Was macht eigentlich ein Security Consultant?
Marc Ruef | 02.05.2011

Stets wenn man jemanden kennenlernt, wird ein Gespräch früher oder später auf die Frage gelenkt, was man denn so arbeitet. Ich mag diese Frage eigentlich gar nicht, vor allem nicht im Rahmen einer total oberflächlichen Smalltalk-Konversation. Oftmals pflege ich lapidar zu sagen, dass ich "ein Informatiker" sei oder "mit Computern" zu tun habe. Manche Menschen sind von der Langweiligkeit, die diese Tätigkeiten vermuten lassen, abgeschreckt und verzichten auf weitere Fragen. Andere wiederum ergreifen die Möglichkeit und Fragen allerlei Dinge über ihre Windows- und Drucker-Probleme - Zwei Dinge, die mich so gar nicht interessieren.

Das Problem ist, dass ich nicht mit einem gängigen Ausdruck oder einem einzelnen Satz sagen kann, was ich arbeite. Welcher Nicht-Informatiker kann sich schon vorstellen, was ein IT Security Consultant tut oder ein Penetration Tester so macht? Ich müsste eine Vielzahl an Dingen erklären. Manchmal mache ich das, wenn ich merke, dass sich wirklich jemand dafür interessiert. Oftmals bleibe ich aber bei meiner ungeliebten und mit Gefahren verbundenen "Informatiker-Antwort".

Doch was ist denn nun ein Security Consultant genau? Was macht er den ganzen Tag? Wie der Begriff selbst vermuten lässt, ist er ein Berater (Consultant) in Sicherheitsfragen (Security). Eine beratende Tätigkeit ist in erster Linie mit viel Redearbeit verbunden. So wird man an Projekte und Meetings eingeladen, um im Hintergrund die Vorgänge zu studieren und seine Meinung kund zu tun. Soetwas wird dann als Second Opinion (Zweitmeinung) oder Coaching bezeichnet. In vielen Fällen studiert man Konzepte und Abläufe, hilft manchmal bei der Ausarbeitung, Etablierung, Prüfung und Überarbeitung dieser. Dies wird dann Concept Review bzw. Process Review genannt.

Mit Beratungsmandaten gehen aufgrund der gewünschten Nachhaltigkeit die Abgabe von Schriftdokumenten einher. In diesen Statements oder Reports werden die Arbeiten und ihre Resultate festgehalten. Dazu wird sich unterschiedlicher Stilmittel bedient. Einerseits können Berechnungen, Statistiken und Diagramme (z.B. Kuchendiagramme) verwendet werden. Zum Beispiel, um Trends und Benchmarkings aufzeigen zu können. Andererseits können Checklisten und Tabellen eingesetzt werden, um unterschiedliche Punkte festhalten zu können. Schlussendlich wird aber immer irgendwo ein Prosatext verwendet, um die Aussagen mit eigenen Worten festhalten zu können. Gerade bei technischen Dokumentationen werden dabei wissenschaftliche Stilmittel (z.B. Quellenangaben) eingesetzt. Und zur Auflockerung oder dem Gewähren eines besseren Verständnis werden Diagramme (z.B. Logikflussdiagramme), Zeichnungen (z.B. Netzwerkaufbau) und Screenshots verwendet.

In unserem Unternehmen (http://www.scip.ch) ist jeder "technische Mitarbeiter" (nicht Mitglied des Management, Backoffice oder Verkauf) ein Security Consultant. Dabei hat jeder natürlich seinen Hintergrund und seine Vorlieben. Doch alle bei uns verfügen über ein gewisses Mass an technischem Knowhow bezüglich Betriebssystemen, Programmierung, Netzwerken und Sicherheitsmechanismen.

Wir pflegen oftmals Probleme zu lösen, die a) eine sehr hohe Komplexität aufweisen und b) von noch niemandem gelöst wurden. Ein effizientes Arbeiten in einem solchen Umfeld setzt sodann voraus, dass man die richtigen Werkzeuge einsetzen kann. Das Erstellen eigener Datenbanken oder das Entwickeln von Tools ist zentraler Bestandteil fast aller Projekte. Denn nur selten kann man auf umfangreiche verfügbare Lösungsmittel zurückgreifen, um den individuellen Anforderungen eines neuen Projekts gerecht zu werden. Geistige, strategische und technische Flexibilität sind also unabdingbare Voraussetzungen, um erfolgreich arbeiten zu können.

Es gibt Aspekte im Bereich der Informationssicherheit, die haben sich seit tausenden von Jahren nicht geändert (z.B. Prinzip mehrstufiger Sicherheit, Grundlagen der Kryptologie). Andere Aspekte sind einem sehr hohen Tempo in Bezug auf Änderungen und Weiterentwicklungen unterworfen (z.B. aktuelle Verwundbarkeiten (http://www.scip.ch/?vuldb) und Exploits). Alle Mitarbeiter sind angehalten, sich stetig weiterzubilden. Hierzu werden jedem Zeit und Ressourcen eingeräumt. Das Lesen von Büchern, Artikeln, Blogs und Tweets zum Thema sind genauso wichtig, wie das Vorantreiben eigener Forschungen (http://www.scip.ch/?labs) auf diesem Gebiet.