Diese Security-Skills brauchen Sie

Eignen Sie sich zum IT-Sicherheitsprofi?

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Mary Brandel ist Autorin bei unserer US-Schwesterpublikation Computerworld.
Von allen Bereichen der IT, in denen die Experten fehlen, ist Security der am stärksten nachgefragte. Massenhaft offene Stellen, sehr gute Jobaussichten für die wenigen geeigneten Bewerber. Wenn Sie sich für einen solchen Werdegang interessieren, sollten Sie zunächst diesen Artikel lesen.

Unser CISO-Check zeigt: Nur wer ständig nach neuen Lösungen und Wegen sucht, die bestehenden Security-System zu verbessern, wer sich gut mit dem Business und den Partnerunternehmen versteht, um seine Security-Interessen nachvollziehbar und glaubhaft zu vermitteln, wer disruptiv denkt und agiert, das "Brot-und-Butter-Geschäft" aber trotzdem nicht aus den Augen verliert, eignet sich zum IT-Security-Manager.

Den Unternehmen fehlen die Security-Experten an allen Ecken und Enden. Einer Studie von (ISC)², einem weltweiten Zusammenschluss von IT-Security-Verantwortlichen, zufolge, fehlt es in knapp zwei Dritteln der Unternehmen an Security-Fachpersonal - rund die Hälfte der Unternehmen würde liebend gerne einstellen, findet aber keine Bewerber. Es wird erwartet, dass in fünf Jahren 1,5 Millionen Stellen für IT-Sicherheit unbesetzt sein werden.

Die Folge dieser Entwicklung sind steigende Gehälter für die wenigen Spezialisten, die es gibt und die sich ihre Stellen heraussuchen können. Auch gibt es immer mehr IT-Profis, die sich entsprechende Security-Expertise anzueignen versuchen, um sich beruflich umzuorientieren.

Sind auch Sie an einer Position in der IT-Security interessiert? Dann beherzigen Sie folgende Empfehlungen:

Keine Sorge, wenn Ihnen Security-Fachkenntnisse fehlen

Viele offene Stellen in der IT-Sicherheit erfordern einige Jahre Berufserfahrung - dazu gehören beispielsweise Security-Software-Entwickler, die Julie Oates vom Recruiting-Unternehmen Mondo zufolge bis zu 175.000 Euro Jahresgehalt einstreichen können - kein Wunder, sind Entwickler neben Software-Architekten doch die von den Unternehmen am stärksten nachgefragten Spezialisten.

Das Know-how, das die Experten mitbringen müssen, sei äußerst vielfältig, erklärt Julian Bellanger, Mitgründer und CEO des Security-Monitoring-Dienstleisters Prevoty: "Es sind so dermaßen viele verschiedene Fähigkeiten gefordert, dass niemand allein alle Security-Rollen ausfüllen kann." Der Trend gehe daher hin zu sehr großen Security-Teams - bestehend aus Netzwerkspezialisten, Anwendungsexperten und welchen, die die Geschäftslogik hinter den Applikationen verstehen.

Tony Martin-Vegue, Risk Manager bei einem Finanzdienstleister aus dem Großraum San Francisco, stimmt Bellangers Aussagen zu: "IT-Security ist ein weitläufiges Feld aus Programmierern, Risikomanagern, PR-Profis, die den Geschäftsentscheidern den Sachverhalt verständlich erklären können, Experten für menschliches Verhalten und Wirtschaftsprofis." Martin-Vegue betont, dass er auch solche Bewerber als Risk Manager einstellt, die ein Wirtschaftsstudium abgeschlossen haben oder sich anderweitig gut mit Finanzen auskennen, ohne dass Security-Expertise vorhanden ist: "Ökonomie besteht einzig daraus, Risiken zu verstehen." Ähnlich gut geeignet seien Spezialisten für Psychologie, die beispielsweise verstehen, warum jemand auf eine Phishing-Attacke hereinfalle.

