Consulting

Warning
This article was last updated on 2018-10-20, the content may be out of date.

Habe selbst nicht bei den Big4 gearbeitet, finde das aber auch nicht erstrebenswert. Hatte allerdings häufiger Kontakt in Projekten und mache selbst seit über zehn Jahren IT-Consulting, früher bei einem großen Konzern als Integrator und Value Added Reseller, jetzt Professional Services direkt bei einem Hersteller von Appliances.

Big4 IT-Projekte sind - aus meiner Sicht - zu 90% Papierkram und Theorie. Ich habe nichts gegen theoretische Ausarbeitungen, ganz im Gegenteil, aber das ist vor allem Papierkram, der direkt für den Mülleimer produziert und maximal einmal gelesen wird. Das ist häufig Aktionismus (“Wir hatten letztes Jahr Ausfälle und Vertragsstrafen, da muss jetzt was passieren”), dann wird ein “Design” fabriziert, das keines ist, sondern allenfalls Common Sense und Altbekanntes ohne konkreten Praxisbezug und dem Betrieb in der Form kein Bisschen hilft und am Ende dürfen die Tech Consultants von Firmen wie Computacenter, Dimension Data, Controlware, HPE, kleineren Buden, etc. das Ding technisch neu aufrollen und schaukeln. Die sind in der Regel aber auch nur Durchschnitt und etwas über Durchschnitt bezahlt und haben dann ein paar Leute intern als Subject Matter Experts mit etwas mehr Ahnung je Themengebiet, aber wenig wirklich herausragende Generalisten.

Am meisten Professionalität habe ich bisher immer direkt bei Herstellern und bei ein paar kleineren, spezialisierten Consultingfirmen erlebt. Du hast natürlich viel Druck und eine immense Erwartungshaltung, denn du kannst dich nicht mit “ist ein Problem des Herstellers, mach ein Ticket auf” herausreden, aber dafür auch viel höhere Tagessätze, mehr Einfluss und vor allem spannendere, intensivere Projekte.

Gerade im Security Bereich musst du meiner Meinung nach deutlich zwischen Infosec und praktischem Pentesting differenzieren. Infosec ist weitgehend Papierkram und ständiges Wedeln mit dem erhobenen Zeigefinger. Viele verbreiten da massiv FUD, um Kunden an sich zu binden und die Praxisvorschläge sind selten rational und sinnvoll. Finde ich moralisch ein schwieriges Feld. Generell hat der Security Bereich das Problem, dass du so gut wie nur Lösungen ver- oder behinderst und selten konstruktiv zu einer besseren Welt beiträgst. Das kann mittelfristig aufs Ego schlagen. Ich finde es ja sehr viel belohnender, konstruktiv etwas Neues zu schaffen oder besser zu machen, als immer nur vor theoretischen, abstrakten Gefahren zu warnen und dann auch noch selbst irrational übertreiben zu müssen, damit man mich überhaupt ernst nimmt.

Was ich persönlich auch auf jeden Fall vermeiden würde, ist glorifiziertes Bodyleasing bei dem du dann als Contractor fulltime beim Kunden sitzt und effektiv Ticketarbeit machst. Abgesehen von der rechtlichen Arbeitnehmerüberlassungsproblematik kombiniert man damit die Nachteile des Consulting mit den Nachteilen eines Betriebsjobs, ohne irgendwelche Vorteile (außer etwas mehr Gehalt, aber das ist es imho nicht wert). Du solltest schon ein Projekt haben, also einen klar definierten Scope und ein zielabhängiges Ende. Dann gewinnst du auch Autarkie und Eigenverantwortung, deine eigene Zeit gemäß der Zielerreichung zu managen, was ich sehr erfüllend finde.

