 Hi, herzlich willkommen zurück auf dem Hexen-Channel. Vielleicht habt ihr euch das auch schon mal gefragt. IT-Sicherheit klingt spannend, aber will man das beruflich machen? Und wie stellt man das überhaupt an und welche Berufe gibt's denn da? Und überhaupt brauche ich nicht irgendwelche Zertifizierung, um in den Berufe überhaupt einsteigen zu können? Habe ich da eine Chance? Auf diese Fragen bietet das kommende Panel zur IT-Sicherheit gleich mehrere Antworten. Unsere IT-Security-Profis Christina, Lena, Caro, Lisa und Maren werden euch erzählen, welche verschiedenen IT-Sicherheitsberufe sie gewählt haben, wie ihre Motivation war, ihr Werdegang, wie der Alltag in diesen Berufen ist und ob man Zertifizierung braucht und welche Wünschenswert sind, vielleicht auch welche sie selber gemacht haben. Fragen könnt ihr mir immer auf Twitter oder Mastodon stellen. Das Signal Angel Warwolf wird sie dann zusammensammeln. Wenn ihr die Hashtags Hexen-Fan im Rocket verwendet, dann werden auch da die Fragen gesammelt und im Anschluss treffen wir uns dann im Big Blue Button-Raum in der Awesome Ada und werden uns die Antworten auf diese Fragen anhören. Aber nun erst mal bühnefrei für Christina, Lena, Caro, Lisa und Maren. Ja, hallo an euch da draußen, schön, dass ihr dabei seid und hallo an euch hier in der Runde. Wir wollen heute euch einen Einblick geben in verschiedene IT-Security-Professions. Wir sind fünf Leute hier gerade, die alle in irgendeiner Art und Weise beruflich zu tun haben mit Themen rund um IT-Sicherheit, auf unterschiedliche Arten und Weisen. Und wir wollen einen Einblick geben, was das für Themen sind, mit denen wir uns beschäftigen, was das in unserem Arbeitsalltag heißt, womit wir unsere Zeit verbringen, wie wir das alles so finden und vielleicht auch wie wir dahin gekommen sind, wo wir jetzt gerade sind. Ich würde gar nicht so viel Vorrede machen. Ich würde in eine Vorstellungsrunde starten. Ich bin Lena, ich arbeite im Moment in einer Firma, die IT-Security-Beratung macht. Was ich da inhaltlich mache, erzähle ich später, weil es da inhaltlich besser reinpasst. Mein Job ist heute zu moderieren, das heißt ein bisschen zu gucken, dass wir nicht vor lauter Begeisterung voll ins Fachsempellen abriffen, sondern so ein bisschen den Überblick vermitteln und auch dafür zu sorgen, dass vielleicht Begriffe, die nicht allen Leuten total verständlich sind von Anfang an, weil sie nicht so tief in diesen Themen drinstecken oder weil sie in anderen Security-Themen tief drinstecken, aber nicht in denen, was wir gerade reden. Das wird ihr erklären, damit wir alle mitnehmen können. Wir hatten uns im Vorfeld gedacht, dass es gut wäre, ein Angebot zu machen für Leute, die sich vielleicht orientieren wollen, die eine Neugierde haben, wie das so ist, in dem Bereich zu arbeiten, vielleicht Studentinnen oder Quereinsteigerinnen oder potenzielle Quereinsteigerinnen oder Leute in der Ausbildung oder halt einfach neugierige Leute, die was wissen wollen. Und das wollen wir so ein bisschen anpeilen, das auf sozusagen diese Art und Weise zu vermitteln und dann sehen, wie gut uns das gelingen wird von der Begeisterung also sehr mitreißen lassen. Genau. Ich würde sagen, wir starten mit Christina. Christina, du kannst einen guten Überblick geben dazu, was für Themen alle so zu IT-Sicherheit oder Informationssicherheit dazu gehören, weil du dafür zuständig bist in einer Organisation. Magst du was erzählen, was das heißt? Genau. Ich bin Christina und ich bin IT-Sicherheitsbeauftragte in der Firma, in der ich arbeite und bin dadurch, dass die Firma ISO 27001 zertifiziert ist für die Betreuung beziehungsweise ich verantworte den ISMS-Teil und kurz am Rand ISMS steht für Information Security Management System und das bedeutet, dass ich so wie Lena auch eben schon gesagt habe einen ziemlichen Überblick haben muss, was alles in der IT-Sicherheit für ein Unternehmen relevant ist und natürlich auch für die Endanwender. Hauptsächlich mache ich in meinem Alltag bin ich mit Richtlinien beschäftigt, mit Normen, Anforderungen sehr viel Compliance, aber eben auch zum Beispiel den ein oder anderen Wendor mir angucken, was es halt so auf dem Markt gibt an Lösungen, die wir einsetzen können und zum Beispiel eben auch, was das PEN-Testing angeht. Unsere Firma produziert Softwares und Softwarehersteller und da sind zum Beispiel PEN-Testing-Anforderungen eben auch im Alltag zu finden. Und ja, damit würde ich gerne an die nächste dann weitergeben. Ich würde dich nochmal rückfragen, ob du uns verraten magst, was Compliance denn heißt. Compliance, das Wort mit den Häkchen, wo vielleicht viele so ein bisschen ins Schmunzeln kommen, da geht es hauptsächlich um die Einhaltung von Verträgengesetzen in Rechtlinien, dass man damit dann konform ist. Und dieses ISO 27001 ist ein sowas, womit man konform sein will. Genau, das ist eines der Standards, nach denen man sich zertifizieren lassen kann im IT Security Bereich. Es gibt auch noch weitere Frameworks oder Rahmen, an denen man sich orientieren kann. Anderes Beispiel wäre zum Beispiel das VDS 10000, was vor allem im Versicherungsbereich angewendet wird. Ja, cool. Dann würde ich sagen springen wir einmal zu Caro, weil Caro auch intern für IT-Sicherheit verantwortlich ist, aber nicht mit dem großen Überblick, sondern mit einem speziellen Thema, wenn ich das richtig verstanden habe. Genau, ich arbeite beim größeren amerikanischen Unternehmen mit der Security-Inhouse Security. Heißt, ich bin in einem größeren Team, das ich eben mit Security-Fragen beschäftigt. Da gibt es so auf der einen Seite die Security-Researchers. Und davon habe ich auch so ein bisschen was gemacht, aber eigentlich ist mein persönlicher Fokus eher bei der Entwicklung mit Security-Bezug. Das heißt, ich baue dann zum Beispiel so Sachen wie Authentifizierungssysteme oder also quasi die besonders sicherheitskritisch sind und wo man eben besonders gut aufpassen sollte, dass keine Sicherheitsdrücken entstehen, die dann von dem Security-Research-Theme, was versucht die Lücken zu entdecken und gefunden werden könnten. Und mein persönliches Thema, mit dem ich mich besonders gut auskenne, ist die Kryptografie. Also der Zweig der Mathematik, der sich damit beschäftigt, wie man Daten absichern kann und wie man verhindern kann, dass Leute mit den eigenen Informationen und ich möchte, dass sie damit tun. Also das ist dann ein Beispiel davon ist Verschlüsselung. Aber in der modernen Kryptografie gibt es auch noch viele