Security-Experten sind nicht mehr nur Einzelkämpfer, sondern kommen erst im heterogenen Team richtig zur Entfaltung.
Security-Experten sind nicht mehr nur Einzelkämpfer, sondern kommen erst im heterogenen Team richtig zur Entfaltung.
Foto: Syda Productions - www.shutterstock.com

Denken Sie langfristig

Der größte Bedarf wird sich Beobachtern zufolge in den Bereichen Software- und Anwendungssicherheit auftun. "Das größte Problem, das auf uns zukommt, ist der schlechte Software-Entwicklungsprozess und die damit einhergehende schlechte Qualität des Codes", erläutert Jeff Combs vom IT-Security-Recruiter ISE Talent. Warum das so ist, sieht er ganz pragmatisch: "Schon seit mehr als 50 Jahren entwickeln wir Software - um die Sicherheitsaspekte kümmern wir uns aber erst seit zehn Jahren."

Weil die beruflichen Weiterentwicklungschancen im Security-Bereich aber beschränkt seien, gingen die Top-Talente lieber als Software-Entwickler zu Google und Facebook. Combs: "Wir werden ständig gefragt, ob wir geeignete Bewerber für IT-Sicherheitsjobs hätten." Gesucht werden vor allem Projektmanager und Experten mit viel Praxiserfahrung. Unternehmen fahren am besten, wenn sie einen Projektverantwortlichen einstellen, der die anderen Mitarbeiter in Security-Fragen berät und weiterbildet. Wer im Feld der Anwendungssicherheit seine Laufbahn beginnt, könne sich mit der Zeit beispielsweise auch in IT-Architektur- oder Cloud-Sicherheit einen Namen machen, stellt Combs heraus.

Die Möglichkeiten in diesen Bereichen seien vielfältig, während beispielsweise klassischere Arbeitsfelder wie Netzwerk- oder Hardware-Security weniger Entwicklungschancen böten. "Wenn ich heute 18 wäre und mich entscheiden müsste, würde ich beruflich entweder etwas mit Anwendungssicherheit machen oder in ein DevOps-Security-Team gehen", sagt der Recruiting-Spezialist.

Unterschätzen Sie Ihr Können nicht

Nach Aussage von Martin-Vegue haben ausgebildete System-, Netzwerk- und Datenbankadministratoren üblicherweise bereits drei Viertel des Weges zum Security-Profi geschafft. Ethical Hacking, Penetrationstesting und Datenschutzwissen: Wer hier Bescheid wisse, verstehe bereits, wie Systeme funktionieren und Anwender auf sie zugreifen. "Der Weg zum Nutzerrechte-Management und zu Compliance-Prüfung gegen Frameworks und Standards ist dann nicht mehr weit", so der Risk Manager. Es sei häufig sogar ein Vorteil, aus anderen IT-Berichen zu kommen: "Um gut in Security zu sein, sind solide technische Grundlagen in Systemadministration, Netzwerk- oder Software-Entwicklung wichtig."

Bob Melk vom IT-Jobvermittler Dice empfiehlt CIOs, lieber ihr bestehendes Personal in IT-Security weiterzubilden anstatt externe Sicherheitsexperten dazu zu holen. "Wir müssen mehr tun als einfach nur Gehälter oder Sozialleistungen zu erhöhen - Unternehmen müssen den Fachkräftemangel durch Mitarbeiterpflege bekämpfen."

So hilft Dice Unternehmen dabei, die Schnittmenge der Anforderungen von allgemeinen IT-Jobs und Security-Stellen zu bestimmen und dann einen Plan aufzustellen, um die Besetzung der offenen Positionen voranzutreiben. "Die gute Nachricht ist: Es gibt eine Menge Security-Jobs, in die IT-Experten hineinwachsen können", so Melk. Schaue man sich die üblichen Stellenangebote für Positionen wie Security Auditor, IT-Sicherheits-Projektmanager oder Security Engineer an, seien die dort geforderten Fachkenntnisse identisch mit denen von Jobs wie Netzwerksicherheits-Spezialisten oder Intrusion-Detection-Profis. Melk kritisiert jedoch, dass die zahlreichen Möglichkeiten, sich als IT'ler in Security-Fragen zu spezialisieren und der genaue Weg dorthin den potenziellen Kandidaten selten klar seien - besonders Quereinsteiger würden kaum gefördert.

Inhalt dieses Artikels