Die Aufgaben eines IT-Sicherheitsexperten sind vielfältig, die Auswahl an Jobs ist groß und die Gehälter liegen über dem Durchschnitt.
Mitarbeiter müssen für IT-Sicherheit sensibilisiert werden
IT-Sicherheit als neuer Studienschwerpunkt an Universitäten
Digitalisierung, Industrie 4.0 oder auch schlicht die Lust am Online-Shopping locken immer mehr Kriminelle in die digitalen Welten. Dort lässt sich oftmals unkomplizierter und risikoärmer das große Geld verdienen als beispielsweise mit einem Banküberfall. Längst steht das Thema IT-Sicherheit ganz oben auf der Agenda der Unternehmen.
Der Mitte November veröffentlichte "Cyber Security Report 2015" bestätigt die Relevanz: In der verarbeitenden Industrie etwa gaben mehr als 50 Prozent der Betriebe an, im Zuge der Digitalisierung ihre Produktion vermehrt auf IT-Sicherheitskonzepte zu setzen. 92 Prozent der befragten Führungskräfte sagten, IT-Sicherheit nehme in ihren Unternehmen einen hohen bis sehr hohen Stellenwert ein, die Ausgaben dafür stiegen. Für die repräsentative Studie befragte das Allensbach Institut für Demoskopie im Auftrag der Telekom Manager aus mittleren und großen Unternehmen sowie Politiker.
"IT-Sicherheit ist kein Projekt, sondern ein Thema, das uns kontinuierlich beschäftigt", sagt Ralf Kleinfeld, Information Security Officer bei Otto in Hamburg. Die Otto Group mit ihren 123 Unternehmen bietet neben zahlreichen Online-Shops auch Finanzdienstleistungen an. Für den Informatiker Kleinfeld zählt die IT-Security-Strategie zu den zentralen Bausteinen eines IT-Konzepts. Aber auch die Sensibilisierung aller Mitarbeiter sieht er als wichtige Aufgabe an. "In einem Blog in unserem Intranet berichten wir regelmäßig über das Thema."
Ralf Kleinfeld, Otto: "IT-Sicherheit ist kein Projekt, sondern ein Thema, das uns kontinuierlich beschäftigt." Foto: Otto Group
IT-Security ist für Unternehmen ein existenziell wichtiges Thema, aber auch ein hochsensibles. Wie viele Mitarbeiter daran arbeiten, welche Strategien verfolgt werden - darüber spricht niemand gerne. Dieses Wissen könnten auch potenzielle Angreifer nutzen, um dem Unternehmen Schaden zuzufügen. Den Rechercheuren aus Allensbach verrieten Manager jedoch, wie groß sie die konkrete Gefahr für ihre Firmen einschätzen. 36 Prozent der deutschen Unternehmen werden mehrmals wöchentlich oder sogar täglich von Cyber-Kriminellen angegriffen. Immerhin neun von zehn Firmen wurden bereits Opfer eines Cyber-Angriffs. Die Studienautoren gehen davon aus, dass es eine hohe Dunkelziffer gibt und errechneten, dass es durchschnittlich mehr als 220 Tage dauert, bis ein Angriff überhaupt erkannt und Gegenmaßnahmen ergriffen werden.
Alle Branchen suchen IT-Sicherheitsexperten
Kein Wunder, dass IT-Security-Experten gefragte Mitarbeiter sind. Die Hamburger Vergütungsberatung Personalmarkt hat exklusiv für die CW die Gehälter von Fachkräften für IT-Sicherheit ausgewertet. "Inzwischen suchen nicht nur Banken IT-Sicherheitsfachkräfte, sondern alle Branchen", erklärt Personalmarkt-Sprecher Artur Jagiello und ergänzt: "Die Nachfrage ist hoch, der Markt ist nicht gesättigt, deshalb liegen die Gehälter auch höher." Ein Jahresgehalt von 70.000 Euro sei nicht ungewöhnlich, wobei kleine Firmen mit weniger als 100 Mitarbeiter mit durchschnittlich 54.700 Euro weniger zahlten als Konzerne mit mehr als 1000 Angestellten. Dort kann sich ein IT-Sicherheitsexperte über ein Jahresgehalt von durchschnittlich 82.700 Euro freuen.