anderen Themen, wie zum Beispiel Privacy Preserving Algorithmen, wo man dann zum Beispiel eben viele von diesen Big Data-Sachen, die wir heutzutage machen und dabei quasi viel Privatsphäre von Menschen verletzen oder Einschränken, dass man die dann eben auch bauen kann mit Kryptografie, so, dass man nicht lernen möchte, wie viele Menschen keine Ahnung benutzen, meine Software, dass ich genau das lernen kann oder wie viele Menschen nutzen dieses eine Feature von meiner Software, dass ich eben genau das rausfinden kann und nichts anderes über diese Nutzer, was ich eigentlich gar nicht wissen sollte oder möchte rausfinden. Genau. Und da sind dann so Sachen, wie eben checken, ob die Kryptografie, die wir intern benutzen, auch sicher ist wie man das dann machen kann, auswählen, welche Schiffrin, welche Algorithmen damit benutzt werden und dann die entsprechende Software dafür bauen. Ja, super spannend. Genau, jetzt, wo arbeitest du bei einem sehr großen Unternehmen, hast du gesagt und es gibt ja diese wahnsinnig vielen Themen rund um IT-Sicherheit oder Informationssicherheit, die Christina schon angerissen hat, um diese sich übergreifend kümmert und jetzt ist es so, wie man das so sagt, ich werde zu einem Unternehmen abdecken, und da kommen die anderen drei von uns ins Spiel, wir sind sozusagen eher extern, wir unterstützen Kunden dabei, irgendwelche Aspekte von IT Security abzudecken in irgendeiner Art und Weise. Und da kann ich jetzt auch gut über das erzählen, was ich mache, wie gesagt, ich bin ein Beratungsunternehmen und ich habe recht viele unterschiedliche Sachen gemacht, im Moment angreifenden und guck wo sind der Schwachstellen drin und was kann ich denn machen mit diesen Schwachstellen. Also ganz konkret in dieser installierten Version von dieser Anwendung, wenn ich das ausnutze, welchen Schaden kann ich damit anrichten, welche Informationen kann ich vielleicht abgreifen, was kann passieren und das dokumentiere ich dann in so Berichten und schreibe Empfehlungen dazu wie man das dann abändern könnte. Entweder für Softwarehersteller, die das gerne für ihr eigenes Produkt haben wollen oder für sozusagen Firmen, die den Produkt einsetzen wollen, die das vielleicht auch selber betreiben und die dann wissen wollen, ist das Produkt sicher, was wir gekauft haben, aber auch haben wir denn den Server gut konfiguriert zum Beispiel. Und das andere was ich mache ist gar nicht so hands-on, das ist aber trotzdem ein massimilitätsches Detail und das ist so technische Konzeption und auch Risikoanalyse und da geht es eher darum, dass es eben irgendeine Aufgabenstellung gibt, im Bereich all die Sicherheit, die ein Unternehmen lösen möchte und wo es Unterstützung bei braucht und ein Beispiel wäre zu sagen, die haben ein Netzwerk das bisher nicht gut abgesichert ist, da ist alles in einem großen Netzwerk drin und alle Geräte können miteinander kommunizieren und sind nicht stark beschränkt und das wollen sie verändern. Und dann überlegen wir eben gemeinsam, wie könnte man das aufteilen, also in welchen Gruppen kann man das aufteilen oder sollte man es aufteilen, damit das irgendwie gut abgesichert ist, welche Features brauche ich vielleicht an der Firewall, die ich neu beschaffe und welche brauche ich auch nicht und wie muss ich das nachher konfigurieren, damit ich auch was davon habe von dem Geld, das ich ausgegeben habe und nicht einfach nur sage, ich habe was teures in der Ecke stehen und das nützt mir eigentlich nicht so viel. Und das spannende an solchen Aufgaben ist tatsächlich immer zu gucken, dass es ja in diesen Landschaften meistens schon ganz vieles System und Anwendungen gibt, die eingerichtet wurden ohne diese ganzen Sicherheitsfeatures und dann muss man immer gucken, dass die auch weiter betrieben werden können und nicht so lange ausfallen in der Migrationsphase, weil die werden ja gebraucht, wenn man jetzt diese ganzen Sicherheitsmaßnahmen hochzieht. Und das ist immer ein ziemlich interessanter Prozess, wo es manchmal auch ziemlich ins Detail gehen kann und das wäre jetzt ein Beispiel, zum Beispiel für technische Konzeption, da mache ich viel Workshops, die ich halte mit den Kunden, mit unterschiedlichen Leuten, mit sozusagen eher management Leuten, aber auch viel admin Leuten und schreib dann Sachen auf und dann entsteht so über die Zeit etwas, was sie hoffentlich gut umsetzen können. Genau, ich würde weitergeben an Lisa. Ja, hallo, ich bin Lisa. Ich bin auch in der IT-Sicherheitsberatung tätig, im Moment auch mit einem sehr technischen Fokus. Da gibt es ehrlicherweise sehr viele verschiedene Dinge, die ich im Moment mache. Die lassen sich aber gut zusammenfassen unter diesem Punkt Incident Response und Forensic, beziehungsweise technische Sicherheitsberatung. Der Punkt Incident Response bedeutet, wenn Firmen oder Organisationen gehackt werden, dass ich mit meiner Firma da vor Ort auftauche oder telefonische Unterstützung biete, um auf diesen IT-Sicherheitsvorfall zu reagieren. Das kann in ganz unterschiedlichem Ausmaß sein. Der Klassiker sind dabei natürlich diese Verschlüsselungstrojaner, also so ein Ransomware-Befall, wenn auch einmal gar nichts mehr geht, weil so eine schöne Nachricht auf dem Bildschirm auftaucht. Bitte überweisen Sie uns hier so und so viele Bitcoin. Erst dann bekommen Sie wieder an Ihre Daten und solchen Firmen helfen wir dann. Ja, und der Bereich Forensic, der beschäftigt sich mit der Aufklärung des Schadensheergangs. Also was ist eigentlich passiert? Was war die ursprüngliche Sicherheitslücke? Wie sind die Angreifenden ins Netz gekommen und wie konnten sie sich da vielleicht auch im Netzwerk fortbewegen und welche Systeme sind vielleicht auch betroffen, von denen man es im ersten Moment gar nicht unbedingt merkt. Also diese Verschlüsselung, das ist ja schon ein sehr lautes Vorgehen und insofern kann es ja auch passieren, dass so ein Angreifender vielleicht auch gar nicht entdeckt werden möchte und sich da sehr unauffällig im Netzwerk fortbewegt und solche Sachen kann man dann teilweise auch mit forensischen Mitteln aufklären. Und das ist das, was mich zur Zeit sehr viel beschäftigt. Ich finde es persönlich sehr spannend, weil es natürlich ein sehr, ich sag mal, affektgesteuertes Geschäft ist und ich eigentlich morgens manchmal gar nicht so richtig weiß, was im Laufe des Tages passiert. Das macht es natürlich sehr spannend. Ja, cool. Und Marin, wenn ich das richtig verstanden habe, kannst du da gut anknüpfen, weil du dich im Prinzip teilweise