Unser CISO-Check zeigt: Nur wer ständig nach neuen Lösungen und Wegen sucht, die bestehenden Security-System zu verbessern, wer sich gut mit dem Business und den Partnerunternehmen versteht, um seine Security-Interessen nachvollziehbar und glaubhaft zu vermitteln, wer disruptiv denkt und agiert, das "Brot-und-Butter-Geschäft" aber trotzdem nicht aus den Augen verliert, eignet sich zum IT-Security-Manager.
- Glauben Sie ...
... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen? - Schauen Sie ...
... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern? - Überwachen Sie ...
... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln? - Suchen Sie ...
... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können? - Widmen Sie ...
... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit? - Versuchen Sie ...
... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können? - Behalten Sie ...
... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann? - Arbeiten Sie ...
... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen? - Bewegen Sie ...
... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird? - Verlieren Sie ...
... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?
Den Unternehmen fehlen die Security-Experten an allen Ecken und Enden. Einer Studie von (ISC)², einem weltweiten Zusammenschluss von IT-Security-Verantwortlichen, zufolge, fehlt es in knapp zwei Dritteln der Unternehmen an Security-Fachpersonal - rund die Hälfte der Unternehmen würde liebend gerne einstellen, findet aber keine Bewerber. Es wird erwartet, dass in fünf Jahren 1,5 Millionen Stellen für IT-Sicherheit unbesetzt sein werden.
Die Folge dieser Entwicklung sind steigende Gehälter für die wenigen Spezialisten, die es gibt und die sich ihre Stellen heraussuchen können. Auch gibt es immer mehr IT-Profis, die sich entsprechende Security-Expertise anzueignen versuchen, um sich beruflich umzuorientieren.
Sind auch Sie an einer Position in der IT-Security interessiert? Dann beherzigen Sie folgende Empfehlungen:
Keine Sorge, wenn Ihnen Security-Fachkenntnisse fehlen
Viele offene Stellen in der IT-Sicherheit erfordern einige Jahre Berufserfahrung - dazu gehören beispielsweise Security-Software-Entwickler, die Julie Oates vom Recruiting-Unternehmen Mondo zufolge bis zu 175.000 Euro Jahresgehalt einstreichen können - kein Wunder, sind Entwickler neben Software-Architekten doch die von den Unternehmen am stärksten nachgefragten Spezialisten.
Das Know-how, das die Experten mitbringen müssen, sei äußerst vielfältig, erklärt Julian Bellanger, Mitgründer und CEO des Security-Monitoring-Dienstleisters Prevoty: "Es sind so dermaßen viele verschiedene Fähigkeiten gefordert, dass niemand allein alle Security-Rollen ausfüllen kann." Der Trend gehe daher hin zu sehr großen Security-Teams - bestehend aus Netzwerkspezialisten, Anwendungsexperten und welchen, die die Geschäftslogik hinter den Applikationen verstehen.
Tony Martin-Vegue, Risk Manager bei einem Finanzdienstleister aus dem Großraum San Francisco, stimmt Bellangers Aussagen zu: "IT-Security ist ein weitläufiges Feld aus Programmierern, Risikomanagern, PR-Profis, die den Geschäftsentscheidern den Sachverhalt verständlich erklären können, Experten für menschliches Verhalten und Wirtschaftsprofis." Martin-Vegue betont, dass er auch solche Bewerber als Risk Manager einstellt, die ein Wirtschaftsstudium abgeschlossen haben oder sich anderweitig gut mit Finanzen auskennen, ohne dass Security-Expertise vorhanden ist: "Ökonomie besteht einzig daraus, Risiken zu verstehen." Ähnlich gut geeignet seien Spezialisten für Psychologie, die beispielsweise verstehen, warum jemand auf eine Phishing-Attacke hereinfalle.
