Berufsbild im Wandel

Vom Security-Experten zum Manager

Hans Königes ist Ressortleiter Jobs & Karriere und damit zuständig für alle Themen rund um Arbeitsmarkt, Jobs, Berufe, Gehälter, Personalmanagement, Recruiting, Social Media im Berufsleben. Zusätzlich betreut das Karriereressort inhaltlich das Karrierezentrum auf der Cebit.
Technik ist die Grundlage, aber ohne Management-Wissen kommt man nicht voran, meint Security-Experte John Colley, wenn es um das Berufsbild des IT-Sicherheitsprofis geht.

CW: Wie hat sich das Berufsbild des IT-Security-Experten in den vergangenen Jahren verändert?

COLLEY: Um 1995, als es erst mal richtig losging, steckte die IT-Sicherheitsbranche noch in den Kinderschuhen. Die meisten Spezialisten, die sich damals für das Sicherheitsthema entschieden hatten, kamen aus der IT und begaben sich nun in eine dunkle, schmale, aber spannende IT-Nische. 2002, als sich die IT von der Dotcom-Blase zu erholen begann und erwachsen wurde, fand die Wende statt. Aus den Techies wurden Spezialisten, die die Grundlagen eines neuen Berufsstandes festlegten. Mittlerweile ist diese neue Disziplin aus dem Alltag in den Unternehmen nicht mehr wegzudenken. Weltweit üben mittlerweile zwei Millionen Menschen diesen Beruf aus, Tendenz steigend. Das starke Wachstum darf aber nicht dazu führen, dass die Qualifizierung in diesem sich ständig verändernden Umfeld vernachlässigt wird. Wer sich für eine Karriere in der IT-Security entschließt, muss sich der Verantwortung bewusst sein und sich ständig weiterentwickeln.

CW: Was bedeutet das konkret für das heutige Aufgabenfeld einer IT-Sicherheitsfachkraft?

John Colley, (ISC)2: 'Der Chief Information Security Officer (CISO) gehört auf die Management-Ebene.'
John Colley, (ISC)2: 'Der Chief Information Security Officer (CISO) gehört auf die Management-Ebene.'
Foto: John Colley

COLLEY: Die IT-Security geht weit über den Aufgabenbereich der traditionellen IT-Abteilung hinaus. Sie stellt mehr und mehr eine Management-Disziplin dar, was vor allem daran liegt, dass mittlerweile die meisten Geschäftsprozesse in einem Unternehmen online gesteuert werden. Es kommt also darauf an, dass die Verantwortlichen in der Lage sind, die Kluft zwischen Technik- und Geschäftsebene zu überwinden. Dazu gehören Policies, Prozesse, Sicherheitsstrategien und -architekturen sowie Bewusstseinsschaffung.

CW: Derzeit werden viele IT-Abteilungen in den Unternehmen restrukturiert. Was bedeutet das für die Security-Spezialisten?

COLLEY: Künftig wird kein Weg daran vorbeiführen, die Verantwortung außerhalb der IT-Abteilung zu organisieren. Konkret bedeutet das, dass beispielsweise ein Chief Information Security Officer (CISO) auf der Management-Ebene installiert wird. Damit ist klar, dass die Sicherheitsabteilung für den Schutz aller Geschäftsprozesse und für die Abwehr möglicher Angriffe zuständig ist. Gleichzeitig sorgt der CISO dafür, dass die Sicherheit und die Unternehmensstrategie zusammenpassen. In meinen Augen ist dies das Modell der Zukunft, benötigt aber auch qualifizierte Fachkräfte.

CW: Gibt es etwa nicht ausreichend qualifizierte Fachkräfte, um die freien Stellen zu besetzen?

COLLEY: Für Unternehmen gestaltet es sich nicht einfach, freie Stellen zu besetzen. Das liegt nicht etwa daran, dass die Anforderungen übertrieben hoch sind, sondern daran, dass viele Fachkräfte es bis jetzt versäumt haben, sich das richtige Profil zu verpassen, das den heutigen Anforderungen entspricht. Der Mangel an geeigneten Fachkräften spiegelt sich auch darin wider, dass Sicherheitsbeauftragte 2009 trotz Wirtschaftskrise deutliche Gehaltserhöhungen erhalten und nur fünf Prozent ihren Arbeitsplatz verloren.

CW: Wo genau gibt es Ihrer Meinung nach bei den Qualifikationen Nachholbedarf?

COLLEY: Geht man von den Anforderungen aus, die in den verschiedenen Stellenausschreibungen zu lesen sind, wird schnell klar, dass Unternehmen Sicherheit aus einem ganzheitlichen, risikoorientiertem Blickwinkel betrachten. Besonders viel Wert wird dabei auf Know-how im Bereich der operationalen Sicherheit, des (Informations-) Risiko-Managements, der Security-Management-Best-Practices und der ISO/IEC-Standards für IT-Sicherheits-Management gelegt. Telekommunikations- und Netzwerksicherheit wird heute auch mehr nachgefragt als Zugangskontrollsysteme.

CW: Also suchen Unternehmen für den Bereich Sicherheit eher Management-versierte Generalisten?

COLLEY: Der Trend geht ganz klar in Richtung Sicherheits-Management, und in diesem Zusammenhang spielt Management-Wissen eine wichtige Rolle. Nichtsdestotrotz sollte das technische Know-how nicht vernachlässigt werden. Es hat sich übrigens als sinnvoller erwiesen, Personen mit technischem Background Management-Wissen zu vermitteln, als umgekehrt. Mit anderen Worten, das technische Know-how bildet weiterhin die Basis für eine berufliche Laufbahn im IT-Sicherheits-Management.

CW: Wo sehen Sie die entscheidenden Ansätze für IT-Sicherheitsfachkräfte, um ihre Karriere voranzutreiben?

COOLEY: Es ist unverzichtbar, sich weiterzubilden, um die Karriere voranzutreiben, allerdings sollte man sich vorher im Klaren sein, welche der vier Positionen man anstrebt. Ist das Karriereziel klar, dann können die Weichen richtig gestellt werden. Dabei sollte jedoch der Blick über den Tellerrand nie gescheut werden, denn manche Dinge entwickeln sich schneller, als einem lieb ist, und wer zurückfällt, hat schlechtere Karten.

Inhalt dieses Artikels