mit ähnlichen Themen befasst, aber vielleicht eher daraufhin, das ein bisschen in die Kontinuität zu bringen und nicht nur dann zu machen, wenn man gerade einen akuten Vorwahl hat. Genau. Ich bin Marin und ich versuche mit der Arbeit zumindest hauptsächlich den Kunden zu helfen, bevor Lisa loslegen muss. Also es geht darum, dass ich Cyber Defense Beratung mache, also Beratung in der Verteidigung. Wie können sich die Unternehmen besser aufstellen gegen Angriffe? Das heißt, ich mache auf der einen Seite, mache ich Erwärmungsveranstaltungen, inklusive Live Hacking, um einfach mal zu zeigen, wie geht denn der Angreifer vor? Was macht der Angreifer so und wogegen muss ich mich überhaupt schützen? Weil wir hatten es ja gerade von Ransomware. Von Ransomware ist also das große Busword, aber es gibt halt noch viel, viel mehr Angriffe und Angriffsmöglichkeiten. Und genau da schaue ich mir einfach die Umgebungen an von den Kunden und schaue, okay, haben sie beispielsweise den Backup, falls sie das Backup haben, wie haben sie das Backup eingerichtet? Gibt es da noch was zu verbessern? Wie ist das Netzwerk aufgebaut? Also so die ganz unterschiedlichen Aspekte, die man hat, schaue ich mir an. Und dann mache ich auch noch Beratungen in den Bereichen SIEM und SOB. SIEM steht für Security Information and Event Management und ist quasi so das zentrale Lockmanagement. Also es geht darum, wenn man so als Ananomie ein Haus nimmt, dass ich sage, ich habe überall in meinem Haus Überwachung, also Überwachungskameras und Security Operations Center, das Thema SOC. Da geht es darum, dass jemand auch da sitzt und sich weiß, wie antut, was passiert auf den Überwachungskameras. Und auf die IT-Video übertragen geht es darum, ich sammel die Locks zentral an einer Stelle und in diesem Security Operations Center, das ist dann der Raum, wo dann die ganzen Leute sitzen mit dem blinkenden Bildschirm, wenn man das so im Film sieht. Und die prüfen quasi anhand der Lockdaten, die da sind, habe ich dann einen Angriff. Und da geht es natürlich darum, ich muss das erkennen können und dafür muss ich mir die richtigen Alarmes setzen im System. Und so was setze ich auch um für unsere Kunden. Und es ist ganz spannend, weil als Dienstleister hat man natürlich immer ganz viele unterschiedliche Kunden, unterschiedliche Netze. Das macht auf jeden Fall super viel Spaß. Ja, spannend. Ich finde, ich fand dieses Bild mit den blinkenden Monitoren ganz toll, weil das ja voll so ein Klischeebild entspricht. Ich hatte auch, als ich, bevor ich angefangen hatte, in dem Bereich zu arbeiten, tatsächlich hauptsächlich diese Vorstellung, also eigentlich war IT Security für mich Pen Testing. Und das waren so diese, diese Menschen, die so im Hoodie vor dem Rechner sitzen, weil das ist so das Bild von diesem Hacker, was man immer hat. Ich hatte wirklich nicht eine gute Vorstellung davon, was, also wie groß die Bandbreite ist von dem, was wir machen. Und aber auch davon, was es im Alltag heißt. Vielleicht könnt ihr was darüber erzählen, ob es Punkte gibt an eurer Arbeit, die euch überrascht haben oder die nicht so waren, wie ihr euch vorgestellt habt, dass diese Arbeit im Alltag dann wirklich ist. Also, da vielleicht einzuhagen, bei dem was du gesagt hast, ich komme ursprünglich aus dem Penetration Testing, also aus dem legalen Hacking, auch ein bisschen das, was Lena eben macht. Und zwar ging es eben darum, einfach Schwachstellen zu finden in Web-Applikationen, in Unternehmensnetzen. Und für mich war durch mein IT-Sicherheitsstudium war das auch so, okay, was mache ich danach? Ich gehe Richtung Pen Testing. Und als ich dann dreieinhalb, vier Jahre gepenntestet hatte, habe ich gesagt, ich würde mir gerne mal die andere Seite anschauen. Und das war für mich total überraschend, weil ich dachte mir, okay, auf der anderen Seite habe ich dann dieses Security Operations Center und das war es. Aber jetzt auch dadurch, dass ich euch alle kennen gelernt habe und durch das, was ich mache, es gibt so viel mehr von eben Compliance, von Krypto über Fireballing, Incident Response, genau wie, wie gehe ich damit um, wenn, wenn ich einen Vorfall habe? Das fand ich total überrascht und dass es so vielfältig ist. Genau und also es ist für mich auch besonders wichtig, eben, dass ich auch immer wieder auf unterschiedliche Ressourcen zugreifen kann, weil es halt auch zumindest in kleineren Unternehmen eher unwahrscheinlich ist, dass das ganze Spektrum wirklich abgebildet werden kann, an den Dingen, die für die Absicherung wirklich notwendig sind und vielleicht ein, ein Aspekt, der mich vielleicht, ich will nicht sagen, unbedingt überrascht hat, aber der mich immer wieder fasziniert ist, tatsächlich die Tatsache, wie so ein Sicherheitsmanagement reift, dass es halt erst mal wirklich darum geht, wirklich alles so gut es geht, abzugreifen, zu erfassen, zu sehen, was muss ich eigentlich absichern? Aber ich glaube, das ist zumindest für die meisten Firmen so die Einstiegshürde erst mal rauszustellen, was ist überhaupt los, was, was ist eigentlich mein Unternehmen, was sind meine wertvollen Assets oder Werte überhaupt, die ich verwalten muss und dann halt tatsächlich über die Jahre immer weiter zu gucken. Okay, jetzt lade ich zum Beispiel Marin ein, um zu gucken, wie kann ich ein Sieben aufbauen? Was kann mir Firma XY anbieten, um dann tatsächlich auch den Reifegrad entsprechend anzupassen? Weil es halt nicht so ist, wie ich glaube, viele sich das zu Anfang vorstellen. Man hat eine Firma und dann ist alles irgendwie entweder sicher oder nicht sicher, sondern es wächst halt tatsächlich mit der Zeit und es ist etwas, was sich wirklich ständig entwickelt, unabhängig davon, dass sich natürlich die Angriffe auch immer weiterentwickeln, aber eben auch tatsächlich die Sicherheit weiterentwickelt und jedes Unternehmen für sich selbst auch feststellt, okay, was muss ich wie sichern, was ist für mich wichtig? Das finde ich eigentlich einen sehr schönen Aspekt, das dann auch mitzubegleiten. Hast du dir, hättest du dir, ist der Aufwand, von dem du damals dachtest, was du quasi vor dir hast, hat das gepasst oder? Gar nicht, absolut gar nicht. Wir sind tatsächlich relativ klein eingestiegen, so dass eben parallel auch noch zum Beispiel ein Projektbegleitung oder sowas möglich war und mittlerweile würde ich sagen, kriege ich eher das Schmunzeln, wenn Headhunter irgendwie sagen, das ist in einer 32 Stunden Woche möglich, weil natürlich kann man einzelne Bereiche so abdecken, aber