English (United Kingdom) 
Deutsch 
Franz Altendorfer
Senior Consultant IT Security
"An meinem Job schätze ich vor allem die große Abwechslung durch die unterschiedlichsten Projekte und die familienfreundliche Umgebung."
Franz berichtet über das Berufsbild des Consultants IT Security und seine persönliche Entwicklung vom Informatiker zu einem Berater, der u.a. zur Bekämpfung der Cyberkriminalität beiträgt. Seine berufliche Laufbahn startete Franz Altendorfer mit einer Ausbildung zum Elektroniker für Systeme und Geräte und studierte anschließend Informatik in Rosenheim. Seit zehn Jahren ist er nun schon bei dem familiengeführten Beratungsunternehmen ARCA-Consult GmbH in Pfaffenhofen und hat sich erfolgreich von der Position des Junior Consultant zum Senior Consultant weiterentwickelt.
Was sind deine Schwerpunkte und deine Kernkompetenz als Senior Consultant IT Security?
Meine Schwerpunkte liegen in der Implementierung von IT-Sicherheitslösungen, wie Identity-& Access Managementsystemen oder Enterprise Single Sign On Lösungen. Meine Kernkompetenz ist es, die Integration dieser Systeme mit bestmöglichem Nutzen für den Kunden mit gegebenen Ressourcen zu ermöglichen.
Kannst Du einen kurzen Einblick in deinen Projektalltag geben?
Zu meinen Aufgaben gehören die Implementierung, Anpassung und Weiterentwicklung von IAM-Systemen nach kundenspezifischen Anforderungen. Das ähnelt in etwa der klassischen Softwareentwicklung, ergänzt durch die Besonderheit, dass die Anforderungen je Kunde abweichen und auf die individuellen Unternehmensprozesse angepasst werden müssen.
Sind die Anforderungen definiert, kann die Umsetzung in Form von Softwareanpassung oder Neuimplementierung erfolgen. Möchte der Kunde möglichst die Standard-Prozesse des IAM-Systems verwenden, ist der Aufwand eher organisatorisch, da die Unternehmensprozesse an den Standard der Anwendung angepasst werden müssen. Die grundlegenden Tätigkeiten bleiben unabhängig vom Kunden gleich.
Die IAM-Software wird installiert, konfiguriert und mit den Änderungen getestet. Die Zielsysteme werden an das IAM-System angebunden und die IAM-Prozesse im Unternehmen etabliert. Anschließend wird die Software mit „Leben“ gefüllt, indem die unternehmensspezifischen Daten importiert und aktuell gehalten werden. Es wird ein Soll-Rollenmodell erstellt und importiert. Im Regelbetrieb werden neue Anforderungen verarbeitet, um das IAM-System besser und automatisierter zu betreiben. Die große, variable Komponente ist der Kunde und seine individuellen Anforderungen und Wünsche, die für eine spannende Abwechslung im Projektalltag sorgt.
Mit welchen Tools kommst du in Kontakt und welche beruflichen Auswirkungen hatten diese Kenntnisse für dich?
Bei meiner Tätigkeit als Spezialist für IAM-Systeme komme ich nicht nur mit den durch die Hersteller bereitgestellten Tools in Kontakt, sondern auch mit sämtlichen Tools und Anwendungen rund um die Softwareentwicklung. Die IAM-Systemhersteller verwenden unterschiedlichste Plattformen auf dessen Basis die Software für den Kunden in der Regel angepasst wird. Hierfür werden entweder vom Hersteller mitgelieferten oder die am Markt bekannten IDEs verwendet.
Die größte Auswirkung auf meine Kenntnisse hatte allerdings die Schulung zum Penetration Tester und das Erlernen der hierfür erforderlichen Tools und Methoden. Der Einstieg in das Thema mit den praktischen Vertiefungen ermöglichte es mir, mein technisch separiertes Wissen in einem neuen Kontext zu verknüpfen. Mit dem Wissen, wie Angriffe z.B. in den unterschiedlichen Schichten im OSI-Modell oder den verschiedenen Anwendungskomponenten erfolgen kann, ist es mir bei meiner Tätigkeit möglich, die IT-Sicherheitsaspekte interdisziplinär in Zusammenhang umzusetzen.
Das sorgt nicht nur für mehr Sicherheit bei der Bereitstellung, Konfiguration und Implementierung von Anwendungen, sondern hilft auch in der Regel dem CISO.
Inwieweit wirkt sich das Spektrum der Cybersicherheit auf dein Berufsbild aus? Hat der Beruf des Consultants IT Security die Chance, sich durch die Cybersicherheit zu entwickeln?
Die Angriffe auf die IT werden immer komplexer und umfangreicher, daher ist es notwendig, auch die aktuellen Gegebenheiten der Cybersicherheit in den Projekten zu berücksichtigen. In meinem Tätigkeitsfeld als Consultant geht es um IT-Sicherheitssysteme. Diese werden genutzt, um die IT-Infrastruktur und auch die Mitarbeiter besser zu schützen.
Natürlich beeinflusst das Thema Cybersicherheit die weitere Entwicklung der IT-Berufe. Meines Erachtens sollte diese Erweiterung aber nicht nur als Chance gesehen werden, sondern sogar als ein Muss bei der weiteren Ausrichtung unseres Berufsbildes. Die Anwendungen, die für IT-Sicherheit sorgen, müssen selbst potenziellen Angriffen standhalten. Es wäre kontraproduktiv, wenn die IT-Systeme, die für diese Sicherheit sorgen sollen, korrumpierbar wären.
Welches Beratungspotenzial ergibt sich Deiner Meinung nach daraus?
In erster Linie sind zwar die Hersteller verantwortlich, IT-Systeme so sicher wie möglich zu gestalten. Dennoch können während der Implementierung oder durch Anpassungen der Systeme Schwachstellen entstehen, die von Angreifern ausgenutzt werden können.
Nicht zuletzt spielt auch die Infrastruktur des Kunden eine entscheidende Rolle, um Angriffe zu erkennen und auch abwehren zu können. Dafür ist es allerdings notwendig, die gängigen Angriffszenarien zu kennen und die technischen Hintergründe zu verstehen. Und genau dort sehe ich das Potential als Berater aber auch die spannenden und abwechslungsreichen Herausforderungen in meiner Tätigkeit.
Welche Weiterentwicklung im fachlichen aber auch im persönlichen Bereich konntest du bis jetzt an dir durch deine Arbeit bei ARCA-Consult feststellen?
Fachlich war anfangs durch das Studium Informatik-Einzelwissen vorhanden. Vorstellbar wie viele Inseln, auf denen sich meine Kenntnisse befanden. Durch meine Tätigkeit bei ARCA-Consult konnte ich diese Einzelwissen in einen zusammenhängenden Kontext setzen. Ergänzt habe ich meine Fähigkeiten durch neue, fachliche Themengebiete im Bereich Informations- und IT-Sicherheit sowie Penetration Testing.
