"Wer 2025 noch kein Infrastructure as Code nutzt, der hat die Kontrolle über sein Leben verloren!" 🙄 Klingt vertraut? Herzlich willkommen im Elfenbeinturm der IT und IT-Security Bubble. Ein Rant …
Klar, neue Technologien erleichtern der IT das Leben. Früher haben die Leute Tausende Server von Hand aufgesetzt, heute reicht ein paar Zeilen Code. Während die einen schon mit Microservices in der Cloud unterwegs sind, suchen die anderen noch nach DVDs im Archiv.
Denn die Realität sieht in KMUs und Konzernen ganz anders aus:
- 20 Jahre alte Produktionsmaschinen mit Windows XP
- Applikationen mit Java 6
- Sicherheits-Updates vom Hersteller mit 3-6 Monaten Verzögerung
- Web-Interfaces die nur mit Internet Explorer 11 funktionieren
An meine Branchen-Kollegen: Sorry, not Sorry! Ihr dürft euch selbst an der Nase nehmen für die geringe IT-Security Akzeptanz.
Für die zart besaiteten Leute: Bitte hier aufhören zu lesen. Das wird heftig und ich werde mit Kraftausdrücken nicht geizen! 😰
Für alle, die sich das trotzdem zutrauen: Viel Spaß! 🥳
Für alle, die sich dabei getriggert fühlen: This is for you! 😈
Security-Experten sind die größten Blockwarte
Ich bin in Hunderten Meetings gesessen, wo sich Security Engineers und Consultants mit schüttelnden Köpfen über die "Dummheit" und "Fahrlässigkeit" der Fachbereiche und IT ausgekotzt haben.
Hier ein paar Beispiele:
"Ihr müsst SMBv1 unbedingt abdrehen und auf v3 umstellen, sonst machen wir euch die Kiste dicht."
Okay, finanzierst du uns dann für 20 Millionen Euro eine neue Fertigungsstraße? Das Angebot für das Upgrade haben wir nämlich bereits eingeholt.
“Ihr könnt die Software nicht on-premises betreiben, die muss unbedingt in die Cloud.”
An diesem Standort ist keine redundante Internet-Verbindung möglich und wir haben Zigtausend Euro Schaden pro Stunde, wenn wir offline sind.
“Ihr nutzt immer noch Active Directory. Ihr seid selbst schuld, wenn ihr euch Ransomware einfängt.”
Drei unserer Kern-Anwendungen unterstützen nichts Moderneres und es gibt keine fachlich passenden Alternativ-Lösung.
“Wieso zur Hölle nutzt ihr immer noch kein Zero Trust?”
Weil wir unsere gesamte IT-Architektur sonst über den Haufen werfen müssten, um unsere aktuellen Probleme, gegen neue zu tauschen.
Die haben damit sogar meistens Recht, das ist schon so. Das eigentliche Problem ist nur, dass sie mit Kanonen auf Spatzen schießen, weil sie die Verhältnismäßigkeit nicht sehen (wollen).
Es wird endlos lange über die kleinsten, feinsten Details diskutiert, um theoretische Lücken zu schließen. Es ist gefühlt so, als würden die Leute ihren Mund nur öffnen, um auch etwas gesagt zu haben. Außer 4% Kohlendioxid haben sie aber effektiv nichts für ihre Umgebung beigetragen. 😮💨
“Wir brauchen unbedingt SHA384 anstatt SHA512”
Freund der Blasmusik … es gibt links und rechts nicht mal zeitnahes und flächendeckendes Patch Management!!!! 😡
“Nehmen wir Monitoring-Lösung A, oder B? Bei B zahlen wir zwar jetzt mehr, können aber etliche Schnittstellen aufbauen und alles integrieren. Wir brauchen dafür aber 3 Monate länger.”