gerade so in meiner Position ist es eigentlich nicht möglich, dann irgendwann einfach den Laptop zuzumachen und schlafen zu gehen, weil es einfach ständig Dinge gibt, die tatsächlich gemacht werden müssen. Plus, was in den Jahren auch noch dazugekommen ist, sind behördliche Anforderungen. Die auch ständig mit begleitet werden müssen. Ich glaube, das habe ich zu Anfang nicht erwähnt, aber ist eigentlich Kern meiner Arbeit, die Begleitung bei Audits. Was ist ein Audit? Kannst du dazu was sagen? Wer macht da ein Audit und wozu? Also das Audit in unserem Fall ist es notwendig, um das Zertifikat für die ISO 2700 ein weiterhin zu erhalten. Das Zertifikat muss, wenn man es einmal erreicht hat, alle drei Jahre erneuert werden und jedes Jahr gibt es auch ein Überwachungsaudit. Das heißt, es ist immer ein drei Jahreszyklus und dann kommt ein Auditoren zum Beispiel ins Haus und prüft eben, dass das System, was aufgebaut wurde, dann auch tatsächlich gelebt wird. Was ich auch noch wahnsinnig spannend fand, war nach meinem Berufseinstieg, dass ich so das, also wie viel Teamarbeit tatsächlich erforderlich ist oder wie profitabel das ist, im Team zu arbeiten. Ich hatte sehr das Bild von so einer Einzelperson, die so ganz tief in irgendeinem Thema drin steckt und die totale Obercheckerin ist, um dort arbeiten können zu müssen. Und was ich gelernt habe, ist, dass es natürlich diese Obercheckerinnen und Oberchecker braucht. Aber dass es eben auch Leute braucht, die so eine Breite haben, also die verschiedene Themen denken können und sozusagen zu Fragen beantworten können, wenn ich diese Komponente habe, die macht ungefähr das und diese Komponente, die macht ungefähr das und die sind in der Umgebung, die ist ungefähr so abgesichert, welche, sozusagen, Fragestellungen entstehen denn aus dem Zusammenwirken. Also wo es notwendig ist, irgendwie einerseits unterschiedliche technische Fragen zusammenzudenken, aber auch dann so Sachen zusammenzudenken, wie ist denn diese Organisation aufgestellt? Also was können die mit den personellen Ressourcen, die sie haben, überhaupt leisten und das ist dann sinnvoll zu priorisieren. Also so, wie sehr eigentlich auch in diesem Bereich sowohl tiefe als auch breite gefragt ist und dass das sozusagen wie gefragt breite ist, war mir überhaupt nicht klar, als ich eingestiegen bin. Da kann ich vielleicht ganz gut ergänzen. Das passt im Incident Response Bereich, glaube ich, noch mal mehr als im Alltag, weil bei so einem Sicherheitsvorfall, gerade wenn man wieder in Richtung Aufbau der Infrastruktur geht, muss man ja teilweise Entscheidungen treffen, wo man sonst weiß ich nicht, ganze Konzepte für schreibt, irgendwie Monate, Zeit hat sich Gedanken darüber zu machen, wie baue ich das denn jetzt möglichst sicher auf. Und gerade wenn wir uns im Bereich der kritischen Infrastrukturen oder irgendwelcher Dienstleistungen bewegen, die irgendwie schnell wieder abracht werden müssen oder sowas, das ist ja auch relativ wichtig, dass man zumindest ein Notbetrieb relativ schnell wieder aufbauen kann. Und gerade da ist es wichtig, dieses übergeordnete Wissen zu haben, so wenn ich das mache, was passiert an und wie kann, wie beeinflusst diese technologische Komponente, das und das weiß ich nicht, Netzwerk oder was auch immer. Und da ist es natürlich super wichtig, diesen Überblick darüber zu haben. Gleichzeitig ist es aber für so ein Team, was Lena jetzt gerade gesagt hat, auch super wichtig, dass man trotzdem diesen Forensecker hat, der sich so tief in die Technik eingraben kann und versteht, was da eigentlich passiert. Gleichzeitig ist es aber auch wieder wichtig, dass man jemanden hat, der die Sprache des Management spricht. Weil gerade im Bereich von so einem Sicherheitsvorfall da entstehen natürlich auch teilweise enorme Summen, Entscheidungen müssen von einer Geschäftsführung getroffen werden oder von einer Organisationsleitung. Und dementsprechend ist es da auch wichtig, diese Sprache zu sprechen und quasi wie so eine Dolmetscherfunktion einzunehmen. Genau. Was du gesagt hast, ich finde das auch total spannend, dass einfach jeder Kunde ist anders, jedes Netzwerk ist anders. Und dann, wenn dann die Frage kommt, können wir das jetzt abschalten? Dann eben zu wissen, okay, was hängt denn alles dran? Weil ja, man kann es abschalten, aber wenn dann die Kunde wird sich doch in dem Netz hängen und dann weiß. Genau. Und da ist, finde ich, extrem wichtig, diese ganze Vorarbeit, die passiert ist. Also, wie gut ist das Unternehmen aufgestellt, um zu wissen, was haben wir überhaupt? Was kann abgeschaltet werden, was nicht? Was sind wirklich die wichtigen Sachen? Ich sage mal, dass man in dem Moment nicht anfängt über Prioritäten zu diskutieren, weil das dann ein bisschen zu hektisch werden könnte. Aber ich finde diesen Bereich haben wir ständig in der IT-Sicherheit so Dinge abzuwägen, was ist wichtig, was ist nicht wichtig, was ist wofür ausreichend vielleicht. Dass es wirklich sehr, sehr wichtig ist, dass es auch Menschen mit spezifischen Fachkenntnissen gibt, die sich genau darauf konzentrieren können. Also, wenn ich jetzt überlegen müsste, ob jetzt ich werfe jetzt mal begriffreien Elliptic Curves irgendwie dann notwendig sind für Datensatz XY oder nicht, denn bin ich einfach zum Beispiel auf Karo angewiesen, dass diese Arbeit eben nicht von mir als allgemein Teil gemacht werden muss, dass ich mich dann noch mit den ganz spezifischen Methoden auseinandersetzen muss, sondern tatsächlich dann sagen kann, ja, Karo reicht das aus oder kann ich einfach Base 64 machen? Ich glaube Base 64 ist ja meistens keine gute Idee. Also, zumindest wenn es um Kryptografie geht, aber da natürlich dann irgendwie auch so ein großer Teil wie ich persönlich meine Arbeit verstehe, dann müsste ich jetzt kurz einsteigen, was Base 64 und was Elliptische Curves sind, also keine richtige Verschlüsselung sozusagen. Genau, Elliptische Curves sind quasi ein Verfahren, das heutzutage in der asymmetrischen Kryptografie angesetzt wird, also wo es dann einen öffentlichen Schlüssel, den ich an alle geben kann, gibt und einen privaten Schlüssel gibt, den ich für mich privat halte und damit wird dann ein Schlüssel ausgehandelt und mit dem kann ich dann die eigentlichen Daten verschlüsseln. Das ist jetzt was bei den ZuschauerInnen im Browser basiert, die haben gerade alle so ein Algorithmus am Laufen, wo einfach Schlüssel ausgetauscht werden, dass die eigentlich Verschlüsselung gemacht wird und Base 64 ist halt