Dan Lohrmann, CTO des US-Bundesstaates Michigan, ist davon überzeugt, dass jeder IT-Sicherheitsexperte sieben Lektionen lernen muss. Erst dann kann er die besten Resultate erzielen.
1. Problem: Sicherheit wird als Sperre empfunden
Sicherheitsprofis werden oft als diejenigen empfunden, die die Party verderben. Was man dagegen tun kann? Hören Sie auf, nein zu sagen. Bieten Sie Ihren Kunden stattdessen sichere Lösungsmöglichkeiten an. Erläutern Sie ihnen, wie Sie das Projekt im Zeit- und Budgetrahmen und dazu noch sicher umsetzen werden.
2. Problem: Sicherheitsprofis bieten nur eine Lösung an
Ein zweiter häufiger Fehler ist der, dass Sicherheitsprofis oft nur eine einzige Lösung anbieten. Dabei sollten Sie lieber mindestens drei Alternativen vorschlagen, zum Beispiel die Gold-, Silber- und Bronzevariante. Aber Vorsicht: Es gibt immer wieder Personen, die jedes Mal die billigste Variante wählen. Auch wenn sie am günstigsten ist, müssen Sie darauf achten, dass sie funktioniert. Erläutern Sie aber auch die Risiken, die man mit Silber und Gold zusätzlich vermeiden könnte.
3. Problem: Das Auftreten vor den Kunden
Natürlich arbeiten Kunden am liebsten mit jemandem zusammen, der positiv, freundlich und geduldig auftritt. Deshalb dürfen Sie anderen aber trotzdem auf keinen Fall falsche Versprechungen zur Sicherheit machen. Denn Cyberkriminelle werden jeden Tag besser - was Sie heute implementieren, könnte schon morgen keinen ausreichenden Schutz mehr bieten. Achten Sie auf gute Zusammenarbeit und behandeln Sie andere genau so, wie Sie selbst behandelt werden möchten.
4. Problem: Der Kunde hat doch keine Ahnung
Mehr als 90 Prozent der Sicherheitsprobleme werden durch Personen verursacht, deutlich mehr als durch Technik und Prozesse. Auch wenn Sie merken, dass ein Fachbereich oder Kunde die Sicherheitsprobleme nicht ernst nimmt oder Risiken nicht anerkennt, schreiben Sie sie nicht ab. Versuchen Sie stattdessen, die Menschen hinter den Sicherheitsverweigerern kennenzulernen - zum Beispiel beim gemeinsamen Mittagessen - und bauen Sie Beziehungen zu diesen Menschen auf.
Burnout vermeiden
5. Problem: Cyber-Ethik
Die Versuchung besteht: Umso besser Sie als Cybersicherheitsexperte werden, umso genauer kennen Sie die Methoden der Hacker. Lohrmann vergleicht die Situation mit einem Polizisten, der einen Drogenboss festnimmt und dabei Kokain findet. Soll er es nehmen, solange niemand hinsieht? Um auf dem richtigen Weg zu bleiben, tauschen Sie sich mit geschätzten Kollegen aus und suchen Sie sich einen Mentor, den Sie bewundern. Sehen Sie sich auch einmal diese sieben Verhaltenstipps für Online-Integrität an.
6. Problem: Der Burnout
Die meisten Sicherheitsprofis kämpfen an irgendeiner Stelle ihrer Karriere mit Burnout-Symptomen. Bereiten Sie sich auf Stressphasen genauso vor wie auf Wetterumschwünge. Nach den Warnsignalen von Burnout Ausschau zu halten, ist ein erster Schritt. Außerdem sollten Sie mindestens einmal im Jahr Abstand zu Ihrem Job gewinnen und Ihre Situation genau betrachten. Sprechen Sie mit Außenstehenden über Ihre Jobsituation und holen Sie sich Feedback. Und haben Sie keine Scheu, sich an einen Arzt zu wenden, wenn Sie unter Burnout-Symptomen leiden. Denn schließlich ist Ihre Karriere eher ein Marathon als ein Sprint, verpulvern Sie also nicht schon jetzt Ihre gesamte Energie.
7. Problem: Die Karriere-Sackgasse
Viele Sicherheitsexperten arbeiten nur an ihren technischen Fähigkeiten - ein fataler Fehler. Sie können nicht immer das Gleiche machen und andere Resultate erwarten. Wenn Sie etwas in Ihrer Karriere ändern möchten, müssen Sie auch etwas an sich ändern. Melden Sie sich zum Beispiel über Ihre üblichen Aufgaben hinaus freiwillig, um in wichtigen Teams mitzuarbeiten. Starten Sie einen Blog oder ein Wiki - horten Sie Ihr Wissen nicht, sondern teilen Sie es. Machen Sie das Management auf Probleme im Unternehmen aufmerksam und bringen Sie gleichzeitig realisierbare günstige Lösungsvorschläge für diese Probleme.
Dan Lohrmanns Lektionen sind im Original bei unserer amerikanischen Schwesterpublikation CSO Online erschienen.