Neueinstieg als IT-Security Consultant

Mein Einstieg

Der Aufschrei in den Medien über den Fachkräftemangel reisst nicht ab, da fallen mir Firmen auf, die über den Tellerrand schauen und selbst aktiv etwas dagegen tun, um in der Branche die nötigen Fachkräfte auszubilden.

Ein Unternehmen, das den Mut hat, auch Quereinsteiger einzustellen und diese zu Fachkräften ausbildet, gewinnt langfristig motivierte und engagierte Mitarbeitende. Das wiederum bedeutet eine geringere Fluktuation und höhere Produktivität für dieses Unternehmen. Der Mitarbeitende wiederum ist motiviert, sich in eine Thematik einzuarbeiten und erhält eine Chance, neue Erfahrungen in einem Berufssektor zu sammeln, in den man sonst nur mit entsprechender Ausbildung und Weiterbildung oder ausgewiesener langjähriger Berufserfahrung kommen würde. Eine Win-Win Situation für beide Seiten.

Die goSecurity AG hat diese Situation erkannt und wirft daher neben den Qualifikationen auch ein Auge auf die Persönlichkeit und die Motivation des Bewerbers. Sympathisch fand ich damals, dass die E-Mail Adresse für die Bewerbungsunterlagen meinTraumjob@goSecurity.ch lautete. Das gibt einem schon einen kleinen Wink, dass Bewerber gesucht werden, welche sich richtig für das Thema IT-Security begeistern können.

Zwei Themen, die mich schon immer fasziniert haben

„Wer immer tut, was er schon kann, bleibt immer das, was er schon ist.“ —  Henry Ford

Von denjenigen, welche schon meinen CV in den Händen hielten, habe ich oft ein Feedback eingefordert. Diese Feedbacks könnten aber nicht widersprüchlicher sein. Die Skala reicht von „nicht sonderlich beeindruckend“, über „viel zu viele Weiterbildungen“ bis hin zu „beeindruckender Werdegang“. Man kann es also nicht allen recht machen, aber man kann sich selbst treu bleiben. Mein CV soll eins vermitteln: Ich liebe es, Neues zu lernen. Ich möchte wissen wie die Dinge funktionieren, und kann mich für viele Themen aus vielen verschiedenen Fachbereichen der IT begeistern. Entsprechend breit gefächert sind meine Weiterbildungen, die von Technik- bis hin zu Managementthemen reichen.

Unter allen Themen faszinieren mich zwei ganz besonders: Eines dieser Themen ist die Informationssicherheit, das andere die IT-Sicherheit. Jedes Thema für sich betrachtet, hat seinen eigenen Charme.

Die Informationssicherheit: Ein Thema, das tendenziell eher im Management angesiedelt ist, aber trotzdem die gesamte Organisation und somit jeden einzelnen Mitarbeitenden betrifft. Im besten Fall wird dieses Thema mit der gesamten Geschäftsleitung betrachtet, um mit deren Unterstützung die Sicherheit im Betrieb zu erhöhen. Hier ergeben sich immer spannende Einblicke in die verschiedenen Unternehmungen. Ebenso erhält man verschiedene Eindrücke und es entwickeln sich spannende Gespräche. Dabei hat man das gute Gefühl, zusammen an einer sinnvollen Sache zu arbeiten.

Die IT-Sicherheit: Hier kann man seinen Wissensdrang stillen, und muss ständig auf dem Laufenden über die neuesten Entwicklungen sein. Das beginnt bei den aktuellsten Vorfällen, geht über die verschiedenen Angriffsarten bzw. Angriffsvektoren, die Funktionsweise von Exploits (welche die Fehlkonfigurationen oder Bugs in Software ausnutzen), die Massnahmen zur Eindämmung, bis hin zu den Möglichkeiten zur Wiederherstellung.

Diese beiden grossen Themen sind durch die Digitalisierung immer mehr ineinander verschmolzen, und können nicht mehr separat betrachtet werden. Und doch ist es nicht immer einfach die beiden Themen in Einklang zu bringen, denn die IT-Sicherheit ist nur ein Teilgebiet der Informationssicherheit. Es umfasst die technischen Aspekte der Informatik in einer Organisation. Die Informationssicherheit hingegen betrifft die komplette Organisation und setzt sich nicht nur den Schutz der digitalen Informationen zum Ziel, sondern jeglicher Art von Informationen. Mittels der drei Hauptschutzziele Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit)) gilt es diese zu schützen. Neben den Informationen in digitaler Form sind auch gedruckte Informationen (bspw. Personaldaten, Patientenakten usw.) und gesprochene Informationen (bspw. vertrauliche Gespräche) im Fokus der Informationssicherheit. Ebenso wichtig ist die Übertragungsart der Informationen wie z.B. per Post, Funk oder Internet. Unabhängig von Medium und von der Übertragungsart gilt es die Informationen zu schützen.

