Wie die Zeit vergeht – schneller als man gucken kann. So wie man im Volksmund sagt, “Unkraut verdirbt nicht”, geht es auch mit mir weiter. Dieser Blog handelt um meinen neuen Job-Titel und das Gefühl, ein Klempner zu sein. Mein nächster Beitrag wird ein wenig interessanter, da berichte ich über ein paar gewonnene Erfahrungen mit IT-Systemhäusern und warum ich so ein Gräuel gegen sie habe. Aber dazu bald mehr…
Jobtitel widerwillen / IT-Freidenker wird zur IT-Fee
Das ich recht wenig von Job-Titeln halte, wissen hoffentlich viele. Ein Titel ist einfach wenig wert, wenn man die Position nicht ausfüllen und ernstzunehmend bekleiden kann. Als junger IT-Hüpfer war mein Ziel immer, dass ich eines Tages ein “Consultant” werde. Für mich war das immer das ultimo in der technischen Laufbahn eines IT’lers. Die Kunst, sein Wissen und seine Fähigkeiten woanders einzubringen, während andere fragend daneben sitzen – ein gutes Gefühl.
Auch dank meiner alten Arbeitgeber weiß ich, wie nichtssagend ein Job-Titel ist. Kleines Beispiel?
Nach meiner Ausbildungsfirma, wo ich zum Ende hin Consultant war, sollte ich bei dem neuen Arbeitgeber die Position eines “Virtualisierung und Infrastruktur Architekten” bekleiden. Ich war laut Visitenkarte ein “IT-System-Engineer“, wurde aber ständig dazu verdonnert und genötigt, “Tickets zu schrubben” oder Löcher zu stopfen, wenn jemand was vermasselt hat. Bedeutet, eine Support-Ticket-Queue abzuarbeiten und Aufwände auf Kunden zu buchen; aufrunden statt abrunden, aufgrund falschen Drucks, die das Unternehmen auf die Mitarbeiter umgelegt hat… aber dazu im nächsten Blog mehr, versprochen!
Genug von den alten Kamellen, was hat das nun mit dem IT-Freidenker und der IT-Fee zu tun?
Mein Schritt in die Selbstständigkeit kam bekanntlich eher von heute auf morgen. Ich brauchte schnell Visitenkarten, von denen ich übrigens noch 95% im Schrank liegen habe. Und auf Visitenkarten gehört ein Titel drauf, also wurde der Slogan “IT-Freidenker” geboren. Nachdem sich im letzten Jahr eine fragwürdige Bewegung gegründet hat, die auf”…denker” enden, habe ich die Bezeichnung aus der Signatur entfernt, um Verwechslungsgefahr zu vermeiden.
Mir ist im April aufgefallen, dass der Job-Titel noch bei LinkedIn und Xing eingetragen war, also habe ich diesen fix auf “IT-Fee” geändert. Das hatte zur Folge, dass ich Nachrichten (und viele Besucher) erhalten habe. “Was macht denn eine IT-Fee?” war so der Klassiker. Es gibt dazu keine ernstzunehmende Antwort, die eheste wäre “zaubern” 😉 Es ist nur irgendeine weitere Floskel…
Bin ich ein IT-Klempner ?
Ich fühlte mich in letzter Zeit eher wie Super Mario, der kleine Kerl aus den beliebten Nintendo-Spielen. Ein kleiner bärtiger Klempner der unterwegs ist, um die Prinzessin und die Welt zu retten und gegen das Böse und seinen Helfern zu kämpfen. Zugegeben, es ist eher eine kleine Anekdote an einen meiner Kindheitshelden, also weniger ernst nehmen bitte 😉
Wieso? Die letzten Wochen und Monate lag ein großer Augenmerk auf das Schließen und Verhindern diversester Schwachstellen und Sicherheitslücken bei meinen Partnern. Wenn gravierende Lücken bekannt sind, sollte man diese zeitnah schließen, bevor sie ausgenutzt werden können.
Und da fängt man wieder beim kleinen 1×1 der IT an. Updates aller Systeme, Applikationen und kontinuierliche Verbesserung, Optimierung und Härtung der Server- und Client-Systeme etc.
