In der Reihe „Karriere(n) in der IT“ stellen wir Ihnen heute Johannes Hubertz vor, ein anerkannter und erfahrener IT-Sicherheitsprofi, der sich zudem ehrenamtlich unter anderem bei der German Unix User Group (GUUG) engagiert.

Herr Hubertz, wie lautet Ihre Jobbezeichnung, und bei welchem Unternehmen arbeiten Sie?

Ich habe stets mehrere: Geschäftsführer, IT-Sicherheitsberater, Systemadministrator, Netzwerker – je nachdem, welche Rolle ich gerade spiele. Seit 2005 bin ich in meiner hubertz-it-consulting GmbH als alleiniger geschäftsführender Gesellschafter tätig, damit stets selbst und ständig. Da ich vorher lange Jahre als Angestellter eines großen europäischen IT-Herstellers als dessen IT-Sicherheitsmanager u.a. für Netzwerk und Verschlüsselungslösungen zuständig war und dies beherrschte, wurde dies zum Inhalt des neuen Unternehmens: Dienstleistungen im Umfeld der IT-Sicherheit.

Wofür sind Sie genau verantwortlich, und vor welchen Aufgaben stehen Sie in der täglichen Arbeit?

Als Geschäftsführer habe ich einige Bälle ständig in der Luft zu halten. Externe Leistungen benötige ich im Bereich Buchhaltung und Steuerangelegenheiten, alles andere versuche ich, selbst zu bewältigen. Meine Rechnungen erstelle ich beispielsweise mit dem freien Textsatzsystem LaTeX. Die verwendete Technik (fast ausschließlich Linux, meine Experimente mit OpenBSD dauern noch an) ist dabei das geringste Problem, das funktioniert ja alles elektrisch. Für mich als langjährig erprobten Unix-Administrator sind die anderen Aspekte meines Unternehmens, wie z.B. Akquise, Marketing, Kundenbindung und Außendarstellung deutlich schwieriger zu bewältigen.

Im Laufe der letzten Jahre veröffentlichte ich einige Fachartikel, besuchte etliche Konferenzen, trug dort auch einiges aus meinem Erfahrungsschatz in Form von Vorträgen bei. Das tägliche Brot ist geprägt vom Betrieb einiger Server bei mehreren  Kunden; Firewalls und Verschlüsselungslösungen sind in Handarbeit entstanden und werden über Jahre gehegt und gepflegt.  Dabei fühle ich mich mit „Freier Software“ (Debian GNU/Linux) sehr gut aufgestellt, da die verwendete Software von vielen unabhängigen Fachleuten für gut befunden ist. Schließlich sind einige Professoren – teilweise ganze Institute – an Universitäten rund um den Globus damit beschäftigt, quelloffene Lösungen wie z.B. strongSwan (für IPsec) zu entwickeln.

Insbesondere bei Verschlüsselung ist mir die Quelloffenheit der wichtigste Aspekt der erreichten Sicherheit; „security by obscurity“ mag ich gar nicht. Die vernünftige Anwendung dieser Technik und die Kombination mit anderen Maßnahmen (Routing, Paket-Filterung, Applikation Level Gateways) halte ich für selbstverständlich, erst die Verwendung mehrerer, voneinander unabhängiger Komponenten schafft eine gewisse Sicherheit im Unternehmen. Als wichtigstes Hilfsmittel hat sich im Laufe der letzten Jahre immer wieder tcpdump (sniffen auf der Kommandozeile) erwiesen, ich schaue mir eben gerne die Bits einzeln an.

Der andere Aspekt „Freier Software“, durch Quelloffenheit Investitionssicherheit zu schaffen, ist mir ebenso wichtig: Ich lege Wert darauf, dass meine Kunden wie auch ich nicht in den Würgegriff von Monopolyspielern gelangen. Und nebenbei macht das Studium von Quelltexten nicht dümmer.

In der Reihe “Karriere(n) in der IT” interessieren wir uns natürlich besonders für Ihren persönlichen Werdegang. Welche Ausbildung haben Sie absolviert, und welche Vorerfahrungen nützen Ihnen heute bei Ihrem Job?

Zuerst studierte ich einige Semester Elektrotechnik in Aachen, danach habe ich für meinen ersten Arbeitgeber Hardware repariert: Es galt, defekte Transistoren, Mikroprozessoren und andere Bauteile auszuwechseln. Ich begann, die Mikroprozessortechnik auch zur Fehlersuche einzusetzen, die ersten funktionierenden 8085-Assembler-Codes werde ich vermutlich nie vergessen. Kurze Zeit später landete ich in der Abteilung Sonderprodukte, eine kleine Gruppe von Enthusiasten, die Leitungsentstörungs- und Leitungsschaltungs-Geräte auf 8085 Basis entwickelten.

Damit war mein Weg in die Datenkommunikationstechnik bereits 1984 vorgezeichnet. Damals war das alles noch schön langsam, 300 Bit/s mit Akustikkopplern wurden bald zur gern gehörten Begleitmusik.

Ab 1986 lernte ich Unix kennen. Shell und C wurden zum Alltagswerkzeug, dazu make, sed, awk und wie auch immer die Hilfsmittel hießen. Vom ersten SCO-Xenix entwickelte ich mich bald über Spix und BOS (Bull eigene Unix-Varianten) hin zu AIX, damals in der Version 3.2.5. Erstmals in Kontakt zum Internet-Protokoll kam ich 1994: Ein Projekt mit seriellen Schnittstellen, Modems, kundeneigenen Leitungen, Windows 3.11, SCO-Unix und einem BS2000-System wollte erledigt werden.