ein Kodierungsealgorithmus und Elliptische Curves sind halt Kryptografie und also Kodieren reicht nicht aus, aber wenn ich es kodieren kann, kann ich es auch einfach kodieren. Aber genau diese Sachen zu erklären, was ist das eigentlich, wozu wird es gebraucht, was sind so die modernen Sachen, was sind so nicht die modernen Sachen, ich verstehe da auch so meine Arbeit irgendwie zum gewissen Teil, das Outreach- Arbeit tatsächlich, als Person, die in so einem spezifischen Thema drin ist, weil ich kann ja quasi kein Management haben, was diese Sachen nicht versteht. Also um quasi entscheiden zu können, wo vor allem man überhaupt muss ja quasi dieses Wissen, was ist das eigentlich überhaupt mal ein bisschen bestehen. Und da sehe ich auch so in der modernen Security immer so ein gewissen Gap, weil diese Themen auch so kompliziert werden und es so viele verschiedene Einzelthemen gibt, dass da gar nicht klar ist, was geht eigentlich und ich hatte kürzlich wieder ein Gespräch mit einer Person, die meinte, ja, sie geht ganz viel zu, sie macht Privacy-Preserving-Krypto zum Beispiel und versucht einfach nur Management-Menschen oder also quasi so den Entscheidern, das zu erklären, was es überhaupt geht und wo man eigentlich mit der Sicherheit hin kann, damit die überhaupt auf die Idee kommen, vielleicht machen wir daraus ein Produkt. Weil oft ist es ja auch gar nicht der schlechte Wille, sondern oft ist es ja nämlich auf so eine gewisse Hilflosigkeit, wo dann so das Gefühl entsteht, dass wir ein Security-Thema oder ein Kryptografiethema das ist viel zu groß, damit kann ich nicht umgehen und am Schluss sollten dann eben die da stehen und denken, ja doch, das ist was, was irgendwie auch angehen können und wo wir nicht immer auf völlig verlorenen Posten sind. Man sagt ja immer, man hat was richtig gut verstanden, wenn man es Kindern erklären kann. Ich glaube, wir haben oft das Thema, dass wir in unserem Umfeld Leute haben, die natürlich nichts mit Següüüüüüüüüü ganz schnell reinkommen, dass man nur noch von irgendwelchen Basswirts und Abkürzungen spricht. Aber es ist auch immer ganz nett, sich mal zu überlegen, wie erkläre ich es denn eben jemandem, der einfach keine Ahnung davon hat, was wir machen. Weil es ist ja spannend, was wir alle versuchen, das auch mitzuteilen, wie viel Spaß das macht, was wir tun. Und die Wichtigkeit vor allem auch tatsächlich zu vermitteln, dass es nicht nur darum geht, alles viel komplizierter zu machen und viel umständlicher und so weiter, sondern auch tatsächlich wirklich wirklich wichtig ist auch gerade, wie Lisa sagte, zum Beispiel bei kritischen Infrastrukturen. Und wir sind im Zweifelsfall alle von Inzidenz betroffen, wenn Dinge passieren, weiß ich nicht, jetzt bei der letzten Sicherheitslückelierung, wie zum Beispiel Arztpraxen, die dann die Patientenakte nicht mehr öffnen können, weil das System runtergefahren wird aus Sicherheitsgründen. Das sind wirklich Dinge, die uns im Alltag fehlt, vielleicht diese Wahrnehmung dafür, für die Wichtigkeit, die IT-Sicherheit. Ich finde dieses ganze Wissen, wo wir häufig in der, Karo, Maxi zuerst. Ich wollte auch sagen, eben dann tatsächlich auch, dass dieser Kram eben, das ist auch, also mir ist auch immer ganz wichtig zu vermitteln, weil aufstehen ja Leute eben davon, denken sich, das ist jetzt so ein magisches Ding, so ein quasi magisches Konstrukt. Und wir haben überhaupt nicht die Chance, sichere Systeme zu bauen. Und ich möchte dann eben hin und sagen, doch, das geht, das kriegen wir hin. Es gibt da Techniken und es gibt etablierte Techniken, wie man das hinkriegt und wir schaffen das. Und dieses ganze Wissen, was wir vermitteln können, darüber, was geht und was wichtig ist und so was. Ich finde es spannend zu erfahren von euch, dass ihr das erworben habt. Also wo habt ihr all die Dinge gelernt, die ihr jetzt in eurer Arbeit ständig anwendet und wie seid ihr überhaupt dazu gekommen, jetzt in dieser Position zu sein? Ich glaube, da würde ich gerne mal anfangen, weil es bei mir eigentlicherweise ganz gut passt, apropos Erklärungen. Ich habe meinen Einstieg in die IT-Sicherheit über das Thema Security Awareness vollzogen, will ich mal sagen. Ich habe ursprünglich Kommunikationswissenschaften studiert, wo ja auch hier mit Werbung und Journalismus und so was mit drinsteckt und wollte aber gerne in die IT-Sicherheit kommen. Und habe mir dann überlegt, wie ich das ganze jetzt kombinieren kann und da dementsprechend auch meine Fähigkeiten gut einsetzen kann. Und für mich hat dieses Thema Security Awareness sehr viel mit so einer Art Dolmetscharfunktion, wie ich vorhin schon gesagt habe, zu tun. Sprich, ich erkläre Leuten Dinge und schaue, wie ich das verständlich machen kann und schaffe es vielleicht auch, dass Leute doch mal andere Dinge als 1, 2, 3, 4, 5, als ihr Passwort verwenden und verdeutliche da die Wichtigkeit für. Und das konnte ich durch diesen Kommunikationswissenschaftlichen Hintergrund plus meinem technischen Know-how glaube ich ganz gut vermitteln. Und dieses technische Know-how, das ist was, was ich mir in meiner Freizeit privat angeeignet habe über sämtliche Methodiken, die einem da so einfallen können, irgendwelche Große, irgendwelche YouTube-Videos, irgendwelche Artikel, irgendwelche Write-Ups von irgendwelchen Capture the Flag-Events oder sowas selber in irgendwelchen Events teilgenommen. Mir macht sowas einfach super viel Spaß und habe ich mich irgendwie selbst reingefuchst. Ja, war bei mir auch ähnlich. Ich habe irgendwann in der, also ich hatte habe Schule abgebrochen und dann habe dann quasi, einfach quasi autodidaktisch diese Themen gelernt. Ich habe festgestellt, dass Schule was ist, wo ich so allgemein nicht funktioniere mit. Und so und hatte dann eine Ausbildung. Ich bin offiziell technische Assistentin in Informatik. Ich habe damals aber schon als Programmierer gearbeitet. Das heißt, ich habe mich dann quasi so mal eigenen Assistentin ausbilden lassen. Und das war so der Moment, wo ich gemerkt habe, okay, vielleicht muss ich das einfach machen. Und dann waren tatsächlich, also Open Source Community war für mich persönlich wahnsinnig nützlich. Einfach, weil ich diesen Code anschauen konnte und weil ich mal die Tools runterladen konnte und ich persönlich dann ganz viel durch ausprobieren. Und was für mich heutzutage auch tatsächlich extrem nützlich ist, ist so die Fähigkeit, offene Ressourcen, die da sind, zu benutzen, um dann eben zu lernen. Und in den letzten Jahren war Sky Hub für