Zugegeben, ich würde behaupten, dass bei den meisten meiner Partner ein guter, vielleicht sogar besserer Stand vorhanden ist, als bei anderen Unternehmen. Trotzdem verliert man hier den Überblick. Neue Informationen vom BSI oder anderen Quellen trudeln im Tagestakt ein. Die Übersicht zu behalten und dem noch die Stirn zu bieten, auch wenn viel automatisiert ist, nervt. Anders kann man es nicht sagen, aber es muss gemacht werden.
Daraus entstehen aber auch tolle Projekte für mich. So mache ich derzeit bei einen meiner Partner ein Greenbone Schwachstellen Scan. Ich bin seit letztem Jahr vermutlich der kleinste Greenbone-Partner in Deutschland. Ich nutzte es um meinen Partner ohne hohe Anschaffungskosten ein Überblick über die Schwachstellen in der Umgebung zu geben.
Es ist sehr interessant zu sehen, was für Schwachstellen gefunden werden, obwohl wir mit den einfachsten Analaysen-Scans angefangen haben. Ehrlichgesagt haben wir bei dem Partner einen guten Stand über alle Client-, Server, Hardware-, Switch-, Firewall-Komponenten hinweg. Trotzdem werden Lücken gefunden, die als (sehr) kritisch eingestuft werden, obschon wir nach besten Gewissen aktualisiert und eingerichtet haben.
Etwas anderes machen die “Bösen” innerhalb eines Netzwerkes übrigens auch nicht. Man sagt, dass die Angreifer viel Zeit haben und lange im Netzwerk unterwegs sind, bevor der security breach erkannt wird. Meistens ist es aber bis dahin schon zu spät.
Im Umkehrschluss finde ich es aber auch schön zu sehen, dass einige Sicherheitsmechanismen, die man vorgenommen hat, funktionieren. So habe ich bei dem Partner vor kurzem eine neue Veeam-Umgebung eingerichtet und diese nach dem “Principle of least privilege” eingerichtet. An dem Ding beißt man sich mehr die Zähne aus, als man vermuten mag. Hoffentlich hält es auch in Zukunft stand, letztendlich gilt es einfach nur so viele Barrieren wie möglich zu errichten, wie es geht und man technisch kann.
Nun gilt es jedoch erstmal die gefundenen Lücken zu beseitigen und abschließend erneut zu überprüfen. Je nach Bedarf und Möglichkeit dann auch intensiver zu scannen, dann auch mit Bruteforce und bekannten default-Credentials, die man mitgibt.
Was steht für den Klempner noch an?
Für Ende August ist bei einen meiner kleineren Partner ebenfalls ein Schwachstellen-Scan geplant. Bis zu 20 Systeme können kostenfrei abgescannt werden. Ein Vorteil ist, dass man erstmal ein Überblick bekommt, bevor man irgendwas kaufen muss oder ähnliches. Hier ist übrigens ein Link zu meinem super-duper-Kunden-Portal Vulnerability Management (insol-hh.de) *yeah*
Dann steht im September vermutlich die technische Umsetzung eines Carve-Out’s an, wofür ich ein Konzept geschrieben habe. Ein Bekannter von mir hat mich netterweise bei seinem Systemhaus ins Spiel gebracht, DANKE dafür! Dort decke ich die Parts des kompletten MS Active Directory und M365 ab. Diese müssen vollständig ausgegliedert und neu erstellt werden.
Nebenbei gesagt ist es eine der wenigen Zusammenarbeiten mit einem Systemhaus bisher, die ich als gut und unkompliziert empfinde.
Zu meinen anderen Erfahrungen mit IT-Systemhäusern gibt es, wie schon geschrieben, beim nächsten Mal einen eigenen Exkurs. Dann werde ich mich vermutlich ab September/Oktober in den Bereich Azure weiterentwickeln (müssen), da ich mir hiervon Mehrwerte für einige meiner Partner und mich verspreche. Also wird es hoffentlich nicht langweilig.
Bleibt gesund und munter !
Euer IT-Klempner