Wie weit geht Informationssicherheit? Ein Beispiel aus der Praxis

Gerne erwähne ich kurz ein Beispiel aus der Praxis, welches ich in den ersten Wochen als frischgebackener Consultant bei mehreren Kunden erleben durfte. Bei der Beratung zur Einführung eines ISMS stellen wir zum Thema Informationssicherheit diverse Fragen zu Fachbereichen, die für die Erfüllung der ISO 27001 Norm massgebend sind. Im Bereich HR lautet eine der Fragen: „Fordern Sie regelmässig einen Strafregister- und Betreibungsregisterauszug von Ihren Mitarbeitenden ein?“ Die Antworten der Kunden erstaunten mich, denn grösstenteils wurden diese bisher nicht angefordert – bestenfalls noch bei neu eingestellten Mitarbeitenden, aber nicht bei langjährigen Angestellten. Schliesslich kennt man diese seit Jahren, sie sind immer zuverlässig, kommen womöglich noch aus demselben Dorf oder man ging mit ihnen zur Schule, kurz gesagt – man vertraut sich einfach. Die Einforderung dieser Dokumente, so befürchtet man oft, würde das Vertrauen beschädigen. Oder man befürchtet, der administrative Aufwand sei zu gross, um diese Auszüge für alle Mitarbeitenden einzufordern.

Doch nicht nur der administrative Aufwand oder die Angst vor dem Vertrauensverlust werden hier oft als Begründung genannt. Die Schwierigkeit, sich mit moralischen Fragen auseinandersetzen zu müssen, könnte ebenfalls ein Grund sein, wieso sich viele davor fürchten, diese Dokumente einzufordern. Was passiert, wenn Sie dadurch erfahren, dass ein Mitarbeiter, mit dem Sie seit Jahren zusammenarbeiten, einen Eintrag wegen Trunkenheit am Steuer hat? Sie würden sich womöglich mit Gedanken plagen, einen ranghohen Mitarbeitenden im Haus zu haben, der rücksichtslos nicht nur sein Leben, sondern auch das von anderen aufs Spiel setzt. Ein anderer “Klassiker” ist ein Buchhalter, der Gelder veruntreute und nun bei Ihnen in der Finanzabteilung arbeitet.

Der Sinn hinter der Einforderung dieser Dokumente sollte auf der Hand liegen. Personen, die vorbestraft sind oder finanzielle Probleme haben, könnten anfällig für Erpressungs- oder Bestechungsversuche sein und somit sensible Informationen verkaufen, Zugang zu Sicherheitsbereichen ermöglichen, oder eine Backdoor auf einen Server installieren, um später den Arbeitgeber erpressen zu können. Dies nur, um ein paar Beispiele zu nennen.

Natürlich gibt es keine Garantie, dass so etwas nicht auch mit einem sauberen Strafregister- und Betreibungs-Auszug passieren kann. Wer aber Background-Checks vornimmt und auch Referenzen von früheren Arbeitgebern einholt, kennt das Risiko und kann es entsprechend behandeln und mitigieren. Auf jeden Fall handelt es sich hier um ein sehr delikates Thema, und dieses sollte stets mit Feingefühl behandelt werden, egal ob als Consultant (um den Kunden darauf hinzuweisen) oder als Arbeitgeber (der die Auszüge bei den Mitarbeitenden einzufordern).

Für neue Mitarbeitende (besonders ab einer gewissen Funktionsstufe und/oder sobald diese mit sensiblen Informationen in Kontakt kommen) empfehlen wir auf jeden Fall, den bereits bestehenden On-Boarding Prozess um diese Anforderung zu erweitern. Hier geht die ISO 27001 Norm soweit, dass es gemäss Anhang 6 Massnahmen in Verbindung mit Menschen, konkret A.6.1 Sicherheitsprüfung, alle Personen, die sich um eine Beschäftigung bewerben, bereits im Vorfeld einer Sicherheitsüberprüfung unterzogen werden sollten.

Die Herausforderung für einen Consultant liegt hier dabei, dem Kunden verständlich zu machen, dass es sich hier um eine Anforderung handelt, welche für die Zertifizierung erfüllt werden muss, aber gleichzeitig auch soviel Fingerspitzengefühl aufzubringen, um dem Kunden die Wichtigkeit solcher Massnahmen vermitteln zu können. Die Kommunikation in solchen Fällen sollte stets offen, ehrlich und transparent sein.

