profile

Michael Mayer

Job-Security vs Security-Job

Published 5 days ago • 5 min read

Was ist eigentlich der Unterschied zwischen einem Security Job (Beruf) und einer Job Security (Berufung)?

Für mich ist er riesig, denn wer so lange in der Branche ist, wie ich, hat schon einiges miterlebt. Trends kommen und gehen, genauso die Leute, die mit Cybersecurity nur schnelles Geld verdienen wollen.

Klar, der Markt boomt und es gibt mehr Bedarf als Fachkräfte, aber als alter Hase sieht man die Trittbrettsurfer schon aus der Ferne.

Worum geht's bitte?

Ich denke, dass die Cybersecurity-Branche kein Teil der IT ist, sondern eher wie ein Spiegel. Die IT macht den Anfang, und die Security macht den Abschluss:

  • Entwickler schreiben Software – Secure Development sichert den Code ab
  • IT-Admins stellen Server bereit – Infrastructure Security kümmert sich um die Härtung
  • Netzwerk Architekten designen stabile und funktionale Netze – Security Architekten schließen die Lücken

Ich könnte noch unzählige Beispiele anführen, aber ich denke, du weißt, worauf ich hinaus möchte:

Die IT ist die Basis der Cybersecurity.

Wenn du ein guter Netzwerk-Security-Architekt werden willst, dann musst du erst mal ein guter Netzwerk-Architekt sein.

Wenn du dich für einen Security-Job interessierst, solltest du schon grundlegende Ahnung von IT haben. Denn wenn du das Fundament nicht verstehst, kratzt du nur an der Oberfläche, erfährst dann auch keine Job-Security und bist beim nächsten rauen Lüftchen auch wieder weg.

Mein Fundament

Schon mit 5 Jahren hatte ich meine ersten Erfahrungen am Familien-PC mit Windows 3.1 gemacht. Ich durfte auch am PC meines Großvaters hantieren und habe von ihm viel gelernt. Es war für mich eine Zeit des stetigen Lernens und Entdeckens. Hausarrest? Ja, bitte – unbedingt!

Mit 13 habe ich meinen ersten PC aus selbst zusammengestellten Komponenten gebaut. Ich habe wochenlang in Foren und Zeitschriften recherchiert, was am besten zusammenpasst und welche Fehler man tunlichst vermeiden sollte. CPUs hatten damals noch keine Heat-Spreader. Wenn der Kühler schief aufgesetzt wird, bricht ein Stück des Chips ab und die CPU ist hinüber.

Aber nicht nur die Hardware fand ich spannend, sondern auch Software und Netzwerke. Als Windows 2000 rauskam, hab ich mir einen Windows 2000 Advanced Server "besorgt". 😆 Damals gab es diese "so" verfügbaren Versionen nur auf Englisch. Ich habe also sehr schnell eine Menge englische Fachbegriffe gelernt. Meine Urlaubslektüre am Strand: Fachbücher für Microsoft-Prüfungen von MSPress – natürlich auf Englisch.

Von meinem hart gesparten Taschengeld hab ich einem Freund einen alten IBM-Desktop-PC abgekauft, mit Celeron 400 und 128 MB RAM und 40-GB-HDD. Der USB-Controller war kaputt und es gab nur einen PS/2-Port – entweder für die Tastatur oder für die Maus. Die PCI-Slots waren schon mit zwei Netzwerkkarten belegt und ich konnte daher nichts mehr nachrüsten.

Ich war damals noch ein ahnungsloser Jungspund, Remote Desktop gab es noch nicht und daher habe den Server mit allem drum und dran nur über die Tastatur bedient und konfiguriert: Active Directory, Gruppenrichtlinien, DNS, DHCP, Routing & RAS, ISA-Server, File-Share und so weiter.

