Niemand klatscht, wenn nichts passiert. Keine standing Ovations, wenn das automatisierte Patching wie jeden Monat nahtlos durchläuft. Es gibt auch keinen Bonus, wenn der Spam-Filter keine Phishing-Mails durchlässt.
Wenn nachts um 03:00 Uhr der Alarm losgeht und der heldenhafte Incident-Responder ausrückt, obwohl der Angriff vermeidbar gewesen wäre, gibt es ein fettes Dankeschön der Geschäftsführung und Kuchen für alle.
Willkommen bei Security Tetris. Wo Erfolg niemals zählt, aber kleinste Fehler bestraft werden.
Gefährlicher Heldenkult
Das Problem bei der Sache ist, dass man unerwünschtes Verhalten fördert und nachhaltige Arbeit bestraft. Es wird immer nur der Feuerlöscher gefeiert, aber nie die Person, die den Brand erst nicht entstehen lässt.
Es ist wie eine Art Leistungsfalle, in die man die vorausschauenden Mitarbeiter hineinlockt. Harte Arbeit, wie Nachtschichten und Notfalleinsätze, wird belohnt, aber smarte Arbeit durch stabile Architektur und optimierte Prozesse bleibt oft unsichtbar.
Nicht falsch verstehen. Wir alle brauchen Incident Responder, die sich für uns in die Fluten stürzen und rund um die Uhr im Einsatz sind. Ich war auch schon oft in dieser Position und manchmal ist das einfach nötig. Aber es sollte nicht der Regelfall sein, dass in Bereitschaften schon damit gerechnet wird, dass wieder die eine Anwendung gehackt wird, weil die Patches nicht rechtzeitig ausgerollt werden.
Statt die Lernkultur zu fördern, setzt man lieber auf Helden. Wer der Firma wiederholt den Arsch rettet, wird befördert. Wer von Anfang an einen guten Job macht, bleibt ein Geist. Man züchtet sich eine Unternehmenskultur, die nur Krisen belohnt, aber keine Stabilität.
Warum Prävention scheitert
Nachdem ich das Mantra "Prioritize later" von Jimmy Carr gehört habe, hat es in mir etwas verändert. Mach in der Gegenwart Abstriche, um es in der Zukunft besser zu haben. Damit meine ich jetzt keinen Bausparvertrag, denn es steckt deutlich mehr dahinter.
In mir stecken zwei Persönlichkeiten. Der Macher und der Planer. Der Macher will jetzt gleich anfangen und auch schnelle Ergebnisse sehen. Der Planer hingegen will jede theoretische Möglichkeit am Reißbrett ausloten und monatelang darüber nachdenken, was in der Praxis schiefgehen könnte. Er will den passenden Fix gleich von Anfang an integrieren.
Schnell mal einen Server mit einer Business-kritischen Anwendung zu deployen ist sehr zufriedenstellend für den Macher. Der Planer kriegt die Krise, weil viele Eventualitäten nicht bedacht wurden. Zeit ist bei Projekten oft ein großer Faktor und es wird oft ein "Paper-Launch" bevorzugt, bei dem man die Probleme dann am Weg repariert.
Es ist sehr schwierig Systeme rückwirkend abzusichern, die bereits im Betrieb sind. Fast schon wie eine Operation am offenen Herzen und jede Veränderung ist mit einer Downtime verbunden. Das interne Budget, um ein bereits abgeschlossenes Projekt zu optimieren, bekommt man so gut wie nie.
Notwendige long-term-Fixes, die man in der Projekt-Phase übersehen hat, werden auf die lange Bank geschoben. Es werden lieber laufend Brände gelöscht, als dass man die Substanz nochmal anfasst.
Wie du den Teufelskreis durchbrichst
Bevor du jetzt die Keule rausholst und dir die Leute mit dem größten Tetris-Blockhaufen suchst, lies weiter. 😅 Ich habe hier fünf Methoden, mit denen du deinen Erfolg aufzeigen kannst, auch ohne andere anzuschwärzen.
Mach Prävention messbar
Zeig, was durch deine präventiven Handlungen nicht passiert ist. Mach sichtbar, wie du die Katastrophe durch vorausschauendes Arbeiten verhindern konntest. Du kannst zum Beispiel die Anzahl der abgewehrten Phishing-Emails messen, dass du keine ungeplanten Downtimes bei insgesamt x Changes im letzten Jahr hattest, oder dass die Produktion trotz regelmäßiger Patch-Zyklen stabil lief.
Belohne Ruhe statt Drama
Mach es wie beim Intro der Simpson's und häng ein Schild auf: "X Tage ohne Major Incident". 😄 Wenn eine gewisse Anzahl erreicht wurde, dann feiere das als Erfolg. Pass nur auf, dass du dafür auch präzise und messbare KPIs hast. Es sollte nicht das Gefühl aufkommen, dass du kritische Changes nur deswegen verzögerst, oder du etwas als geringfügige Störung bezeichnest, um etwas unter den Tisch zu kehren.
"Worse before Better"-Prinzip
Wenn du etwas umkrempeln musst, dann wird es anfänglich immer ungemütlich. Es gibt mehr Aufwand, mehr Diskussionen, mehr Downtimes. Mach es vor dem Projektstart allen klar, dass das der Preis ist, den du für die rosige Zukunft bezahlst.
Nutze Storytelling
Jeder IT-Admin erzählt in der Kaffeeküche gerne Geschichten, wie er mit handgeschnitzten Scripts und weiser Voraussicht wieder mal die Welt gerettet hat. Nutze das! Diese Anti-Helden-Geschichten müssen nicht im Verborgenen bleiben. Erzähle sie deinen Vorgesetzten und mach ein großes Ding draus. Jeder soll wissen, wie viel wertvolle Arbeit du im stillen Kämmerchen überhaupt leistest.
Reinvestment-Loop
Hier der wertvollste Tipp: Wenn es unmöglich ist, Budget und Approval für dein Optimierungsprojekt zu bekommen, dann mach eine Return-of-Investment (ROI) Rechnung. Zeige auf, wie viele Stunden Arbeit du vor der Änderung regelmäßig investieren musst, wie viel Zeit in die Umstellung fließt und wie wenig Aufwand du danach hättest. Wenn es regelmäßige Ausfälle gibt, dann addiere auch diese Stunden.
Fazit
Antihelden verhindern Katastrophen, ohne dass es jemand bemerkt. Sie sind nicht die tapferen Ritter auf dem weißen Ross, sondern die Konstrukteure der Rüstung. Während andere auf Applaus warten, schaffen sie das, was wirklich zählt: Stabilität, Vertrauen und Sicherheit.
Nicht jeder möchte im Rampenlicht stehen, aber deine Arbeit sollte trotzdem wertgeschätzt werden. Daher nutze die Methoden, um dich selbst sichtbar zu machen und auch ein paar Goldmünzen zu sammeln. 😬