Das Statement Marc Ruef | 17.08.2009 Es gibt eine Unmenge an Witzen über beratende Berufe (vorwiegend Unternehmensberater). Die Quintessenz derer zielt meistens darauf ab, dass in ineffzienter, verblendeter und unnötiger Weise Details kommuniziert werden, die alle schon wussten und dennoch ein spezifisches Problem nicht lösen können. So wie zum Beispiel derjenige Witz (http://www.superfunpage.ch/?s=1&&txt=073) mit dem Schafhirten. Ich hoffe dennoch, dass unsere Kunden unsere Arbeit zu schätzen wissen. Vor allem deswegen, weil wir eben aktiv darum bemüht sind, ihre Bedürfnisse zu adressieren, ohne diese durch unsere Bedürfnisse ständig überdecken zu lassen. Ein gutes Projekt ist für mich dann gegeben, wenn schlussendlich der Kunde zufrieden ist und dieses oder ein anderes wieder mit uns durchführen würde. So mancher Kunde hat für sich den direkten Nutzen entdeckt, durch uns Zertifizierungen für erfolgreich durchgeführte Sicherheitsüberprüfungen ausstellen zu lassen. Die eine oder andere Bank möchte, dass wir nach einer intensiven Analyse ihrer Dienste ein Dokument ausstellen, das sie interessierten und bestehenden Kunden zukommen lassen können, um die sicherheitstechnische Qualität des Angebots unterstreichen können. Auf wenigen Seiten werden in einem Summary die Eigenheiten der Prüfung sowie die Resultate zusammengefasst. Vor einiger Zeit sollte ich eine Sicherheitsüberprüfung eines durch Endkunden genutzten Dienstes durchführen. Aufgrund der Kritikalität des Systems wurde der Penetration Test nicht auf das produktive System, sondern auf das interne Test-System angesetzt. Die erste Analyse fiel ernüchternd aus, da eine Vielzahl kritischer Schwachstellen gefunden werden konnte. Der Kunde akzeptierte diesen Sachverhalt und war um die fachgerechte Adressierung derer bemüht. Nach einigen Monaten wurden der Re-Check angegangen, bei dem die initial gefundenen und mittlerweile behoben gedachten Fehler erneut geprüft werden sollten. Die neuerliche Analyse hat gezeigt, dass unsere Diskussionen gefruchtet haben und sämtliche Punkte erfolgreich eliminiert werden konnten. Sowohl der Kunde als auch wir waren ob der Verbesserung der bestehenden Sicherheit der Umgebung zufrieden. Der Kunde bat nun darum, dass wir eben eine solche Zertifizierung für ihn ausstellen sollten, damit er diese seinen Partnern und Kunden weitergeben kann. Dies sollte eigentlich für uns kein Problem sein. Da dieser Wunsch jedoch erst zu diesem späten Zeitpunkt des Projekts an uns herangetragen wurde, sollte sich hier zentrale Komplikationen auftun. Das Problem war, dass wir sämtliche Analysen ausschliesslich auf dem internen Test-System durchgeführt haben. Das produktive System, mit welchem die Endkunden schlussendlich und ausschliesslich interagieren, haben wir dabei in keinster Weise tangiert. Ich musste unserem Kunden also mitteilen, dass ich im Report auf diesen Sachverhalt hinzuweisen habe: Es sei mir nicht möglich aufgrund der durchgeführten Tests eine verlässliche Aussage zum effektiv exponierten System zu tätigen. Dies behagte dem Kunden nicht, sollte es denn offenkundig im Report die direkte Nützlichkeit der Analyse einschränken. Er bat darum, dieses Detail nicht zu erwähnen. Als Begründung schob er nach, dass das geprüfte Test-System eins zu eins dem produktiven System entspräche. Leider musste ich dem entgegenhalten, dass ich das nur zu gerne glauben würde, meine Erfahrung jedoch gezeigt hat, dass ungewollt oder gewollt Unterschiede zwischen Test-/Development-Umgebungen und produktiven Systemen bestehen können (und über längere Zeit auch existieren werden). Sollte ich denn nun ein Statement einzig und allein auf der Prüfung des internen Systems und der Annahme, dass dieses dem produktiven System entspricht machen, gehe ich das Risiko ein, eine falsche Aussage herauszugeben. Da unser Dokument sowohl firmenintern als wichtig eingestuft als auch einer Vielzahl an Kunden zur Verfügung gestellt wird, hätte eine in diesem Fall fahrlässige Fehleinschätzung der Geschehnisse durch meine Person verheerende folgen. Die Reputation meiner Firma als auch meiner Person sollte unmittelbar auf dem Spiel stehen. Aus diesem Grund bestand ich darauf, die unliebsamen Einschränkungen unserer Analyse explizit im Report zu erwähnen. Dies war eine der wenigen Situationen in meinem beruflichen Leben, in der ich einen Kundenwunsch bewusst nicht erfüllen wollte. Obschon es mir unangenehm war, war ich froh darum, die Gefahren eines Fehlverhaltens meinerseits frühzeitig erkennen zu können. Wäre denn wirklich einmal mehr der Fall der Fälle eingetroffen (Murphys Law), wäre ich in arge Argumentationsnot gekommen. Und Argumentationsnot ist das, was einem Berater das Genick brechen kann. (Vielleicht hätte ich dann gar den Hund zurückgeben müssen!)