mich sehr nützlich. Sollte man natürlich im universitären Bereich nicht benutzen, aber wenn man keinen Zugriff auf Papers hat, sollte man Sky Hub eher nicht in Erwägung ziehen. Also bei mir war es so, ich komme eigentlich aus der Frontenentwicklung und habe eher den Weg gefunden, weil ich ein bisschen frustriert über den Zustand der IT-Sicherheit in der Entwicklung war. Weil tatsächlich das Thema IT-Sicherheit nicht unbedingt nur jetzt, sage ich mal, für Lein unbekannt oder vielleicht auch unbequem ist, sondern auch teilweise für die Entwicklungsgemeinschaften. Und dann hat sich das in der Firma, wo ich gearbeitet habe, ergeben, dass ich nicht schnell genug meingesagt habe, quasi, und dadurch den Posten bekommen und mich in der Richtung halt weiterentwickelt habe bzw. habe weiter ausbilden lassen. Und ja, also es ist für mich gefühlt halt auch ein ständiges Weiterbilden. Also ich nehme auch jede Zertifizierung mit, die ich kriegen kann. Ich lerne halt gerne immer weiter dazu. Dinge verändern sich auch. Das heißt, das, was vielleicht vor fünf Jahren wirklich State of the Art war, ist vielleicht heute nicht mehr der Fall. Und da muss ständig geguckt werden, dass halt weitere Bildung dann reinkommt. Und was ich total flauschig fand, ist vor allem die IT Security Community, weil ich mich da eigentlich relativ schnell gut eingefunden habe. Und dann auch mittlerweile im Kontext der Hexen auch relativ zufrieden bin, oder ja, sehr froh, dabei zu sein. Und es ist aber auch tatsächlich so, dass ich auch immer mal wieder von Rekruten in den angesprochen werde, wie schön es doch ist, eine Frau reich zu haben. So selten sind wir tatsächlich nicht. Wir sind einfach nur nicht so laut. Vielleicht muss man das nochmal kurz erwähnen. Es gibt eine ganze Menge von IT-Sicherheitsfrauen, die einen wundervollen Job machen. Dann überdehme ich doch gleich mal von dir. Das kann ich auf jeden Fall unterstreichen. Ich fand den Punkt, was du gesagt hast, gerade mit der einerseits Community, aber auch die Zertifizierung, die es alle gibt, oder auch Weiterbildung, finde ich, ist ein wichtiger Punkt, weil es gibt wirklich für jeden, der Interesse hat. Es gibt einfach so viel. Es gibt auch echt viel, was gratis ist. Auch wenn ich sage, nicht die Zertifizierung an sich, aber einfach Informationsmaterial. Es gibt so viele Seiten, auf denen man auch einfach ein gratis Monat machen kann. Dann kann man in dem Monat so viele Videos durchschauen und sich so viel aneignen. Oder eben auch gratis Seiten, auf denen man sich einfach anschauen kann, okay, wie funktioniert denn Hacking? Und das Ganze einfach nachstellen kann in einem legalen Kontext. Bei mir war es so, ich habe Erstmedienstudie für ein Jahr und habe dann entschieden, da war zwar Informatik dabei, aber eben nur so ein kleiner Teil. Und dann habe ich entschieden, auf Unternehmens- und IT-Sicherheit zu wechseln. Und das war quasi zur einen Hälfte eben die Unternehmenssicherheit mit den Compliance, den ganzen Vorgaben, die es gibt, und die technische Sicherheit. Und habe dann eben danach auch direkt als Pentastorin angefangen, habe aber irgendwann gesagt, ich habe jetzt genug kaputt gemacht. Wie man das dann besser machen kann. Also warum komme ich nach einem Jahr und sehe, der Kunde hat immer noch die gleichen Schwächen. Und das war so für mich die Herausforderung, dass ich gesagt habe, ich würde gerne mal die defensive Seite mir anschauen und eben schauen, wo ist die große Herausforderung. Und das ist was, was ich jetzt auch irgendwie oft versuche bei der Arbeit. Also ich sehe mich immer so als Enabler, weil ich habe teilweise Projekte, die gehen dann nur in ein Tag oder eine Woche. Also ich habe nur einen Tag Workshop mit dem Kunden und ich will quasi die Leute dann dazu enablen, dass sie sagen, ich bin jetzt selber in der Lage zumindest so grob, also habe ich jetzt das Verständnis, wie geht der Angreifer vor und kann jetzt mit den Infos auch für mich selber weiterarbeiten. Das ist mir total wichtig. Und genau, Christina, was du noch gesagt hast, eben zu dem Punkt der Community, das ist super wichtig. Weil wir uns, so wie jetzt hier, haben wir auch regelmäßige Hexen-Calls und es ist total schön, sich auszutrauschen. Man lernt super viel. Ich habe ja tatsächlich Informatik studiert. Tatsächlich aber fast ohne IT Security-Inhalte. Also wir hatten irgendwie einen Komplex-Praktikum Kryptografie und dann hatten wir so etwas, was irgendwie Informatik und Gesellschaft hieß und das so ein bisschen am Rande gestreift hat. Aber das war es eigentlich tatsächlich. Also in meinem Diplom-Studium damals noch hat das eine total untergeordnete Rolle gespielt und ich war auch in diesem Studium am Ende echt ziemlich orientierungslos, was ich machen will. Ich hatte viel theoretische Informatik gemacht und fand es eigentlich sehr cool, mich so im Detail mit irgendwelchen Beweisen für irgendwelche Grammatiken über Baumstrukturen oder sowas zu befassen. Und war aber am Ende vom Studium da, wo ich dachte, das ist halt super Grundlagenforschung, ob das jemals irgendeinen Nutzen hat, so wie das da betrieben wurde und wann, also in welcher fernen Zukunft. Carol, kommst du ein bisschen. Und ich glaube, es gibt ja Sachen, die sind much more close to application. Also die sind viel näher daran verwertet zu werden. Das, was damals an dem Lehrstuhl war, war so theoretisch. Und genau, da war ich irgendwie, da hatte ich dann kein Bock mehr darauf weiter zu machen, Softwareentwicklung wollte ich nicht machen. Das war wirklich so ein bisschen ein Ausmaßverfahren. Softwareentwicklung wollte ich nicht machen, weil ich irgendwie lange Projekte immer die Krise kriege, wenn man über so einen langen Zeitraum irgendwas bauen muss. Und dann funktioniert das nicht richtig und dann braucht man noch eine iteration, damit der Kunde doch noch was anderes. Und da hatte ich irgendwie nicht das Gefühl, dass ich dafür die Puse habe. Ich hatte viel mit Kommunikation zu tun, wo ich auch selbstständig war, wo ich irgendwie mein eigenes Team machen konnte. Und hab danach überlegt, ich würde jetzt doch gern wieder was Richtung IT machen. Und hab fast wie so eine Anforderungsanalyse gemacht. Ich hab mir wirklich überlegt, was muss dieser Job beinhalten, damit der für mich funktionieren kann. Also welche Themen finde ich spannend, aber auch was funktioniert denn für mich? Also zum Beispiel funktionieren offenbar kurze Projekte für mich viel besser als lange Projekte. Ich analysiere viel lieber Sachen, die