Es ist nichts vorbereitet. Schon wieder.
Marc Ruef | 26.10.2009

Ich mag Professionalität. Egal wo, egal wann. Ich mag es, wenn Leute intelligent und effizient arbeiten. Wenn sie dabei ebenfalls ein angenehmes Mass an Menschlichkeit wahren (Freundlichkeit und Zuvorkommenheit sind Gold wert), dann bin ich wirklich zufrieden. Unabhängig davon, ob es sich nun um die Bedienung in einem Restaurant, den Besuch beim Zahnarzt oder den Kontakt mit einem Kunden geht.

In meinem Fall bedeutet Professionalität, dass ich pünktlich, zuverlässig, effizient und ehrlich bin. Das erwarten die Kunden von mir. Und ich ebenso zu einem grundlegenden Mass von ihnen.  Soll ich zum Beispiel eine Sicherheitsüberprüfung bei einem Kunden vor Ort durchführen, erwarte ich eine vorbereitete Umgebung, die ich sofort nach meinem Eintreffen und einem kurzen Kickoff Meeting in Beschlag nehmen kann. Niemand wartet gerne. Vor allem ich nicht, der seine Zeit als unendlich kostbar betrachtet (Auch wenn dies arrogant und egozentrisch klingen mag: Ich will nicht auf dem Sterbebett liegen und mich darüber ärgern, dass ich den Grossteil meines Lebens mit Warten verschwendet habe).

Eine Sicherheitsüberprüfung (http://www.scip.ch/?dienstleistungen.auditing) ist oftmals ebenso für den Kunden eine Herausforderung. Einerseits muss er eine funktionierende Umgebung aufbauen und betreiben. Andererseits muss er die Zugänge und Informationen für unsere Betrachtungen und Prüfungen bereitstellen. Gerade bei grösseren Firmen scheitert es in den allermeisten Fällen an letztgenanntem Punkt. Das Eintreten einer Verzögerung kann durchaus als Normalität betrachtet werden.

Müssen wir beispielsweise einen internen Citrix Penetration Test als legitimer Mitarbeiter ausführen, kommen wir um ein eingerichtetes Benutzerkonto nicht herum. Je nachdem sind mehrere Konten, eines für das lokale Netzwerk und eines für die Citrix-Umgebung, erforderlich. Zusätzlich muss uns ein Zugang im Netzwerk bereitgestellt werden, damit wir unsere eigenen Laptops einsetzen können. Oder wir kriegen, natürlich bevorzugt, einen Arbeitsplatzrechner mit vorinstallierter Umgebung gestellt.

Wir teilen unsere Bedürfnisse frühzeitig und mehrmals mit. Erstmals sind diese allgemein in der Offerte festgehalten (diese wird normalerweise Wochen oder gar Monate vor dem Projektbeginn durch den Kunden unterzeichnet). Ein weiteres Mal werden sie beim (technischen) Kickoff Meeting festgehalten. Und ein letztes Mal werden sie wenige Tage vor dem eigentlichen Test erneut, meist kurz per Email, mitgeteilt. Und dennoch versäumen es viele Firmen immer und immer wieder, sich frühzeitig und umfassend vorzubereiten.

Die Gründe hierfür können vielschichtig sein. Oftmals geht es halt einfach im hektischen Alltagsgeschäft unter, dass da noch eine umfassende Sicherheitsüberprüfung anstand. Oder manche Leute denken gar, vor allem bei einem ersten Projekt, dass die Auditoren die Informationen schon selber finden werden. Doch nur selten wird man fürs Finden von grundlegenden Daten bezahlt. Als Experte soll man Schwachstellen aufdecken und keine Dokumente oder Accounts zusammenkratzen. Und manchmal wird es halt auch einfach unterschätzt, dass eine Sicherheitsüberprüfung eine Zusammenarbeit darstellt, bei der jede Partei ihre grundlegende Pflichten hat.

Der Effekt ist unangenehm für alle Parteien. Treffe ich um 08:30 Uhr beim Kunden ein, muss dieser in aller Hektik die erforderlichen Konten beantragen und den Arbeitsplatzrechner einrichten. Je nach Grösse des Unternehmens dauert soetwas im regulären Prozess aber mehrere Tage. Vielleicht kann man durch gute firmeninterne Kontakte oder mit viel technischem Geschick diesen Prozess beschleunigen. Das Einrichten eines Lotus Notes Profils dauert aber halt nun einfach seine Zeit. Mir bleibt dann meist nur die unangenehme Aufgabe übrig, zu warten.

In solchen Situationen bin ich wirklich froh, dass ich mal kurz meine Emails oder die aktuellen Tweets per iPhone checken kann. Oder meistens habe ich einen Laptop dabei, auf dem ich irgendwelche Arbeiten tätige (irgendeinen Report für einen Kunden vorbereiten, etwas kleines Programmieren oder halt eben Blog-Beiträge wie diesen schreiben). Irgendwie komme ich aber jedes Mal nicht drum herum, ein schlechtes Gewissen zu haben, dass ich hier fürs Herumsitzen bezahlt werde. Dennoch oder gerade deshalb möchte ich zwingend festhalten, dass ich die Arbeit an einem interessanten Projekt dem gegenüber bei weitem bevorzuge.