IT-Gehälter 2015/6
Die große Gehaltsstudie für IT-Fachkräfte Insgesamt hat Compensation Partner 15.497 Datensätze für die Vergütungsstudie "IT-Funktionen" untersucht. Die Datenerhebung fand im Zeitraum von Mai bis August 2015 statt.
IT-Sicherheitsexperten ... ... verdienen 70.763 Euro im Jahr.Damit sind sie die IT-Fachkräfte, die am zweit besten vergütet werden.
IT-Berater ... ... dürfen sich über Jahresgehäter zwischen 65.000 und 70.000 Euro ( in der SAP-Beratung) freuen.
Bei Softwareentwicklern ... ... geht die Gehaltschere auseinander: Während SAP- und Mobile-Entwickler mit gut 58.000 bzw. 54.000 Euro rechnen können, müssen sich Frontend-Entwickler (43.200 Euro) und Webentwickler (35.800 Euro) mit weniger begnügen.
Bei den Administratoren ... ... schlägt das Gehaltspendel nicht so stark aus. Ihr Jahresverdienst beläuft sich 47.848 Euro in der System- und Netzadministration und 51.891 Euro im Bereich der Datenbankadministration.
Banken bezahlen am besten Das Gehalt eines IT-Profis hängt stark davon ab, in welcher Branche er arbeitet. IT-Projektleiter verdienen zum Beispiel am besten in Banken, deutlich weniger dagegen im Einzelhandel.
IT-Projektleiter ... ... gehören mit zu den am besten bezahlten Fachkräften der IT-Branche.
... bekommen IT-Projektleiter ...
... wenn sie bei einer Bank arbeiten. Damit erhält er mehr als doppelt so viel wie sein Berufskollege in der Werbe- und PR-Branche.
... erhalten IT-Projektleiter ...
... in der Telekommunikationsbranche. Damit gehört die TK-Industrie zu den Branchen, die überdurchschnittlich vergüten.
... verdienen IT-Projektleiter ...
... in der Autoindustrie. Auch die Autommobilkonzerne zahlen gut. Zum Vergleich: In Medienhäusern muss sich ein IT-Projektleiter mit 61.000 Euro im Jahr begnügen.
... bekommen IT-Projektleiter ...
... in Softwareunternehmen.
... erhalten IT-Projektleiter ...
... in einem IT-Systemhaus. Hier erwarten den IT-Projektleiter eher durchschnittliche Verdienstchancen.
... verdienen IT-Projektleiter ...
... bei Werbung und PR. Damit zahlen Werbeagenturen ihre IT-Projetleiter am schlechtesten.
Auch für Softwareentwickler ... ... macht es einen Unterschied, ob die in einem Chemieunternehmen (top) oder im Einzelhandel bzw. in Werbung und PR (flop) arbeiten.
... bekommt ein Softwareentwickler ...
... als Bankangestellter. Damit verdient er 35.000 Euro mehr im Jahr als sein Kollege in einer Werbe- oder PR-Agentur.
... erhält ein Softwareentwickler ...
... in der Chemiebranche. Chemiekonzerne zahlen traditionell gut.
... verdient ein Softwareentwickler ...
... in der Metallindustrie. Damit gehört die Metallindustrie zu den Branchen, die überdurchschnittlich vergüten.
... bekommt ein Softwareentwickler ...
... in der Bauindustrie. Baukonzerne zahlen eher unterdurchschnittliche Gehälter.
... erhält ein Softwareentwickler ...
... im Einzelhandel. Auch hier müssen Entwickler kleinere Brötchen backen.
... verdient ein Softwareentwickler ...
... wenn er in einer Werbeagentur arbeitet. Hier verdient ein Entwickler am schlechtesten. Auch in Medienhäusern sind die Verdienstchancen mit 48.000 Euro kaum besser.
IT-Berater ... ... gehören zu den IT-Fachkräften, die mit am besten bezahlt werden.
... bekommt ein IT-Berater ...
... im Fahrzeugbau. Damit zahlen Automobilkonzerne ihre IT-Berater mit Abstand am besten.
... erhält der IT-Berater ...
... in der Pharmaindustrie. Damit gehört die Pharmaindustrie zu den Branchen, die überdurchschnittlich vergüten.
... verdient der IT-Berater ...
... in der Medizintechnik.
... bekommt der IT-Berater ...