schon da sind und hab dann da eine Meinung dazu, die ich vermitle, als etwas zu bauen über einen langen Zeitraum. Das ist einfach eine Art und Weise zu denken, die mir viel mehr liegt. Und ich möchte irgendwas machen, was ich als sinnvoll empfinde und wo ich nicht denke, ich bastle jetzt an irgendeinem Produkt rum. Also ich mein, man kann auch an total tollen und sinnvollen Produkten basteln, aber ich hatte auf jeden Fall irgendwie so, dass ich dachte, ich möchte, dass es irgendwie was bringt und das finde ich bei IT Security auf jeden Fall. Also selbst wenn sozusagen nicht jeder Kunde, den ich bediene, immer ein Produkt hat, hinter dem ich voll stehe, stehe ich auf jeden Fall voll dahinter, dass weniger von den dort verarbeiteten Nutzerdaten irgendwie in einem League in der Öffentlichkeit gelangen, zum Beispiel. Und das waren für mich echt Gründe, mit das zu überlegen und dann habe ich halt gedacht, okay, also ich kannte damals hauptsächlich Pentesting und dachte, da könnte ich mich hinbewegen, das passt so dazu. Und dann habe ich mich auch tatsächlich und das war halt nicht spezifisch. Und dann habe ich wirklich angefangen, genauso wie Lisa das zum Beispiel erzählt hat, irgendwelche freien Ressourcen im Netz zu benutzen, um Sachen auszuprobieren und mich reinzudenken. Und was für mich spannend war, war, dass ich dann, also ich habe das ungefähr 2 Jahre lang gemacht, dieses Michreinden und Einarbeiten, bis ich dachte, dass ich jetzt bereit bin, mich mal irgendwo zu bewerben, weil ich jetzt genug vorzuweisen habe. Und rückblickend denke ich, ich hätte das viel früher machen können. Also wenn ich mir angucke, dann hätte ich auch noch ein paar Tage daran zu sein, weil ich so lang zwischendurch was anderes gemacht hatte und einfach noch keine Berufserfahrung in dem Bereich hatte. Und wenn ich mir jetzt aber denke, weiß ich nicht, eigentlich reicht ein Grundlagenverständnis und dass man demonstrieren kann, dass man sich eigenständig in Themen reinarbeiten kann und dass man das auch gemacht hat. Also dass man das irgendwie für sich organisiert bekommt. Da hätte ich viel früher mutig sein können damals. Genau, also das ist auf jeden Fall etwas, was ich jeder Person einfach nur raten kann. Wenn sich euch eine Chance bietet, nehmt sie auf jeden Fall, wir müssen ständig an diesen Aufgaben wachsen. Es gibt, glaube ich, in diesem Bereich nie wirklich dieses Ding, okay, jetzt habe ich fertig, jetzt weiß ich alles. Das wäre auch relativ gefährlich, tatsächlich so ran zu gehen, sondern sobald sich so eine Chance bietet, in den Bereich zu gehen und zu fragen, in eine Schicksalposition zu gehen. Es wird ständig gelernt und für mich so gefühlt ist auch jede Herausforderung, die dann auch gemeistert wird, hat auch was mit einer inneren Reife irgendwie zu tun, dass es einem immer weiter Sicherheit auch tatsächlich gibt, auch noch weitere Dinge tatsächlich anzugehen. Und es gibt einfach auch so viele Wege und Möglichkeiten, Dinge abzusichern, dass es auch gar nicht darum geht, dass alle das Gleiche machen, sondern tatsächlich rauszufinden, was funktioniert für uns. Das ist, glaube ich, der wichtigste Teil, weil es muss halt für die Firma, für die einzelne Abteilung, für das einzelne Produkt funktionieren. Ich glaube, was auch ganz wichtig ist, ist der Spaß am Gerät, also dass man Lust drauf hat, neue Dinge zu lernen, sich selbst weiterzuentwickeln. Bei mir ist es zum Beispiel in manchen Situationen so, dass ich je mehr ich weiß, auch umso mehr merke, was ich nicht weiß. Es ist aber auch spannend, weil man dadurch immer wieder neue Themenfelder entdeckt, in die man sich einarbeiten kann, neue Dinge, die man lernen kann. Und gleichzeitig ist es ja auch trotzdem so, dass man zurückgreifen kann, immer größer und immer vielfältiger wird. Und ich glaube halt, diese Lust, sich in neue Themen reinzufuchsen, die ist unheimlich wichtig und die macht, glaube ich, auch den Großteil meines Spaßes an der Arbeit eigentlich aus. Gibt es vielleicht sozusagen, wenn wir langsam Richtung Ende der Runde steuern, noch irgendwelche Dinge, die ihr unbedingt loswerden wollt, also was ihr Leuten mit auf den Weg geben wollt, was ihr vielleicht besonders gern mag, was ich Platz gehabt hatte, gesagt zu werden bis hierher? Ich weiß nicht, vielleicht können wir so rei umgehen, damit das alle abgefangen haben. Ich würde gerne damit einsteigen, dass es in der IT-Sicherheit am Ende um Menschen geht. Also ja, Maschinen werden abgesichert und so weiter, aber das machen wir nicht nur, weil wir die Maschinen so sehr lieben, sondern weil Menschen geschützt werden sollen. Und das zum einen und zum anderen, dass auch tatsächlich mit Menschen kommuniziert werden muss. Und ich denke auch hoffentlich so ein bisschen in die Richtung zu gehen, dass es mit in den Alltag gehört, diese sogenannte Datensouveränität auch tatsächlich leben zu können. Das dafür aber auch die Verantwortung der jeweiligen Hersteller notwendig ist, wenn wir Daten anvertrauen, wenn wir uns auf Dienste verlassen möchten, dass auch diese entsprechende Sorgfalt tatsächlich getan wurde. Und eines der Dinge, die ich mir wünschen würde, die weniger passieren sind, wundervolle Ideen, die leider dank unsicherer IT unnutzbar werden. Ich finde, das sind total guten Punkte, den du genannt hast, Christina. Und ich würde hinzufügen, dass ich aber persönlich so einen sehr nicht standardmäßigen Weg gewählte, so über einfach so, ich lerne das jetzt selber und ohne Studium in einer Weise, außer natürlich im Selbststudium oder im autodidaktischen Studium und ich möchte einfach sagen, dass es letztlich, auch wenn, also ich glaube, wir haben ja auch bei vielen Leuten hier gehört, dass es eben dann doch auch so dieses selbst lernen, sich selbst bilden, eine große Rolle spielt. Und ich glaube einfach, ich würde gerne Leute ermutigen, da auch so ein bisschen die Selbstermächtigung zu wagen und zu sagen, wenn ihr sagt, das ist ein Thema, das interessiert euch und da wollt ihr irgendwie rein. Dann sucht euch die Ressourcen im Internet und wenn ihr eine Einladung braucht, die ich immer gebraucht habe, ich habe immer gebraucht, irgendjemand muss mich dann einladen. Ja, hier komme ich dazu und dann bin ich dazugekommen und dann habe ich gemerkt, oh, da passe ich ja irgendwie rein. Das funktioniert ja irgendwie für mich. Und wenn ihr eine Einladung braucht, um quasi mit IT Security anzufangen, dass ihr euch da irgendwie auch berechtigt fühlt, das zu machen. Hier ist eure Einladung. Ich