Jedes Mal, wenn ich Maus und Tastatur umstecken musste, hat das ewig gedauert. PS/2-Ports waren auch nicht für so viele Steckvorgänge ausgelegt, wie zum Beispiel ein USB-Port und daher habe ich mich dann für die Tastatur entschieden. Nach ein paar Wochen kannte ich alle Tastaturkürzel. Die TAB-Taste wurde mein größter Freund und mit der ALT-Taste + unterstrichener Buchstabe, bediente ich Schaltflächen in Eingabemasken direkt.

Das war ECHT hart, aber ich profitiere noch heute davon. Meine Kollegen und Kunden waren immer ziemlich überrascht, wie schnell ich war. Ich kannte alle Schaltflächen und Fenster auswendig und hatte die Hand bereits am Keyboard-Shortcut, noch bevor das Fenster am Bildschirm erschien. 😎

Warum das Fundament zählt

Ja, ich habe damals noch gelernt, wie man Subnetze von Hand berechnet, IRQs konfiguriert und dass es bei jedem Computerspiel ein Drama war, den SoundBlaster 16 zum Laufen zu bekommen.

Aus mir spricht aber nicht nur die Nostalgie, denn ehrlich gesagt bin ich froh, dass sich Anwender damit heutzutage nicht mehr herumschlagen müssen.

  • Hat es mir geschadet? – Nein!
  • Vermisse ich es? – Nein!
  • Ist das heutzutage unnützes Wissen? – Ebenfalls Nein!

Jede Security-Disziplin lebt davon, dass man die Technik, die sie absichert, versteht. Wer erst seit zwei Jahren in der Branche ist und AI-Endpoint-Protection als "DAS HEILMITTEL GEGEN ALLES" anpreist, hat vermutlich nicht mal eine Ahnung, wie Heuristiken von klassischen Anti-Virus-Lösungen funktionieren. Wer die Grundlagen nicht versteht, kennt weder die Limitierungen noch die Zusammenhänge und läuft am Ende nur den neuesten Trends hinterher.

Ohne dieses Wissen, fällt das Security-Kartenhaus beim kleinsten Gegenwind in sich zusammen. Der Leidtragende bist aber du als Kunde. Du sitzt dann vor dem Scherbenhaufen und verstehst die Welt nicht mehr.

Security-Job

Die Leute mit einem Security-Job verdienen vielleicht gutes Geld, haben aber oft kein tiefes Wissen über die eigentliche Materie. Ihre Herangehensweise ist daher immer reaktiv, aber niemals proaktiv.

"Nachdem du dank deiner neuen Deep Inspection Firewall endlich sicher bist, nutzen Angreifer weiterhin gestohlene Kennwörter und bleiben dadurch trotzdem unbemerkt. Es ist ja schließlich legitimer Netzwerkverkehr." 😳

Ich finde Methodiken viel wichtiger als Produkte. Mir sind Fans von Produkten immer schon suspekt gewesen. Hier geht's nicht um Sport, wo man zu seiner Lieblingsmannschaft hält, komme was wolle. Es geht um eine Sicherheitslösung für unser Sicherheitsproblem.

"Ja, ihr Baustellenhelm ist top und erfüllt alle Normen, aber wir finden die Verpackung der Konkurrenz besser." 🤦‍♂️

Viele Dienstleister schwatzen ihren Kunden auch erst ein Problem auf und verkaufen dann direkt die Lösung. Du darfst nie vergessen: Wer heute Partner von Hersteller XY ist, wird morgen nicht das Konkurrenzprodukt verkaufen, auch wenn es die bessere Lösung wäre.

Teste die Produkte am besten vorab gründlich und stell auch gleich am Anfang kritische Fragen. Zusätzliche nice-to-have-Features sind nur Ablenkung. Wenn das Produkt nicht exakt dein Problem lösen kann. Du musst immer davon ausgehen, dass dein Gegenüber nur einen Security-Job hat und nicht weiß, wovon er spricht. Fachkräftemangel und so.

Job-Security

Gute Security-Leute wachsen nicht auf Bäumen.
Gute Leute sind IT-Bäume, die später mal Security-Früchte tragen.