... im Gesundheitswesen. Zum Vergleich: Hier verdienen IT-Berater bereits 36.000 Euro weniger als ihre Berufskollegen, die für einen Autokonzern arbeiten.
... erhält der IT-Berater ...
... in Medienunternehmen. Medienkonzerne zahlen eher unterdurchschnittliche Gehälter.
... verdient der IT-Berater ...
... im Versandhandel. Damit zahlt der Versandhandel IT-Berater am schlechtesten.
Auch System-Administratoren ... ... müssen sich auf große Gehaltsunterschiede in den einzelnen Branchen einstellen.
... bekommt ein Systemadministrator ...
... in Autokonzernen. Hier hat der Admin die besten Verdienstperspektiven.
... erhält ein Systemadministrator ...
... in der Luftfahrt. Damit gehört dieLuftfahrtindustrie zu den Branchen, die überdurchschnittlich vergüten.
... verdient ein Systemadministrator ...
... in der Elektrotechnikbranche.
... bekommt ein Systemadministrator ...
... in einem Forschungsinstitut. Forschungsinstitute zahlen eher unterdurchschnittliche Gehälter.
... erhält ein Systemadministrator ...
... in der Holz- und Möbelindustrie. Zum Vergleich: Hier verdient ein Admin 28.000 Euro weniger als sein Berufskollege im Fahrzeugbau.
... verdient ein Systemadministrator ...
... im Einzelhandel.
Gehälter nach Region Auch die Region beeinflusst das Gehalt: Wir zeigen am Beispiel eines SAP-Beraters, wie die Gehälter variieren können.
München SAP-Berater verdienen in München am besten. Hier können sie sich über ein Jahressalär von 81.865 Euro freuen.
Frankfurt am Main Hier verdient der SAP-Berater auch überdurchschnittlich, und zwar 80.747 Euro.
Stuttgart In Stuttgart bekommt man als SAP-Berater nur unwesentlich weniger als in Frankfurt, nämlich 79.001 Euro.
Düsseldorf In Düsseldorf verdient man jährlich 76.486 Euro.
Hamburg In der Hansestadt beläuft sich der Jahresverdienst eines SAP-Beraters auf 71.806 Euro.
Hannover In Hannover kriegt ein SAP-Berater 69.851 Euro pro Jahr, was dem Durschschnittswert von 100 Prozent entspricht.
Berlin In der Hauptstadt werden SAP-Berater mit 65.310 Euro jährlich vergütet.
Dresden In Dresden erhält der SAP-Berater mit 57.906 Euro deutlich weniger als seine Kollegen in München oder Frankfurt.
Sachsen SAP-Berater in Sachsen verdienen mit 55.321 Euro im Jahr nur unterdurchschnittlich.
Sachsen-Anhalt Der Jahreslohn für SAP-Berater in Sachsen-Anhalt ist mit 52.877 Euro beziffert.
Mecklenburg-Vorpommern In Mecklenburg-Vorpommern bekommt ein SAP-Berater mit 50.851 Euro am wenigsten.
Die Universitäten ziehen inzwischen nach und bieten den Studenten IT-Sicherheit als Studienschwerpunkt an. Wer sich zum Experten weiterqualifizieren möchte, findet heute vielfältige Angebote. Beispielsweise werden die Kurse zur IT-Sicherheit an der Bitkom Akademie stark nachgefragt. Dort gibt es mehrtägige Kurse und auch Online-Seminare, die mit einer Prüfung und einem Zertifikat abschließen.
Die große Nachfrage nach IT-Sicherheitslösungen eröffnet auch Unternehmen neue Geschäftsfelder. Für den Münchner Konzern Rohde & Schwarz war IT-Sicherheit für die hauseigene IT-Abteilung und auch für die Kunden schon immer wichtig. Inzwischen entwickelte sich Cyber-Security zu einem neuen Geschäftsfeld. "Unsere Tochterunternehmen in Leipzig, Hamburg, Saarbrücken oder Bochum beschäftigen sich intensiv mit Cyber-Sicherheit und wie sich Netze vor Zugriffen schützen lassen", sagt Martin Troschke, verantwortlich für das Employer Branding von Rohde & Schwarz. Auch mit Übernahmen wie dem Startup Sirrix, einem Anbieter von Enterprise Security für Wirtschaftsunternehmen und Behörden, kam ein weiteres Unternehmen hinzu, das zur Strategie des Münchner Konzerns passt.