Denken Sie langfristig
Der größte Bedarf wird sich Beobachtern zufolge in den Bereichen Software- und Anwendungssicherheit auftun. "Das größte Problem, das auf uns zukommt, ist der schlechte Software-Entwicklungsprozess und die damit einhergehende schlechte Qualität des Codes", erläutert Jeff Combs vom IT-Security-Recruiter ISE Talent. Warum das so ist, sieht er ganz pragmatisch: "Schon seit mehr als 50 Jahren entwickeln wir Software - um die Sicherheitsaspekte kümmern wir uns aber erst seit zehn Jahren."
Weil die beruflichen Weiterentwicklungschancen im Security-Bereich aber beschränkt seien, gingen die Top-Talente lieber als Software-Entwickler zu Google und Facebook. Combs: "Wir werden ständig gefragt, ob wir geeignete Bewerber für IT-Sicherheitsjobs hätten." Gesucht werden vor allem Projektmanager und Experten mit viel Praxiserfahrung. Unternehmen fahren am besten, wenn sie einen Projektverantwortlichen einstellen, der die anderen Mitarbeiter in Security-Fragen berät und weiterbildet. Wer im Feld der Anwendungssicherheit seine Laufbahn beginnt, könne sich mit der Zeit beispielsweise auch in IT-Architektur- oder Cloud-Sicherheit einen Namen machen, stellt Combs heraus.
Die Möglichkeiten in diesen Bereichen seien vielfältig, während beispielsweise klassischere Arbeitsfelder wie Netzwerk- oder Hardware-Security weniger Entwicklungschancen böten. "Wenn ich heute 18 wäre und mich entscheiden müsste, würde ich beruflich entweder etwas mit Anwendungssicherheit machen oder in ein DevOps-Security-Team gehen", sagt der Recruiting-Spezialist.
- Die Traumarbeitgeber der IT-Studenten ...
...sind IT-Firmen, Forschungsinstitutionen, Autokonzerne oder Internet-Firmen. Die Berliner Marktforscher von Trendence haben mehr als 5.700 Informatikstudenten aus ganz Deutschland befragt, wo sie gern arbeiten möchten. Hier sind die Top 40! - Platz 40: ARD
Der Verbund öffentlich-rechtlicher Rundfunkanstalten erreicht den 40. Platz und verbessert sich somit im Vergleich zum Vorjahr um einen Platz. - Platz 40: Adidas
Adidas tut es der ARD gleich und landet 2016 auf dem 40. Platz in der Liste der Traumarbeitgeber der IT-Studenten. - Platz 38: McKinsey
Die Frankfurter Unternehmens- und Strategieberatung McKinsey landet auf dem 38. Platz. - Platz 38: Accenture
Die weltweit agierende Managementberatung Accenture fällt im Vergleich zum Vorjahr von Platz 32 auf Platz 38. - Platz 36: Capgemini
Die größte Unternehmensberatung europäischen Ursprungs, Capgemini, erreichte im Jahr 2015 den 32. Platz. Dieses Jahr muss es sich mit Platz 36 zufrieden geben. - Platz 32: Sony
Sony hält seinen Platz vom Vorjahr. Der drittgrößte japanische Elektronikkonzern erreicht den 32. Platz. - Platz 32: Software AG
Den größten Sprung macht die Software AG. Das Unternehmen aus Darmstadt klettert vom 58. Platz im Jahr 2015 auf den 32. Platz in diesem Jahr. - Platz 32: Samsung
Der südkoreanische Mischkonzern mit über 600.000 Mitarbeitern erreicht den 32. Platz in der Liste der Wunscharbeitgeber der IT-Studenten. - Platz 32: Deutsche Bahn
Das führende deutsche Eisenbahnunternehmen, die Deutsche Bahn, verbessert sich um 4 Plätze und landet auf Platz 32. - Platz 32: Adobe
