Es ist halt doch nicht alles Gold was glänzt Marc Ruef | 26.05.2008 Wüsste ich nicht um meine Fehlbarkeiten und die Unschönheiten meines Lebens, würde ich mich doch glatt beneiden. In erster Linie darum, weil ich seit mindestens fünf Jahren Tag für Tag gerne zur Arbeit gehe. Ich weiss, viele Menschen kennen dieses Gefühl nicht und meinen entsprechend, dass mit mir etwas nicht stimmt. Wenn ich denn am Sonntag Abend früh zu Bett gehe, um am Montag Morgen ausgeschlafen zu sein, stosse ich vorwiegend auf Unverständnis. Mit diesen Zeilen will ich nun nicht zur Schau stellen, wie ach so toll mein Arbeitstag doch ist. Nein, gar im Gegenteil möchte ich eine Skizze liefern, die die Unschönheiten eines Security Consultants und Penetration Testers darlegt. Auch wenn ich von vielen für meine Tätigkeit beneidet werde, muss ich immer mal wieder bemerken, dass auch hier nicht alles Gold ist, was glänzt. Die Freude an Sicherheitsprüfungen ist massgeblich von der Aufgabe als solche abhängig. Auch hier kann sich eine gewisse Eintönigkeit einstellen, wenn denn zum Beispiel ein wiederholtes Mal eine Netzwerkprüfung eines kleinen und eher unwichtigen Netzwerks anstehet. Wenn dann der Kunde es ausdrücklich wünscht, dass man keine experimentellen Techniken anwendet und auf exotische Proof-of-Concepts zu verzichten hat, kann man sich doch irgendwie wie eine Maschine (im negativen Sinn) vorkommen. Glücklicherweise konnten wir ein Kundensegment für uns gewinnen, bei dem derartige Eintönigkeit unbedingt vermieden werden will. Darum bin ich erst recht dankbar für mein Privileg. Abgesehen von den Projekten als solchen ist natürlich auch der Arbeitgeber massgeblich mitverantwortlich dafür, wie man ein Projekt wahrnimmt. Der Kapitalismus mit seinenen schier unmöglichen Gewinnoptimierungen führt immerwieder dazu, dass die Qualität der Arbeiten eher weniger Gewicht beigemessen wird. Viele vermeintliche Sicherheitsdienstleister funktionieren da nicht anders. Sie haben das Geld im Visier und nicht die Sicherheit des Kunden. Mir selbst und unseren Mitarbeitern ist hingegen es enorm wichtig, dass wir einen Kunden zufriedenstellen können. Auch wenn die wirtschaftliche Performance in einem Projekt aus unserer Sicht nicht optimal ausfallen mag, hoffen wir natürlich lieber darauf, wiedereinmal eine Arbeit für einen Stammkunden tätigen zu können. Längerfristig erarbeiten wir uns so nur Vorteile. Doch auch die Kunden sind nicht immer einfach. Die eher unliebsamen Gattungen der Ignoranten und Besserwisser kommt immer mal wieder vor. Manchmal sind es irgendwelche Hobby-Windows-Administratoren, die sich nach einem schlechten Zeugnis auf den Schlips getreten fühlen. Oder die Linux-Jünger mit ideologischem und akademischem Credo, welches sich mit der Professionalisierung von IT-Security angeblich nicht vereinigen lässt. Hier muss man in erster Linie an sich selber arbeiten und versuchen, die Gegenseite zu verstehen. Einen Feind kann man schliesslich nur dann wirklich besiegen, indem man ihn zu seinem Freund macht. Bei vielen Kunden, vor allem bei grösseren Unternehmungen, spielt Diplomatie und Politik eine ungemein wichtige Rolle. Da kann man noch mit den besten technischen Details aufwarten: Sollte das Management einen anderen Kurs vorsehen, werden einem durch strategische Entscheidungen auf höchster Ebene der Wind aus den Segeln genommen. Mit solchen Niederlagen, die man in den seltensten Fällen direkt beeinflussen kann, muss man lernen zu leben. Denn ganz besonders auf der oberen Ebene des Managements entscheidet in erster Linie wieder das Geld. Trotzdem: Meine Arbeit bleibt die schönste und liebste, die ich mir vorstellen kann. Ein derartiges Mass an Freiheiten in Planung und Umsetzung kriegt man wohl höchstens als emeritierter Professor (im Stil von Donald E. Knuth) mit empfangenem Nobel-Preis geschenkt. Aus eben diesem Grund geniesse ich es auch weiterhin, mit auf den Montag Morgen zu freuen. Auch wenn es manchmal eher langweilige Projekte, enge Zeitpläne, uneinsichtige Kunden und politische Diskussionen geben kann.