Martin Troschke, Rohde & Schwarz: "Eine Basisprogrammiersprache müssen Bewerber mitbringen, ein Studium ist nicht zwingend erforderlich. Eine fundierte Ausbildung zum Fachinformatiker eignet sich genauso, um sich auf IT-Sicherheit zu spezialisieren." Foto: Rohde & Schwarz
Neue IT-Mitarbeiter, die sich auf IT-Sicherheit spezialisiert haben, lassen sich nur schwer finden, meint Troschke. "Erst wenige Universitäten bieten den Studenten diesen Studienschwerpunkt an. Der Markt ist sehr überschaubar." Deshalb rekrutiert Rohde & Schwarz oft Quereinsteiger, die sich mit einer Zusatzqualifikation das notwendige Wissen angeeignet haben. "Eine Basisprogrammiersprache müssen Bewerber mitbringen, ein Studium ist nicht zwingend erforderlich", sagt Troschke und ergänzt: "Eine fundierte Ausbildung zum Fachinformatiker eignet sich genauso, um sich auf IT-Sicherheit zu spezialisieren."
Für eine Juniorposition sollten die Bewerber Berufserfahrung aus verschiedenen Praktika bei Providern oder der Netzwerkindustrie mitbringen, für Seniorpositionen bringt die Erfahrung als Projektleiter Pluspunkte. "Wichtig ist uns die Teamfähigkeit, das ist existenziell wichtig und da machen wir keine Abstriche. Spezielles Fachwissen lässt sich über Weiterbildungen vermitteln." Rohde & Schwarz bildet selbst Fachinformatiker aus, auch das duale Studium zählt zum festen Bestandteil des Ausbildungsplans.
Erfahrung wichtiger als ein Zertifikat
Doch gerade weil die Wege zu einer Spezialisierung auf IT-Sicherheitsthemen noch breit gefächert sind, eröffnen sich auch neue Chancen für Berufserfahrene. Otto-Manager Kleinfeld rekrutierte kürzlich neue Mitarbeiter für dieses Arbeitsfeld und profitierte dabei vom guten Image seines Arbeitgebers. "Es war nicht schwieriger für uns, die offenen Positionen für IT-Security-Experten zu besetzen als andere IT-Stellen", verrät er. "Wer sich im Netzwerkbereich spezialisiert, viele Jahre im Informationssektor gearbeitet und sich weitergebildet hat, ist für uns interessant", erläutert Kleinfeld und ergänzt: "Berufserfahrung ist für uns wichtiger als ein Zertifikat."
Das Hamburger Unternehmen profitiert von seinem guten Ruf, bietet den Mitarbeitern flexible Arbeitszeiten, Home-Office, ein firmeneigenes Fitnessstudio und vieles mehr. "Für Bewerber ist unser Gesamtpaket aus Aufgabenstellung, Rahmenbedingungen und Gehalt von Bedeutung - wie bei jeder anderen Tätigkeit auch", sagt Kleinfeld. Auch Rohde & Schwarz zahlt branchenübliche Gehälter und gilt auch wegen zahlreicher Zusatzleistungen vom Familienservice über Sportangebote bis zum Fitnessstudio und Betriebsrente als attraktiver Arbeitgeber.
Für die Tochterunternehmen wünscht sich Troschke mehr Bewerber, obgleich das Unternehmen bereits einen guten Ruf unter Informatikern genieße. "Wir bieten interessante Aufgaben und einen sicheren Arbeitsplatz. Karriere ist für viele Informatiker nebensächlich, sie interessieren sich viel stärker für Technik und da haben wir als Unternehmen eine Menge zu bieten", so Troschke. Auch regelmäßige Trainings und Weiterbildungen sieht der Personaler als Pluspunkt im Rennen um talentierte Bewerber.
Die 7 meist verbreiteten Sicherheitslücken
Mangelhafte Code-Qualität Probleme mit der Qualität des Codes stehen nicht ohne Grund auf Platz 1 dieser Liste. In einer Studie zur Softwaresicherheit in Unternehmen hat der Security-Anbieter Veracode festgestellt, dass bei mehr als der Hälfte aller getesteten Anwendungen die Code-Qualität ungenügend ist. Dieses Ergebnis ist erschreckend – und gleichzeitig ein Aufruf an alle Branchen, sichere Coding-Verfahren einzusetzen. Denn je später eine mangelhafte Qualität des Quellcodes festgestellt wird, umso aufwändiger wird es, sie zu verbessern – und umso länger ist die Anwendung angreifbar.