Das amerikanische Softwareunternehmen Adobe muss einen Platz einräumen und erreicht in der Gunst der IT-Studenten den 32. Platz. - Platz 30: Cisco
Das US-amerikanische Unternehmen Cisco mit Sitz in Kalifornien ist auch in diesem Jahr einer der beliebtesten Arbeitgeber unter IT-Studenten. Von Platz 38 im Jahr 2015 geht es dieses Jahr auf Platz 30. - Platz 29: Oracle
Der Soft- und Hardwarehersteller Oracle büßt 4 Plätze ein und erreicht 2016 den 29. Platz im Ranking um die beliebtesten Arbeitgeber. - Platz 27: Bundeswehr
Die Bundeswehr macht einen beachtlichen Satz von 11 Plätzen und erreicht in der diesjährigen Auswertung den 27. Platz der beliebtesten Arbeitgeber unter den befragten IT-Studenten. - Platz 26: Airbus Group
Die Airbus Group, von 2000 bis 2013 EADS, ist als Europas größter Luft- und Raumfahrt sowie zweitgrößter Rüstungskonzern als Arbeitgeber unter den IT-Studenten beliebt. Um zwei Plätze verbessert sich das Unternehmen im Vergleich zum Vorjahr von 28 auf 26. - Platz 25: Deutsche Telekom
Das Telekommunikationsunternehmen mit Sitz in Bonn macht vier Plätze gut und landet in der Gunst der Studenten auf dem 25. Platz. - Platz 24: Electronic Arts
Der Computer- und Videospielehersteller aus Kalifornien verbessert sich um einen Platz im Vergleich zum Vorjahr und erreicht Platz 24. - Platz 23: Deutsches Forschungszentrum für Künstliche Intelligenz (DFKI)
Das 1988 gegründete DFKI verliert zwei Plätze und erreicht damit in diesem Jahr den 23. Platz. - Platz 20: Lufthansa Systems
Die Tochter des Lufthansa-Konzerns, Lufthansa Systems, hat sich auf die Implementierung von IT-Lösungen und Entwicklung von Software für Fluggesellschaften spezialisiert. Fünf Plätze macht das Unternehmen gut und erreicht Platz 20. - Platz 20: Deutsches Zentrum für Luft- und Raumfahrt (DLR)
Das DLR aus Köln schafft es ebenso in die Top 20 als einer der beliebtesten Arbeitgeber der IT-Studenten. - Platz 19: Intel
Der Halbleiterhersteller Intel verbessert sich im Vergleich zum Vorjahr um 4 Plätze und erreicht damit Platz 19. - Platz 16: Crytek
Das deutsche Spielentwicklungsunternehmen mit Hauptsitz in Frankfurt am Main verlor etwas an Boden und muss 2016 im Vergleich zum Vorjahr zwei Plätze einbüßen. - Platz 15: Bundesamt für Sicherheit in der Informationstechnik (BSI)
Einen Platz nach vorne schiebt sich das BSI. Von Platz 16 in 2015 auf Platz 15 in diesem Jahr. - Platz 14: Bosch Gruppe
Letztes Jahr noch unter den Top 10 muss die Bosch Gruppe dieses Jahr vier Plätze einbüßen und erreicht Platz 14. - Platz 12: Porsche
Ebenso nicht mehr unter den Top 10 ist der Automobilhersteller Porsche. Von Platz 10 im Vorjahr geht es für Porsche auf Platz 12 in diesem Jahr. - Platz 12: Fraunhofer Gesellschaft
Die Fraunhofer Gesellschaft ist die größte Organisation für angewandte Forschungs- und Entwicklungsdienstleistungen in Europa und hält seinen zwölften Platz. - Platz 11: Amazon
Der Online-Versandhändler Amazon verbessert sich im Vergleich zum Vorjahr und springt von Platz 17 auf Platz elf. - Platz 9: Daimler/Mercedes Benz
Der Automobilkonzern liegt im Ranking um die beliebtesten Arbeitgeber unter den IT-Studenten auf dem neunten Platz. - Platz 8: IBM
Das amerikanische IT- und Beratungsunternehmen IBM ist sehr beliebt bei den IT-Studenten und erreicht Platz acht. - Platz 7: Audi