Das sind die Tüftler, Denker und Hacker (im positiven Sinne), die daheim über die Jahre tausende Stunden an ihrem Homeserver lernen, private Code-Projekte am Laufen halten, oder auch mal ein Gerät zerlegen, um es zu verstehen.

Wenn du die Funktion erst verstehst, erkennst du auch die Schwachstellen. Und wenn man die kennt, weiß man auch meistens genau, wie man sie absichern kann.

Wenn du aber auf jemanden triffst, der für das Thema brennt und Job-Security auch ausstrahlt, dann halte die Person fest, so gut es geht. Diese Leute sind echte Schätze, auch wenn sie manchmal zynisch und kritisch sind. Das sind genau die Mitstreiter, die du brauchst, um in die Tiefe zu gehen und vielleicht sogar dein gesamtes Vorhaben zu hinterfragen.

"Brauchen wir die neue Privileged-Access-Lösung wirklich, oder können wir das nicht auch mit ITSM und sauberen Gruppenrichtlinien ebenfalls erreichen?"

Aber die Jahre allein sagen eben auch nichts über die tatsächliche Erfahrung und Expertise aus. Nur weil ich als kleiner Gschropp damals schon wild auf der Tastatur geklimpert habe, bin ich deshalb noch lange kein Spezialist.

Andererseits solltest du aber auch nicht erwarten, dass Quereinsteiger nach 2-3 Jahren schon Vollprofis sind. Zum Glück wandern viele aktuell in Richtung AI ab und werden dort gefeiert. Michael gefällt das! 😂

Fazit

Cybersecurity ist kein "Shortcut-Job". Die Branche kann für Direkteinsteiger echt hart sein. Wenn du hier nachhaltig erfolgreich sein willst, solltest du dich mit der begleitenden IT-Disziplin richtig gut auskennen und immer am Ball bleiben.

Ein befreundeter Manager hat mir mal erzählt, dass er nur Admins einstellt, deren Hobbys auch etwas mit der IT zu tun haben. Für ihn ist IT nicht nur ein Beruf, sondern eine Berufung.

Michael Mayer, Modecenterstraße 22, Wien, 1030
Abbestellen · Einstellungen

Michael Mayer

Ein Security-Nerd schreibt Klartext

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

Stell dir eine IT-Messi-WG vor. Überall liegt Dreck herum, Zettel stapeln sich, Laptops türmen sich zwischen Servern und Geräten, die noch in Verwendung sind – oder auch nicht. Wer weiß das schon? Irgendwann erbarmt sich jemand und startet eine Aufräumaktion. Auf die Frage “Wem gehört dieser Server?” folgt nur Stille. In Filmen würde ein Dornenbusch von links nach rechts rollen, aber dafür ist hier einfach kein Platz. Irgendwann reißt der Geduldsfaden, der Stecker wird gezogen und in einer...

12 days ago • 4 min read

Schach ist ein komplexes Spiel mit klaren Regeln und definierten Feldern. Man spielt zu zweit und hat jeweils die gleichen Figuren und Voraussetzungen. Das Ziel ist klar: Den gegnerischen König zu schlagen, bevor der eigene geschlagen wird. Wenn man gewinnen will, braucht man eine solide Strategie und eine bewährte Taktik. Es gibt viele Parallelen zur Cybersecurity, aber auch einige große Unterschiede. Wer ist dein König? Beim Schach geht es nicht darum, alle Figuren zu retten, sondern nur...

19 days ago • 5 min read

"Welches Recht nimmst du dir bitte heraus, um mir sowas anzutun???" "Öh … ich bin doch Admin!" 😬 In einem früheren Beitrag habe ich schon mal über alte Rechte geschrieben. Heute beschäftigen wir uns aber mit Berechtigungen, die auch neu, sehr großzügig vergeben werden. Dazu gibt es einen Fachbegriff: "Principle of Least Privilege". Worum geht es beim Principle of Least-Privilege? Die Idee dahinter ist ganz einfach: Jeder hat nur Zugriff auf das, was er auch wirklich braucht. Nicht mehr, aber...

26 days ago • 5 min read