Kryptographische Probleme Sobald es darum geht, wichtige Informationen, wie Passwörter, Zahlungsinformationen oder persönliche Daten zu speichern oder weiterzugeben, kann man davon ausgehen, dass dies auf die eine oder andere Weise auf verschlüsseltem Wege geschieht – damit diese widerstandsfähig gegen Manipulation und unbefugtes Lesen sind. 87 Prozent der Android Apps und 80 Prozent der iOS Apps haben mit Verschlüsselungsproblemen zu kämpfen. Deshalb sind sie ein so beliebtes Ziel für Hacker.
CRLF Injections Grundsätzlich sind CRLF Injections eine Art Tor zu größeren Angriffen. Durch das Injizieren einer CRLF-Zeichensequenz (=Zeilenumbruch) an einer unerwarteten Stelle können Angreifer Anwendungsdaten ändern und die Ausnutzung von Schwachstellen ermöglichen. Darunter fallen Website-Defacement, Cross-Site Scripting, Hijacking des Webbrowsers und viele weitere. Gerade Android- und Java-basierte Anwendungen sind hiervon betroffen. Sie weisen zu 79 Prozent (Android) und zu 75 Prozent (Java) CRLF Injections auf.
Cross-Site-Scripting Eine weitere Attacke ist das Cross-Site-Scripting (auch als XSS bekannt). Sie tritt dann auf, wenn Angreifer Bereiche einer Website missbrauchen, die rund um dynamischen Content gebaut sind, Codes ausführen, die Nutzerkonten übernehmen oder Webbrowser fernsteuern. Cross-Site Scripting wird vor allem bei Formularen ein Problem, die ein gemeinsames Kodierungssystem mit der Eingabe von Fragezeichen und Schrägstrichen erlauben.<br /><br />Anwendungen, die in Web-Skriptsprachen geschrieben wurden, sind häufiger von Schwachstellen wie Cross-Site Scripting oder SQL Injections betroffen als Anwendungen basierend auf .NET oder Java. So beinhalten 86 Prozent der PHP-basierten Anwendungen mindestens eine Cross-Site-Scripting-Schwachstelle und 56 Prozent mindestens eine SQL Injection.
SQL Injections Obwohl sich SQL Injections auf dieser Liste weiter unten befinden, sind sie aufgrund ihrer leichten Ausführbarkeit doch eine der häufigsten, auftretenden Sicherheitslücken. Angreifer platzieren SQL-Abfragen in entsprechende Eingabebereiche und versuchen so, über die Anwendung, die den Zugriff auf die Datenbank bereitstellt, eigene Befehle einzuschleusen. Dadurch ist es Angreifern möglich, Informationen einzusehen, Daten zu verändern und sogar zu löschen sowie die Kontrolle über den Server vollständig zu übernehmen.
Directory Traversals Directory Traversals sind beängstigend, da weder viel Wissen noch Werkzeuge nötig sind, um damit großen Schaden anzurichten. Im Prinzip kann jeder mit einem Webbrowser und Hacking-Grundkenntnissen durch die Manipulation von Pfadangaben ungeschützte Seiten hacken, so Zugang zu größeren Dateisystemen erlangen und dort nützliche Informationen wie Passwörter, kritische Dateien oder sogar Seiten- und Anwendungsquellcodes abgreifen. Gemessen an den gängigsten Programmiersprachen sind 47 Prozent aller Anwendungen von Directory Traversals betroffen.
Unzureichende Datenvalidierung Simpel gesprochen lässt sich sämtlicher Input, den Anwender im System abspeichern, kontrollieren und verwalten, unter der Voraussetzung, dass die Daten, die in das eigene Netzwerk kommen, entsprechend validiert und "sterilisiert" werden. Ist dies nicht der Fall, entstehen eine Reihe an Sicherheitsrisiken, die bösartigen Angreifern unter anderem ermöglichen, Daten auszulesen und zu stehlen sowie Sitzungen und Browser-Aktivitäten fremdzusteuern.