Der Ingolstädter Autobauer liegt zwar in diesem Jahr auf einem guten siebten Platz, muss allerdings im Vergleich zum Vorjahr 3 Plätze einbüßen. - Platz 5: SAP
SAP ist als Europas größter Softwarehersteller rutscht von Platz zwei im Jahr 2015 auf Platz fünf in diesem Jahr. - Platz 5: Blizzard Entertainment
Der Computerspieleentwickler Blizzard hält seinen fünften Platz vom letzten Jahr und ist weiterhin als Wunscharbeitgeber unter den Studenten weit vorne. - Platz 4: Microsoft
Microsoft ist mit gut 112.000 Mitarbeitern der größte Software- und Hardwarehersteller der Welt. Dieses Jahr verbessert das Unternehmen sich um drei Plätze von sieben auf vier. - Platz 3: Apple
Aufs Treppchen schafft es dieses Jahr Apple. Das Unternehmen, welches unter anderem das iPhone herstellt und verkauft, verbessert sich im Vergleich zum Vorjahr um drei Plätze und erreicht mit 8,6 Prozent Platz 3 der Top Arbeitgeber für angehende Informatiker. - Platz 2: BMW
Der Münchner Automobil- und Motorradhersteller ist sehr beliebt unter den IT-Studenten. 2015 auf Platz drei schafft es BMW dieses Jahr auf den zweiten Platz. 9,1 Prozent der IT-Absolventen würden sich am ehesten dort bewerben. - Platz 1: Google
Unangefochten auf Platz eins steht auch in diesem Jahr der Suchmaschinenmarktführer Google. 23,7 Prozent der IT-Studenten bewerten das Unternehmen als attraktivsten Arbeitgeber.
Unterschätzen Sie Ihr Können nicht
Nach Aussage von Martin-Vegue haben ausgebildete System-, Netzwerk- und Datenbankadministratoren üblicherweise bereits drei Viertel des Weges zum Security-Profi geschafft. Ethical Hacking, Penetrationstesting und Datenschutzwissen: Wer hier Bescheid wisse, verstehe bereits, wie Systeme funktionieren und Anwender auf sie zugreifen. "Der Weg zum Nutzerrechte-Management und zu Compliance-Prüfung gegen Frameworks und Standards ist dann nicht mehr weit", so der Risk Manager. Es sei häufig sogar ein Vorteil, aus anderen IT-Berichen zu kommen: "Um gut in Security zu sein, sind solide technische Grundlagen in Systemadministration, Netzwerk- oder Software-Entwicklung wichtig."
Bob Melk vom IT-Jobvermittler Dice empfiehlt CIOs, lieber ihr bestehendes Personal in IT-Security weiterzubilden anstatt externe Sicherheitsexperten dazu zu holen. "Wir müssen mehr tun als einfach nur Gehälter oder Sozialleistungen zu erhöhen - Unternehmen müssen den Fachkräftemangel durch Mitarbeiterpflege bekämpfen."
So hilft Dice Unternehmen dabei, die Schnittmenge der Anforderungen von allgemeinen IT-Jobs und Security-Stellen zu bestimmen und dann einen Plan aufzustellen, um die Besetzung der offenen Positionen voranzutreiben. "Die gute Nachricht ist: Es gibt eine Menge Security-Jobs, in die IT-Experten hineinwachsen können", so Melk. Schaue man sich die üblichen Stellenangebote für Positionen wie Security Auditor, IT-Sicherheits-Projektmanager oder Security Engineer an, seien die dort geforderten Fachkenntnisse identisch mit denen von Jobs wie Netzwerksicherheits-Spezialisten oder Intrusion-Detection-Profis. Melk kritisiert jedoch, dass die zahlreichen Möglichkeiten, sich als IT'ler in Security-Fragen zu spezialisieren und der genaue Weg dorthin den potenziellen Kandidaten selten klar seien - besonders Quereinsteiger würden kaum gefördert.