Von guten Consultants und schlechten Consultants Marc Ruef | 19.11.2007 Security Consultants finden sich in der Hierarchie der Informatik-Dienstleister in vielerlei Hinsicht ganz oben. Einerseits müssen sie über ein vollumfängliches Fachwissen verfügen, andererseits müssen sie die komplexen Sachverhalte dem Management in intelligenter Weise verkaufen können. Am besten weiss man also mehr weder die jeweiligen Administratoren, die tagtäglich mit ihren Lösungen zu tun haben - Und am besten kann man besser reden, weder die jeweiligen Manager selbst, die mit allen Wassern gewaschen sind. Security Consultant zu sein ist also keine leichte Aufgabe und gerade das macht es so interessant. Security Consultant ist dabei kein geschützter Titel. Jeder kann sich so nennen. Manchmal nennen sich die Leute auch IT Security Expert oder schlicht IT-Sicherheitsberater. Ein solch schöner Titel bedeutet aber nicht zeitgleich, dass man es hier auch wirklich mit einer hochqualifizierten Person zu tun hat. Manche IT-Dienstleister, die sich vorzugsweise auf den Verkauf von Hardware und die Installation von Software spezialisiert haben (sogenannte Box-Mover), versuchen im Bereich der Computersicherheit mitzumischen. Da wird dann einer oder zwei vorzeigbare Leute zum Security Consultant abkommandiert und auf die Kunden losgelassen. Dass der Hintergrund dieser Schlippsträger aus einer komplett anderen Richtung gewachsen ist und das Unternehmen gar keine Ressourcen für die vollumfängliche Beratung auf dieser Ebene bieten kann, lässt sich auf den ersten Blick (für einen Laien) nur schwerlich erkennen. Als Consultant hat man ein unglaublich hohes Mass an intellektueller Flexibelität mitzubringen. Das höchste Ziel hat zu sein, den Kunden zufriedenzustellen. Jeder Kunde ist anders. Andere Ängste, andere Wünsche. Ein schlechter Consultant versucht die ihm bekannten Methoden dem Kunden aufzuzwingen. Hat ein Consultant beispielsweise eine spezielle Zertifizierung für einen bekannten Standard, wie zum Beispiel ISO/IEC 17799:2005, so wird er in jedem erdenklichen Augenblick auf diesen verweisen und ihn anwenden wollen. Auch wenn es in der jeweiligen Situation gar keinen Sinn ergibt. Standardisierungen sind nichts Schlechtes und sie sollten längerfristig das Ziel aller sein. Doch die Individualität der Probleme macht es wohl unmöglich, dies auf allen Ebenen durchsetzen zu können. Doch gerade solche "Standard-Zertifizierungs-Consultants" wollen oder können das nicht wahrhaben. In die gleiche Kerbe schlagen die "Ich kenne ein spezielles Produkt und empfehle es in jeder Situation weiter-Consultants". Nein, McAfee oder Symantec sind nicht die perfekten Lösungen für jeden Kunden. Egal ob man nun Aktienanteile an den besagten Firmen hält oder nicht. Weiterhin darf man es nicht missverstehen, wenn ein Consultant auf einem Gebiet nur wenig oder lückenhaftes Knowhow aufweist. Der Bereich der Informationssicherheit ist derartig breit, dass es wohl unmöglich ist in allen Bereichen und auf allen Ebenen federführend zu sein. Die wenigsten Security Consultants können eine Backdoor programmieren und zeitgleich dem CEO einer Firma erläutern, warum die gegenwärtige Firewall-Policy längerfristig zu Problemen führen wird. In den meisten Fällen ist man entweder strategischer Consultant oder technischer Consultant. Technisches Personal zieht sodann gerne über die strategischen Consultants her. Wenn einer dann mal auf Anhieb nicht genau weiss, welches Patchlevel bei CheckPoint Firewall-1 NG gerade aktuell ist, dann wird er gleich zerrissen. Mit Genuss machen das die Administratoren, denn jetzt können sie es der "schwarzen Inquisition", von der sie ständig kritisiert wird, endlich einmal heimzahlen. Soetwas muss man jedoch gelassen nehmen. Herauszufinden, welches Patchlevel eine FW1 heutzutage hat, dauert mit guten Google-Kenntnissen etwa 2 Minuten. Zu verstehen, welche Instanz in welchem Fall als Data-Owner definiert werden sollte - die jeweiligen Lösungsansätze haben weitreichende Vor- und Nachteile -, dauert hingegen etwas länger. Beides ist aber wichtig, um die Informationssicherheit eines Unternehmens gewährleisten zu können. Man kann also grob zwischen theoretischen Consultants, strategischen Consultants und technischen Consultants unterscheiden. Theoretische Consultants kommen vorwiegend aus dem universitären Umfeld. Ihre akademischen Stärken in der formalen Beweisführung helfen ihnen dabei, Entscheidungen zu stützen. Systeme können auf theoretischer Ebene analysiert und kritisiert werden. Sie eignen sich gerade für Gebiete, in denen Disziplinen der klassischen Mathematik zur Anwendung kommen können: Programmierung (Source Code Analyse), Graphentheorie (Netzwerkanalyse) und formale Logik (Firewall Rule Analyse). Die strategischen Consultans haben in erster Linie mit Entscheidungsträgern zu tun. Sie helfen dabei, strategische Entscheidungen für ein Unternehmen herauszuarbeiten. Hier werden gerne etablierte Standards eingesetzt (BSI/ISO, SOX, ...) und mit viel Erfahrung sowie Beziehungen gearbeitet (Best Practice). Der Consultant agiert dabei als gutes Gewissen, das dem Management die jeweiligen Entscheidungen verkaufen muss. Meistens sind dabei nicht die Technologien die treibende Kraft, sondern der wirtschaftliche Aspekt einer Marschrichtung. Der technische Consultant interessiert sich hingegen vorzugsweise für die Bits und Bytes. Wirtschaftliche Überlegungen stehen dabei nicht im Mittelpunkt, denn die werden den strategischen Consultants überlassen. Entweder als technischer Auditor, Penetration Tester oder Reverse Engineer aktiv bemüht er sich darum, Schwachstellen und Sicherheitslücken in bestehenden Implementierungen ausfindig zu machen. Unmittelbare Probleme gilt es möglichst zeitnah zu erkennen und zu lösen. Schnell und zielgerichtet ist hier die Devise. Nach diesem kleinen Exkurs scheint es hoffentlich klar, dass es nicht "den typischen Security Consultant" gibt. Auch ist es eher unwahrscheinlich, dass ein und dieselbe Person auf allen Ebenen vollumfänglich kompetent agieren kann. Viel mehr kommen Consulting-Teams zum Einsatz, die sich gegenseitig ergänzen. Ein guter technischer Consultant, der durch einen guten strategischen Consultant auf der Management-Ebene vertreten wird, sind ein ideales Team: Sie können sehr viel erreichen und den Kunden enorm soliden Mehrwert bieten. Übrigens habe ich in Die Kunst des Penetration Testing (http://www.amazon.de/dp/3936546495/) versucht alle diese Ebenen zu berücksichtigen. Der technische Bereich macht dabei natürlich einen Grossteil aus. Kapitel 1 (Einführung) und 2 (Organisation von Sicherheitsüberprüfungen) adressieren hingegen die strategischen Consultants. Und Kapitel 11.3 (Formale Analyse des Firewall-Regelwerks), 11.4 (Konzept und Design) sowie 12 (Debugging) versucht die (wenigen) theoretischen Consultants anzugehen.