lade euch alle ein, da jetzt teilzunehmen und das einfach zu machen. Sucht euch die Ressourcen zusammen. Lest Code im Internet. Macht das einfach mal und schaut, wie weit ihr damit kommt. Weil es gibt die Leute, mit denen man sich dann am Schluss verbünden kann und mit denen man dann gute Projekte zusammen machen kann. Es dauert vielleicht eine Weile, aber so ein bisschen Grid zu haben, so ein bisschen dabei zu bleiben lohnt sich manchmal. Dazu passt quasi auch meinen Punkt mit der Kommunikation. Also der Austausch ist total wichtig. Also es ist wichtig, ganz, ganz viel sich einzulesen und alles zu nutzen, was man an Ressourcen hat. Aber dass man sich eben auch gut austauscht. Also ich habe jetzt noch von allen meinen bisherigen Arbeitgebern immer eine Gruppe an Leuten, die ich mitgenommen habe, mit denen ich mich regelmäßig treffe. Oder mit dem letzten Arbeitgeber haben wir einmal die Woche ein Telefonat, dass wir wirklich sagen, wir telefonieren uns zusammen. Und wenn man sich einfach austauscht, dann kommt man auch so aus seinem eigenen Denken raus. Weil man selber hat ja dann irgendwann irgendetwas und dann ist es gut, wenn man jemand kommt und sagt, ja, aber hast du schon ein folgendes gedacht? Und es erweitert einfach so den Horizont. Und wenn man noch nicht so viele Leute kennt, weil man eben noch nicht so tief im Bereich drin ist, dann kann man eben einfach schauen, was gibt es? Also im Chaos Computer Club in der eigenen Stadt oder gibt es generell einfach irgendwo Meetups, zum Beispiel im Security-Bereich oder generell Meetups im IT-Bereich, der OWASP-Stammtisch, den es auch gibt. Also es gibt ganz viel, was da angeboten wird und da einfach seine Leute zu finden, das würde ich euch mitgeben. Also schaut einfach. Oder eine Hexenkruppe in der eigenen Stadt. Genau. Oder die Hexenkruppe direkt. Ich glaube, mein Punkt reiht sich eigentlich nachlos ein in die ganzen Sachen. Und es ist bloß eine kleine Ergänzung. Ich würde empfehlen, keine Scheuze haben, Fragen zu stellen. Ich empfinde diese gesamte Community als wahnsinnig offen für Fragen. Da würde kaum jemand mal sagen, nein, ich habe da gerade keine Lust zu. Vielleicht mal gibt mir mal einen Tag und dann antworte ich dir oder so was. Ansonsten wird man, glaube ich, immer überall eine Antwort bekommen. Und dass es irgendwie für jeden so eine kleine Nische gibt. Wie wir schon zu Anfang gesagt haben, gibt es halt so viele unterschiedliche Berufe, so viele unterschiedliche Themen, Schwerpunkte. Und ich glaube, da kann sich jeder oder jede so eine kleine Nische suchen, wo er oder sie sich wohlfühlt. Ich würde auch den Bereich Community nochmal totale unterstreichen in diesen vielen Ressourcen, wie man alle nutzen kann, das sind so viele. Das ist ganz schön schwierig, sich zu orientieren. Und für mich war es hilfreich, irgendwann Leute zu finden, die mir gesagt haben, ja, ich mache das damit, weil das funktioniert für mich am besten. Und dann habe ich einen Ansatzpunkt, dann starte ich da mal. Das war wahnsinnig hilfreich, auch Ausdauer zu haben beim Finden von Communities. Ich habe bestimmt eine ganze Reihe von Meetups und Veranstaltungen durchprobiert, wo ich auch das Gefühl hatte manchmal, da passe ich nicht so rein oder das macht mir einfach nicht so viel Spaß. Also nicht, dass ich jetzt komisch behandelt worden bin, irgendwie sind wir nicht so auf der gleichen Wellenlinie oder so. Und es hat sich aber total gelohnt, weiter zu suchen und zu gucken. Und vielleicht als allerletzten Punkt noch, dass im Moment in diesem Bereich alle, wirklich jede einzelne Firma, die was damit zu tun hat, händeringend nach Leuten sucht, die arbeiten. Also wenn man in diesen Bereich rein möchte, dann ist es eine super gute Chance, das zu machen. Der Vorteil davon, wenn man dann da schon mal angestellt ist, dass die einem auch diese Kurse bezahlen. Also man kann ja total viel in seiner Freizeit und alleine machen. Und es ist super, aber das hängt auch davon ab, wie viel man Freizeit hat. Also manchmal hat man noch anderes zu tun, was weiß ich, Kinder zu betreuen, andere Verpflichtungen im Leben und kann nicht tonnenweise seine Zeit da reinkippen, sozusagen freie Tutorials im Netz zu bearbeiten. Und ich denke, man muss irgendwie eine gewisse Vorleistung haben, um was zeigen zu können, um sagen zu können, hey, es lohnt sich. Und ich habe schon demonstriert, dass ich mich da reinfucse. Aber eine ganze Menge kann man auch einfach im Learning-By-Due lernen und durch Kurse, die eigentlich wirklich viele Leute in diesen, also viele Firmen, die in diesem Bereich tätig sind, den Angestellten auch ermöglichen. Genau. Also ja, macht. Einige Zertifizierungen sind zwar furchtbar teuer, aber ich würde auf jeden Fall alle, die Spaß an diesen Themen haben und denen diese Themen wichtig sind und die auch gerne lernen, wie Dinge funktionieren, wie man sie kaputt machen kann, wie man sie am besten so festigt, dass sie nicht so schnell kaputt gehen, tatsächlich auch auf ArbeitgeberInnen zuzugehen, zu sagen, das ist das, was ich bringe, das ist das, wo ich hin möchte. Und ich glaube, dass da sehr viel Potenzial tatsächlich dann auch sich entwickeln kann. Was ein schönes Abschlusswort, oder? Dann sage ich euch allen total Danke dafür, dass ihr hier in der Runde dabei wart. Es hat total Spaß gemacht. Es hat auch Spaß gemacht, euch dadurch noch mal ein bisschen besser kennenzulernen. Ich hoffe, es hat für die Menschen, die zugehört haben, irgendwie ein Mehrwert und ein Input gebracht. Und ich denke, die meisten von uns werden auch in der Diskussion noch da sein. Das heißt, wenn Fragen offen geblieben sind, auf die ihr ganz dringlich noch eine Antwort haben wollt oder wenn ihr zu irgendeinem von den Themen, die eingeworfen haben, noch ein bisschen diskutieren wollt, wenn wir dann tatsächlich noch zur Verfügung stehen. Jetzt sind wir nachher. Genau. Vielen Dank auch von meiner Seite. Ja, vielen Dank. Wow. Also das war ein spannender Einblick. Ich wünschte, ich hätte das vielleicht schon ein paar Jahre früher gesehen, so ein Tor gehabt. Dann wäre mein Werdegang vielleicht auch ein bisschen anders gewesen. Aber ihr habt jetzt die Chance. Ihr könnt Fragen stellen. Also, Raum, den seht ihr da unten. Und es gibt den QR-Code, aber ich lese den Raum jetzt noch mal vor. Also, keine Stress. Die Adresse ist www.https.doppel.doppel.slash www.events.hexen.org www.slashawesome www.adder.html www.adder.html Ich freu mich auf euch und ich denke, die Profis auch. Bis gleich.