Travel muss man halt mögen. Ich hab Monate mit 100% Travel und welche ohne. Im Jahresschnitt sind es mittlerweile vielleicht 30-40% - Remote Arbeit ist auf jeden Fall erheblich akzeptierter geworden als noch vor wenigen Jahren. Ich finde kurze Projekte großartig, weil es dann Neues zu entdecken gibt und das Reisen keine Belastung, sondern eine Bereicherung darstellt. Ein Kunde aus Marseille wollte mal unbedingt, dass ich für 4h am Sonntag Morgen onsite bin, um einen Change zu begleiten. Also bin ich Samstag früh nach Marseille geflogen, hatte einen wundervollen Tag in der Stadt, hab mir zwei Museen angesehen, abends drei Drinks in einer Speakeasy Bar getrunken, bin den Berg zur Kathedrale hochgeklettert und hab den Blick auf die Stadt genossen. Am nächsten Morgen drei Buttons gedrückt, keine Probleme gehabt und heim geflogen. Man kann sich also auch seinen Urlaub bezahlen lassen und viel von der Welt sehen, wenn man etwas draus macht. ;-) Monatelang pausenlos beim selben Kunden zu sein, zieht mich hingegen zunehmend herunter.

Die größte Einschränkung ist eben, dass man für die Möglichkeit eines Einsatzes und die Reisebereitschaft sein Sozialleben aufgibt. Allein ob der theoretischen Möglichkeit eines Projektes, kannst du keine regelmäßigen Termine unter der Woche wahrnehmen, selbst wenn du schlussendlich sogar häufig daheim bist, weil du keine festen Verpflichtungen eingehen kannst. Damit fallen fast sämtliche Vereine und Kurse und damit die primäre Möglichkeit neue Leute kennenzulernen raus. Das ist ein echtes Problem und ich suche selbst noch eine Lösung.

Arbeitsbelastung schwankt auch stark. Ich denke das ist einer der wichtigsten Aspekte. Scheitern ist bei 3000-4000€ Tagessatz keine Option. Du musst am Ende abliefern, egal was es dich kostet, dafür wirst du im Gegenzug stark überdurchschnittlich kompensiert. Das heißt dann eben auch Telcos mit Amis in der Nacht und Nach-/Vorarbeiten abends im Hotel. Wenn man mit dem Druck und Zeitmanagement klar kommt, dann gibt es genauso Phasen in den man sich die Zeit größtenteils wieder zurückholen kann und es ruhiger angehen lässt. Im Schnitt arbeite ich wohl irgendwas zwischen 40 und 60 Stunden, Reisezeit allerdings einberechnet, wobei es genauso Wochen mit 20, wie mit 80 gibt. Je mehr Souveränität einkehrt, umso weniger Zeit geht für Vorbereitung und Fortbildung drauf und desto mehr konvergiert die Zeit gen 40h + Travel + Admin.


Dein Argument ist “kann nicht schlechter werden als jetzt”, aber vielleicht könnte es ja noch besser werden? ;-) Ich wollte auch nicht sagen, dass theoretisches Arbeiten schlecht ist, ganz, im Gegenteil. Das Problem der großen Consultingbuden ist, dass sie größtenteils unerfahrene Leute haben, die generische Methoden auf Daten werfen, um die Analyse kosteneffizient über mehrere Projekte mit frischen Uniabsolventen hochskalieren zu können. Da kommen dann eben auch nur generische Daten heraus und es fehlt ein rationales Bewerten, vor allem aber eine konkrete Risikoanalyse und Quantifizierung, da sich das niemand auch nur ansatzweise traut. Allein schon aus Haftbarkeitsgründen, falls man mal danebenliegt.

Am Ende wird dann das Betriebspersonal beauftragt, in Panik hunderte von Systemen zu patchen (am besten mit komplexen Change Management Prozessen und mehreren Tenants je Device - Monatelange Nachtschichten), weil diese verwundbar für die neuste Sicherheitslücke mit eigenem Namen und eigener Domain sind, dabei ist der Angriffsvektor aufgrund von Zugangsprivilegien gerade einmal von drei Personen im Backend ausnutzbar, die mit ihren Privilegien sowieso die gesamte Firma innerhalb von Minuten bankrott machen könnten. Gleichzeitig klaffen eklatante Lücken im Design, die jedem, der sich das wachen Auges ansieht, sofort auffallen würden, aber die eben durchs Raster fallen.