Eigenschaften, die ein Consultant mitbringen muss

Als Consultant sollte man gewisse Eigenschaften mitbringen:

  • Wille: Die Fachkompetenz in diesem Bereich muss man erlernen. Der Wille dafür muss da sein.

  • Überzeugungskraft und Beharrlichkeit: Diese sind unbedingt erforderlich, denn oft kommt es vor, dass während der Umsetzung über den Sinn von Massnahmen diskutiert wird.

  • Liebe zum Detail: Die Liebe zum Detail muss gegeben sein, denn man erarbeitet viele Dokumente gemeinsam mit dem Kunden, und diese sollten am Ende qualitativ hochwertig sein.

  • Gute Sozialkompetenzen: Wie mir schon im Studium zum Wirtschaftsinformatiker immer gesagt wurde, sind die vier Ms wichtig: „Man muss Menschen mögen“. Gerade wenn man eher der introvertierte und stille Typ ist, muss man hin und wieder den Weg aus seiner eigenen Komfortzone heraus finden.

  • Ausdauer und Flexibilität: Ausdauer und Flexibilität sollte man zwingend mitbringen. denn die Umsetzung eines ISO-Projekts dauert in der Regel ca. 1 Jahr. Während des Projekts kann es oft zu Verschiebungen (z.B. aufgrund von Ferien) kommen, und manchmal muss auch ein anderes Projekt bei einem Kunden gerade bevorzugt behandelt werden. Es kann sogar passieren, das eine längere Pause eintritt und man sich anderen Kunden zuwenden muss. Und umgekehrt kann es passieren, dass dann plötzlich mehrere Projekte zeitgleich durchgeführt werden müssen.

  • Neugierde: Besonders in der Informationssicherheit sollte man stets die Augen und Ohren offen halten. Beim Auditieren darf oder muss sogar etwas tiefer gegraben werden, um gegebenenfalls Abweichungen zu finden. Nur so kann man den Kunden vor bösen Überraschungen schützen.

Hinzu kommen (aus meiner Sicht) noch ein paar Basic-Skills hinzu:

  • Pünktlichkeit: Es ist selbsterklärend, dass man pünktlich (pünktlich heisst, mindestens 10 Minuten vor Terminbeginn) beim Kunden sein sollte. Und auch wenn man gegen eine Verspätung im öffentlichem Verkehr kaum etwas ausrichten kann, so kann man sich doch höflich beim Kunden entschuldigen und Bescheid geben, dass es ein bisschen später wird.

  • Gepflegtes Auftreten: selbst redend.

  • Gute Umgangsformen: Eine gewisse persönliche Reife muss gegeben sein. Wir alle sind Menschen und haben manchmal einen schlechten Tag, und so hat dies vielleicht auch ein Kunde. Dann kann es eine Herausforderung sein, einen vermeintlichen “persönlichen Angriff” nicht mit einem “Gegenangriff” zu quittieren. In solchen Fällen mag es schwierig sein, professionell zu bleiben, doch genau dann ist sachlich und neutral zu bleiben das A und O als Consultant.

Was mich zum vielleicht wichtigsten Punkt aus meiner Sicht bringt:

  • Respekt: Behandle andere so, wie du selbst behandelt werden möchtest. Respektiere die Meinung anderer, auch wenn diese nicht deiner eigenen entspricht.

Fazit

Neben dem persönlichen Interesse zum Thema Informations- und IT-Sicherheit (was man als einen endlosen, aufwendigen Kreislauf des Lernens bezeichnen könnte), sind weitere Faktoren relevant, die einem ebenfalls gefallen und auch ein wenig in der persönlichen Natur liegen sollten. Die Kombination aus Motivation und Spass am Thema sowie der Arbeit widerspiegelt sich in positiver Energie und Ausstrahlung. Und diese wiederum können bei der Beratung zu den Kunden überspringen und diese dann ebenfalls für die Materie begeistern. Zumindest macht es die Beratung einfacher, wenn alle positiv und motiviert sind … 😉

Quellen

Zitat:

Informationen zum Autor: Fabio Lugibello

Als gelernter IT-System-Engineer habe ich ursprünglich meine Passion im Aufbau und Unterhalt von Server- und Netzwerksystemen gefunden. Nach meinem Studium der Wirtschaftsinformatik entdeckte ich eine neue Leidenschaft als Software-Entwickler und sammelte dabei auch wertvolle Erfahrungen auf einer C-Level Position. In all diesen Jahren war die IT-Security mein ständiger Begleiter, und hat mich entsprechend fasziniert. Seit 2023 darf ich mein Wissen bei goSecurity erneut erweitern, diesmal im übergeordneten Bereich der IT-Security: der Informationssicherheit.