu wissen, hat mich, in der Entscheidung bei der goSecurity AG anzufangen, stark unterstützt. Nun nach der Probezeit bin ich immer noch Feuer und Flamme für diese Arbeitsstelle. Die Entscheidung bei der goSecurity AG anzufangen, sehe ich als vorzüglich an. Ich freue mich darauf, vieles zu lernen und meinen Beitrag leisten zu können, die Sicherheit in der Schweizer IT-Infrastrukturen zu optimieren und unseren Kunden unter die Arme zu greifen.

Bei der goSecurity AG ist man mir während der Bewerbungsphase, aber auch in der Probezeit, stehts mit Fairness und Offenheit, Geduld sowie auch herausfordernd begegnet. Sie haben mich angespornt, mich selber zu verbessern und das Beste aus mir rauszuholen. Bei der goSecurity AG ist bekannt, dass die wichtigste Ressource in einer Unternehmung die Mitarbeitenden sind, und es gilt, diese zu fördern und zu fordern. Vom Team wurde ich mit offenen Armen aufgenommen. Jederzeit stand man mir hilfreich zur Seite und sie haben mich angespornt, zu wachsen und zu lernen.

Durch regelmässige Reviews und Feedbacks meiner Projekte in der Probezeit, wusste ich stehts, was von mir erwartet wurde und was ich gut gemacht habe und wo ich mich verbessern konnte. In Besprechungen mit meinem Teamleiter wurde aktiv und regelmässig besprochen, wie ich die Probezeit erlebe und ob ich es mir so vorgestellt habe, ob ich mir was anders wünsche. Dadurch konnte der Vorgesetzte den Takt besser abstimmen, mit dem man mit mir vorwärts ging. In den ersten paar Wochen lernte ich die internen Prozesse kennen und konnte bald einen Penetration Test selbständig sowie ein Premium Audit auf die eigene interne IT-Infrastruktur durchführen. Dadurch lernte ich durch das selbständige Durchführen, unsere Dienstleistungen besser kennen. Parallel las ich bereits durchgeführte Auditberichte, um ein Gefühl zu kriegen, was mich erwarten und auf was bei der goSecurity AG geachtet wird. Die intern durchgeführten Audits präsentierte ich vor dem Team, um meine Präsentationstechnik zu analysieren und zu optimieren. Schon in den letzten Wochen der Probezeit sah man mich bereit, produktive Aufträge durchzuführen, bei denen ich Live-Penetration Tests auf Kundensysteme durchführen durfte, das gefundene dokumentieren und präsentieren konnte. Durch die obligatorischen Qualitätskontrollen, wird der Bericht jeweils von mindestens zwei Personen nochmals durchgelesen und korrigiert. Dadurch konnte ich Zusätzliches lernen, so lernen wir alle regelmässig Neues dazu. Bei der goSecurity AG konnte ich herausspüren, dass der Kunde im Zentrum steht und das Ziel ist, ihm einen Mehrwehrt für seine Infrastruktur zu geben.

Heute kann ich sagen, dass ich sehr gerne zur Arbeit gehe und Aufträge für unsere Kunden durchführe. Die Arbeit ist jeweils ähnlich und doch immer wieder anders. Ich kann aktiv lernen und mich weiterentwickeln, kann in einem tollen und topmotivierten Team arbeiten, welches die Leidenschaft für die Sicherheit von IT-Systemen und Informationen teilt. Ich habe bereits schon jetzt viel lernen können und geniesse das Vertrauen sowie die Herausforderung der goSecurity AG in meiner Arbeit.