Diese Art von “Sicherheit” schaut immer nur auf offensichtliches und auf Symptome, denn man möchte schnell Resultate präsentieren können und scannt daher grundsätzlich nach der low-hanging fruit. Echte Sicherheitsprobleme erfordern komplexe Architekturänderungen mit wirklichem Technikverständnis. Das traut sich niemand zu und vor allem will es niemand bezahlen. Wäre ich im Betrieb, würde ich jeden Monat einen Report machen, in dem ich das Technical Debt quantifiziere und das Management über das Risiko informiere, das es die Abteilung effektiv zwingt für den Betrieb zu tragen. ;-)

Ich hab die Tage noch einen Bericht von einer der Big4 Firmen von einem meiner Kunden gelesen und kann echt nur den Kopf schütteln. Auch die Ansprechpartner vom Kunden fanden den komplett nutzlos, während mein eigener 80 Seiten Report ihnen tatsächlich weitergeholfen und neue Blickwinkel geöffnet hat, auch wenn die Umsetzung der wirklich wichtigen Punkte wahrscheinlich ebenso aus mangelndem Management Commitment für Übernahme von Verantwortung und Umgestaltung der Betriebsprozesse scheitern wird.

Das mit Pentesting habe ich mir auch schon überlegt. Bestimmt etwas näher dran an der Technik, aber den Weg eines “Techies” wollte ich eigentlich weitgehends vermeiden.

Dann würde ich persönlich ja eher in Richtung Pre-Sales bei Security Firmen schauen. Generalistischer Technikansatz, aber mehr feature- als Implementationsgetrieben, Travel, kein Tagesgeschäft. Außer natürlich du möchtest ins Management, dann solltest du aber einen MBA machen und ins Management Consulting, nicht in den Security Bereich.

Falls du dir auch eine technische Spezialisierung vorstellen kannst, denk mal über Professional Services bei Security Herstellern nach. Die erfordern in der Regel aber bereits ein ausgeprägtes Spezialistenwissen. Da hat man dann aber auch die Möglichkeit wirklich fachlich zu arbeiten und einen tatsächlichen Mehrwert zu liefern.

Ansonsten mach ruhig Infosec, aber sag nicht, es hätte dich niemand gewarnt, wenn du eine Mid-life crisis hast und händeringend etwas Neues suchst und schließlich Jäger oder Bierbrauer wirst (nicht dass das etwas Schlechtes wäre!). ;-)

Da ich sowieso kein wirkliches Vereinsleben habe und mein “engerer Freundeskreis” eigentlich auch nur aus einer Hand voll Leuten besteht, die ich eh meistens über Discord oder Teamspeak “treffe” wäre die Einbusen im Sozialleben denke ich für mich auch nicht allzu groß.

Ging mir vor ein paar Jahren ganz genauso, aber nach ein paar Umzügen kann man sich mitunter doch recht einsam fühlen. Onlinekontakte ersetzen das nicht. Ich würd den Job dafür trotzdem nicht aufgeben, aber es ist definitiv der größte Nachteil.


Der Vorschlag mich nach Presales Stellen umzuschauen ist ein echt guter. Ist ja (afaik) auch nichts anderes als Consultung, aber wie du schon meintest, nicht ganz voll in der Techniktiefe drin.

Ist schon etwas anderes, primär wegen des Bezahlmodells. Consulting ist in der Regel Post-Sale, das Produkt ist bereits verkauft und du wirst für deine Zeit bezahlt. Beim Pre-Sales musst du den Kunden noch zum Produktkauf bringen und wirst aus Provisionen bezahlt. Ansonsten gibt es aber durchaus Überlappungen. Ich finde aber im Pre-Sales sind Soft-Skills noch wichtiger. Das kann auch als junger Mitarbeiter funktionieren, aber wenn man nicht technisch herausragend ist und sich so Akzeptanz und Anerkennung erarbeitet, muss man eben mit Soft-Skills und auf Verkaufsseite besonders punkten. Als Berufseinsteiger fehlt dazu ggf. noch eine gehörige Portion Souveränität. Dafür kann man aber mit Begeisterungsfähigkeit und Enthusiasmus einiges herausholen.

Spezialisieren bedeutet ja nicht unbedingt auf bestimmte Hersteller oder Produkte, sondern eher auf Technologien. Wenn du beispielsweise TLS, HTTP und Webtechnologien im Detail kennst, weißt was CRIME/BEAST/BREACH/HEARTBLEED/POODLE/ROBOT bedeuten und dich noch mit den OWASP Top 10 auseinandersetzt, sollte es dir nicht sonderlich schwer fallen, dich im Web Application Firewall Bereich zu etablieren. - Je breiter (und tiefer) du dich da aufstellst, desto mehr Möglichkeiten hast du.