Wie werde ich Security Consultant?
Marc Ruef | 25.08.2008

Gerne erzähle ich, werde ich denn gefragt, was ich beruflich so mache. Als Security Consulting sehe ich mich hauptsächlich für das Durchführen verschiedener Sicherheitsüberprüfungen und den darauffolgenden Beratungen verantwortlich. Dies umfasst sowohl organisatorische Audits als auch technische Penetration Tests. Für viele Informatiker ist dies ein Traumberuf, den zu erreichen nicht gerade leicht erscheint. Da ich immerwieder gefragt werde, wie man denn professioneller Penetration Tester wird, will ich den Weg, wie ich ihn erfahren habe, gerne aufzeigen.

Security Consultants finden sich, so habe ich schon in meinem Blog-Beitrag Von guten Consultants und schlechten Consultants (http://www.computec.ch/news.php?item.196) geschrieben, an der Spitze der Hierarchie der Informatik-Dienstleister: Die Anforderungen an derlei Berater sind sehr hoch, weshalb man mit einem breiten Allgemeinwissen in Bezug auf Wirtschaft und Technik daherzukommen hat. Schliesslich berät man Leute, die tagtäglich in ihrem Metier arbeiten und deshalb selbst über ein sehr solides Fachwissen verfügen.

Die meisten (technischen) Security Consultants haben mehrere Jahre als Administratoren (Betrieb) oder Programmierer (Entwicklung) gearbeitet. Dabei stand Security nicht immer im Mittelpunkt, sondern eher die täglichen Probleme des Betriebs: Konzeption von wirtschaftlichen Lösungen (z.B. Netzwerk-Topologie), Betreuung komplexer Dienste (z.B. MetaFrame-Farm), Gewährleisten der Bereitschaft von Systemen (z.B. Firewall-Cluster), Verwaltung komplexer Benutzerumgebungen (z.B. LDAP/AD), Lösen von produktspezifischen Problemen (z.B. Update-Probleme bei Microsoft-Patches), usw. Sicherheit machte dabei nur einen kleinen Teil aus. Vielleicht hatte man ein Firewall-Element zu betreuen oder während der Entwicklung einer Software galt es spezifische Angriffsszenarien von vornherein zu verhindern (z.B. Cross Site Scripting in Webapplikationen).

Nachdem sodann erste Berührungen mit dem Bereich der Computersicherheit gemacht wurde, kann sich um eine Priorisierung von Security-Angelegenheiten bemüht werden. Anstelle einer allgemeinen Netzwerkadministration könnte die Betreuung der unternehmensweiten Firewall-Installation bemüht werden. Oder man lässt sich als Senior Developer als interner Auditor etablieren, der beim Quality Management sein Augenmerk ebenfalls auf Sicherheitsaspekte richtet.

Nicht selten gehen spezifische Schulungen und Weiterbildungen in diesen Bereichen einher, um sein Wissen entsprechend zu vertiefen. Manchmal werden produktspezifische Ausbildungen angestrebt (z.B. Checkpoint oder Cisco). Es tauchen aber auch immerwieder neue Lehrgänge auf, die eine solide Zertifizierung bezüglich Computersicherheit versprechen. Oftmals sind solche Studiengänge unter Spezialisten umstritten, denn gerne werden dort entweder realitätsfremde Postulationen vorgetragen oder wichtige technische Details einfach vernachlässigt. Besonders beliebt sind zum Beispiel OSSTMM für technische Auditoren und CISSP für organisatorische Consultants. Von allgemeinen Lehrgängen, die durch Hersteller vorangetrieben werden, wird aufgrund der potentiellen Voreingenommenheit eher abgeraten (z.B. MCSA Security von Microsoft (http://www.microsoft.com/learning/mcp/mcsa/security/windowsserver2003.asp)).

Hat man dann noch immer Freude an diesem Schaffen, kann man sich um eine Anstellung als Security Consultant bei einem entsprechenden Dienstleistungsunternehmen bewerben (die scip AG (http://www.scip.ch) sucht übrigens immerwieder gute Leute). Dort wird man dann entweder als strategischer oder als technischer Consultant eingesetzt. Entweder geht es also um das Festlegen von strategischen Zielen in einem Unternehmen (Coaching) oder um effektive technische Prüfungen bestehender Umgebungen (Auditing).

Die Gehälter sind regional und marktspezifisch unterschiedlich. Beratungen im Bankenumfeld werden natürlich besser bezahlt, weder gleiche Tätigkeiten im Bereich der Industrie. Sicherheitsberater verdienen ebenso in der Schweiz durchaus mehr weder in Deutschland. Hierzulande kann mit einem Einstiegsgehalt von etwa sFr. 4500.- (Brutto) gerechnet werden. Ein guter Consultant kann jenachdem durchaus sFr. 10'000.- oder mehr pro Monat verdienen.