Meister … das Monitoring beim Kunden schaut aktuell so aus, dass die Sekretärin 1x pro Woche nachschaut, ob beim Server nur grüne Lichter leuchten, keine roten. Nimm das Nächstbeste und komm in die Gänge! 🤦♂️
“Configuration Management ist Pflicht! Wir greifen keine Server mehr händisch an, sondern machen alles über Code. Wir haben das bei uns schon seit 7 Jahren so und es läuft alles perfekt.”
Cool Story, Bro … das Installationshandbuch vom Hersteller ist ein 25-seitiges Word-Dokument mit Screenshots, über das du in der GUI alles nach der Reihe zusammenklickst, sonst funktioniert es nicht und es gibt sonst auch keinen Support. Wir setzen die Server frühestens in 7 Jahren neu auf, wenn das Betriebssystem End-of-Life ist, weil der Kunde allein schon 2 Jahre für die Integration gebraucht hat. No Joke! 🙄
Warum das für uns ALLE gefährlich ist
Gatekeeping verhindert Fortschritt und vermiest uns den Spaß an der Sache!
aBeR mIcHaEeEeL … eS gEhT uM dIe sEcUriTy uNd nIcHt uM sPaSs! 🤡
Sorry, aber FUCK YOU! 😡 Doch, es geht sehr wohl um Spaß. Nämlich um den Spaß an der Freude, etwas zu schaffen und voranzubringen. Das nennt man LEIDENSCHAFT! Anstatt mit konstruktiven Vorschlägen zu kommen, wie man das Projekt nicht nur SICHER, sondern auch ZIELGERECHT, in Scope, in Budget und in Time abliefert, stellst du dich hin und zählst nur auf, was alles SCHEISSE ist.
No shit, Sherlock! Die Voraussetzungen riechen nach Scheiße, haben dieselbe Konsistenz wie Scheiße und sehen auch wie Scheiße aus. Was es ist, wissen wir alle. Und egal wie hoch du hüpfst, der GF / Kunde / Abteilungsleiter hat das Ding bereits gekauft und wir müssen es in Betrieb nehmen. Schluck es einfach runter und fang an zu arbeiten: Wie kriegen wir das Ding sicher zum Laufen?
Die Leute außerhalb der Security-Bubble fühlen sich immer wie Bittsteller, obwohl sie eigentlich HILFE brauchen. Oooh die drei Heiligen aus dem Fachbereich pilgern zum Security-Erlöser, haben milde Gaben dabei und erbitten um die Heiligsprechung für das erlesene IT-Vorhaben. WTF??? Mir platzt das Hirn! 🧠 💥
Manchmal habe ich das Gefühl, dass die Security-Leute denken, dass sie nur für den Selbstzweck arbeiten. Sie sichern ab, nur um abzusichern, aber nicht, um Projekte zu ermöglichen. Die Leute sehen das nicht als Chance, etwas zu bewegen, sondern als Selbstverwirklichung.
Sätze wie "Wie kriegen wir das Ding zum Laufen, ohne dass wir bei der Security vorbeimüssen? Das wird sonst nichts, dauert ewig und wird 10x so mühsam." höre ich bei Projekten fast jeden einzelnen Tag!!! Egal wie sehr alle die Augen verdrehen, aber GENAU DAS ist die gelebte Realität.
Für alle Entscheider, die mir jetzt beipflichten und zusprechen: I FEEL YOU!!!
Hier mein Profi-Tipp: Zuerst kaufen und dann fragen! Sobald das Kind in den Brunnen gefallen ist, gibt es sowieso kein Zurück mehr.
Na, war das ein geiler Tipp? YESSS!!!
Finde ich das gut? Geh bitte … NATÜRLICH NICHT!!!!
Ist es notwendig? OFFENSICHTLICH SCHON!!!! Anders kommen die Papiertiger nämlich nicht in die Gänge etwas umzusetzen.
Niemand braucht sich wundern, warum die Leute außerhalb der Bubble nicht mehr um Hilfe fragen. Wenn die Lösung so aussieht, dass ich ein 20-Seitiges Security-Check-Formular ausfüllen muss, bevor ich die Software kaufe und sich ohnehin wieder alles geändert hat, bis sie in Betrieb genommen wird, dann möchte ich mein Problem zurück!!!!