Aufregend und lehrreich war es 1996: Als Techniker war ich eingebunden, Kunden via Stand- und Wählleitungen an das Internet anzuschließen. Beratung, DNS-Reservierungen, Serverhousing und alles, was ein junges, aufstrebendes Internetunternehmen Kunden bieten kann, gehörten zum Aufgabenbereich. Vorwiegend war es AIX, für Kunden wie das Europäische Parlament und den Deutschen Bundestag. Auch heute noch sind mir einige angenehme und teils lustige Anekdoten aus meiner Zeit als Systemadministrator auf den Webservern parat.

Die Netzwerktechnik ließ mich nie wieder los, Standortvernetzung für meinen Arbeitgeber war ab 1998 die Herausforderung. Die dazukommenden Aufgaben als IT-Sicherheitsmanager für Deutschland, Österreich und die Schweiz waren zwar konträr zu meinen Wünschen als Netzadministrator, es gehörte Augenmaß und Fingerspitzengefühl dazu, jeweils zusammen mit allen Beteiligten genau die Lösungen zu finden, die ihren und den Anforderungen der Policy genügten.

Dann bekam ich die Chance, die entstehende Netzstruktur einer Neugründung nur mit Linux aufzubauen. Ein Werkzeug zur Steuerung aller über sechs Standorte verteilten Systeme musste her. Dies habe ich dann entwickelt, und 2003 war mir erlaubt, es als „simple security policy editor“ bei Sourceforge unter GPLv2 zu veröffentlichen. Dies bildete die Grundlage meiner späteren Selbstständigkeit.

Bis heute stand und steht fast ausschließlich Datenkommunikation in meinem Focus, Sicherheit als Balance zwischen Verfügbarkeit, Verlässlichkeit und Vertraulichkeit bilden konsequent die Grundlage meiner selbstständigen Tätigkeit. Insbesondere die Verwendung von Verschlüsselung schulte immer wieder mein analytisches Denken, da durch Leitungsaufzeichnung glücklicherweise nur wenig über die Inhalte der Kommunikation zu erfahren war. Dabei bleibt dann als wichtigste Erfahrung, den eigenen Verstand zu benutzen, jedoch nie zu überschätzen. Die Leute auf der anderen Seite der Firewall sind nicht nur viel mehr, sondern ziemlich sicher auch schlauer. Also: Holzauge sei wachsam!

Neben Ihrer Arbeit sind Sie seit Jahren aktives GUUG-Vorstandsmitglied. Was macht ein Engagement in Usergroups Ihrer Meinung nach interessant?

Als ich meine Selbstständigkeit vorbereitete, machte ich innerhalb von zwei Wochen die wundersame Erfahrung, dass ich voneinander unabhängig von zwei netten Menschen gefragt wurde, ob ich in der GUUG sei. Neugierig besuchte ich daraufhin den damaligen Vorsitzenden und wurde nach kurzem Gespräch überzeugt, dass meine Mitgliedschaft sinnvoll sei. Dies hat sich bis heute bestätigt, schon mein Besuch des LinuxTag 2005 in Karlsruhe brachte mich mit einigen sehr netten Menschen zusammen, denen ich bis heute freundschaftlich verbunden bin.

Die GUUG ermöglichte mir, Konferenzen zu besuchen, dort Vorträge zu halten und mit Gleichgesinnten mal kontrovers, mal mit Konsens zu diskutieren. Ich fühle mich sehr wohl dabei, in der GUUG unter Menschen zu sein, die auf Augenhöhe technisch anspruchsvolle Themen schriftlich oder Auge in Auge ausdiskutieren. In diesem Verein im Vorstand zu wirken, macht Spaß und ist zu beiderseitigem Nutzen. Der gegenseitige Austausch bringt alle ein Stück weit vorwärts. Dabei kommen natürlich auch andere Aspekte zutage, z.B. Datenschutz, Organisationstalent, aber auch nicht zuletzt private Gespräche. Vielleicht auch das eine oder andere Quäntchen Geschäftskontakte, jedoch nie im Vordergrund.

Ihre Empfehlung an den Nachwuchs: Welche Qualifikationen und Fähigkeiten sollten Berufsanfänger mitbringen?

Neugier, Begeisterungs-, Konzentrations-, Lernfähigkeit sind mir wichtig, aber auch Teamgeist müssen sie haben. Das Zwischenmenschliche (Sozialverhalten) ist mindestens genauso wichtig wie Fachkenntnisse. Zuhören können ist dabei eine wichtige, wenn nicht sogar die wichtigste Voraussetzung. Bei meinen regelmäßigen Schulungen für Auszubildende (Fachinformatiker Systemintegration, Anwendungsentwickler) merke ich des öfteren, dass es mit dem Kopfrechnen einerseits und mit der Aussagenlogik andererseits noch nicht so weit verbreitet ist; es scheint in den allgemeinbildenden Schulen etwas zu kurz zu  kommen. Mein Bestreben ist es, den Teilnehmern das Verständnis für die Dinge nahe zu bringen. Netzwerk funktioniert eben mit Bits und Bytes, gewisse Rechenoperationen gehören einfach dazu. Und ob sie etwas verstanden haben, ist wohl am einfachsten daran erkennen, ob sie es erklären können.

Wir danken für dieses Gespräch.

Frau Pahrmann, herzlichen Dank für die netten Fragen.

Möchten auch Sie Ihr Aufgabenfeld vorstellen? Oder wünschen Sie sich eine bestimmte Person als Interviewpartner hier im Blog? Wenn es nicht gerade Bill Gates ist, werde ich versuchen, es möglich zu machen. (Lebende Personen sollten es auch noch sein ) Melden Sie sich: blog@oreilly.de