Was wir stattdessen brauchen
1. Wir brauchen mehr LIEBE ❤️
Ja, Nächstenliebe, Empathie und Gemeinschaft statt elitärem Gehabe. Solange wir nicht alle gemeinsam an einem Strang ziehen und den Leuten helfen, ihre Projekte tatsächlich zu verwirklichen, ist die Security nur eine leere Checkbox auf einer endlos langen Liste von To-Dos.
Erst wenn wir aus der Security anfangen pragmatische und praxisnahe Lösungen zu präsentieren, werden die Leute auch offener gegenüber komplexeren Themen.
Versucht es nicht mit "Das geht nicht, weil …”, sondern mit “Wow, knifflig, da muss ich mich anstrengen …” und meint es auch ehrlich so.
Lieber ein “Lass uns die alte Produktionsmaschine wenigstens isolieren!” statt “Warum ist da noch kein XDR drauf??”
2. Wir brauchen mehr VERHÄLTNISMÄSSIGKEIT 🧘
Wenn das Sicherheitsniveau schon sehr hoch ist, dann müssen wir es auch nicht mit “Ah, das passt schon so” untergraben.
Ja, wir wollen das Niveau heben und uns nicht nach unten orientieren, da bin ich voll dafür. Wenn das Maturity-Level aber eher im Kindesalter liegt, sollten wir uns lieber auf die "offenen Brüche" konzentrieren, statt auf die "kleinen Kratzer".
Die 80-prozentige Härtung der Anwendung sollte dann auch ausreichen. Was wir noch nicht geschafft haben, holen wir nach, sobald wir mit dem Rest fertig sind.
3. Wir brauchen mehr REALISMUS 🎭
Die Flughöhe-9000m-"geht doch alles easy auf der grünen Wiese"-Beiträge auf LinkedIn kauft euch doch eh niemand mehr ab. Wer schon ein paar Projekte außerhalb von Kleinst-Unternehmen, oder Lean Start-Ups gemacht hat, weiß, dass verwachsene Strukturen echt der Horror sind.
Und mit Realismus meine ich nicht, dass du auf LinkedIn mit IP, Hostname und CVE-Nummer prahlen musst, wie unsicher alles bei dir bzw. den Kunden ist. Nimm am besten Praxisbeispiele, die schon etwas älter sind. Was für Probleme hattest du vor drei Jahren und wie hast du das System abgesichert und das Projekt erfolgreich umgesetzt?
4. Wir brauchen weniger PANIK 🙀
Es ist Reizüberflutung par excellence. Schlag die Zeitung auf. Jeden Tag Mord und Totschlag, alles wird teurer, die Qualität sinkt, alle sind unzufrieden. Guess what? Die Security-Schlagzeilen sehen nicht anders aus. Jeden Tag kommen die krassesten Schwachstellen raus, die größten Firmen werden gehackt, Millionen Accounts werden geleakt, usw.
Ja, es gehen viele Unternehmen wegen Cyber-Vorfällen den Bach runter. Vielleicht waren die Firmen aber vorher schon so überschuldet, dass ein flächendeckender Ransomware-Angriff wie eine Erlösung wirkt. Ketzerisch, ich weiß! Aber selbst 5 Minuten vor dem Angriff hätte der Geschäftsführer nicht für eine Security-Lösung unterschrieben, weil kein Geld da ist.
Fazit
Hochmut kommt vor dem Fall!
Hör auf, dich selbst zu feiern, und pack endlich mit an!
Statt dich zu fragen: "Wie dumm man sein muss, um auf so eine banale Phishing-Mail reinzufallen??", frag dich lieber: "Wie dumm muss mein Spam-Filter sein, um so eine banale Phishing-Mail nicht abzufangen?" 🤯
Wir wollen alle dasselbe Ziel erreichen, aber wir müssen uns mehr an den Leuten orientieren, nicht umgekehrt.
Also … seid's lieb zu einander! Wir alle sind nur Menschen! 🤝 😘