In den Bereich IT-Sicherheit fanden viele Informatiker früher über den Quereinstieg. Heute gibt es spezielle Studiengänge und berufsbegleitende Ausbildungsangebote.
Die Wege zum IT-Security-Experten sind vielfältig: Quereinstieg, Universität oder berufsbegleitend. Foto: Rido - Fotolia.com
Vor der Jahrtausendwende gab es keine Berufe im Bereich IT-Sicherheit, denn die Sicherheit ist ein sehr junges Spezialgebiet der IT. 1987 wurde das erste Computervirus entdeckt und bereits 1990 behaupteten die ersten Hersteller von Sicherheitssoftware, dass es kaum noch unbekannte Themen in der IT-Sicherheit gäbe. Im Jahr 2000 meinten die Experten, die IT-Sicherheitslage im Griff zu haben. Die Problematik schien ihrer Meinung nach ausschließlich an der Schnittstelle zwischen dem Unternehmensnetz und dem Internet zu liegen. 2010 stellte die Industrie ernüchtert fest, dass ihnen die Sicherheitsprobleme über den Kopf wachsen. 2012 markiert "Flame" das "Versagen der Antivirus-Industrie" - und einen Wendepunkt in der IT-Sicherheit.
Viele IT-Sicherheitsexperten sind durch diese Entwicklungen in ihren Expertenstatus hineingewachsen und haben sich ihr Wissen autodidaktisch angeeignet. Später ergänzten die Fachleute das Wissen durch Weiterbildung.
Bachelor oder Master in IT-Sicherheit
Die ursprünglich vielfältigen Möglichkeiten des Einstiegs in das Thema der IT-Sicherheit haben sich nun auf eine akademische Ausbildung konzentriert. Führte der Weg nach der Jahrtausendwende über die Belegung entsprechender Fächer und Kurse während eines IT-bezogenen Studiums, werden jetzt IT-Sicherheits-Studiengänge an Hochschulen angeboten, die mit dem Bachelor oder Master abschließen. Die Ruhr-Universität Bochum beispielsweise ist eine international anerkannte Adresse für die IT-Sicherheit. Wer allerdings bereits arbeitet und seine Berufstätigkeit nicht aufgeben möchte, kann etwa im Fernstudium bei der isits AG International School of IT Security den "Master in Applied IT Security" (M.Sc.) erwerben. (Mehr zum Thema: "IT-Sicherheit: Experten sind gefragt".)
Qualifizierung von Softwareentwicklern
Es gibt aber immer noch Systemadministratoren oder Softwareentwickler im Unternehmen, die keinen Hochschulabschluss erwerben können oder möchten, aber durch Praxis und zielgerichtete Weiterbildung einen ebenfalls hohen Grad an Expertise erreichen. Eine überschaubare Anzahl an Weiterbildungszertifikaten wie beispielsweise C.I.S.S.P., T.I.S.P. oder ISMS Auditor werden in vielen Unternehmen aktiv gefördert, um Fachwissen ins Unternehmen zu holen, Mitarbeiter zu binden und dem Fachkräftemangel vorzubeugen.
Letztendlich führt der Weg zum IT-Security-Spezialisten aber immer über eine profunde Grundausbildung in der Informationstechnologie gepaart mit Praxiserfahrung, Neugier und einer spezialisierten Zusatzausbildung in der IT-Sicherheit, ohne die man die komplexen Zusammenhänge zwischen Mensch, Information und Maschine nicht verstehen kann.
Die vier am häufigsten gesuchten Berufe in der IT-Sicherheit sind wohl:
IT Security Consultant
Tätigkeit: Beratung von Kunden in komplexen IT-Sicherheitsprojekten
Voraussetzungen: Technischer Studien- oder Berufsabschluss, zwingend Aufbauwissen IT-Sicherheit, Erfahrungen in Systemanalyse, Spaß am Kundenkontakt, gute Kommunikationsfähigkeiten
Soft Skills
1. Kommunikative Kompetenz Ihre Kommunikationsfähigkeit hilft Ihnen, Konsens herzustellen und Verständnis für Ihre Ziele und Wünsche zu erzeugen.
2. Selbstbewusstsein Selbstbewusst bedeutet unter anderem, sich selbst bewusst wahrzunehmen, die eigenen Stärken und Schwächen zu kennen.
3. Einfühlungsvermögen Wer empathisch ist, kann andere leichter von seiner Sache überzeugen.
4. Teamfähigkeit In jeder Stellenanzeige ist Teamfähigkeit gefordert. Teamfähig zu sein bedeutet unter anderem, seine Rolle im Team zu erkennen und sich entsprechend der an diese geknüpften Erwartungen zu verhalten.
5. Kritikfähigkeit Kritikfähig zu sein bedeutet nicht nur, Kritik zu üben (fair, sachlich), sondern auch Kritik annehmen, reflektieren und entsprechend umsetzen zu können. Besonders in Teams, Projekten und in Führungssituationen spielt der Umgang mit Kritik eine entscheidende Rolle.
6. Analytische Kompetenz Wenn Sie Ihre analytischen Fähigkeiten trainieren, sind Sie in der Lage, Situationen rasch zu erfassen und entsprechend schnell zu reagieren.
7. Vertrauenswürdigkeit Vertrauen ist die Erwartung, sich in kritischen Situationen auf den anderen verlassen zu können.
8. Selbstdisziplin/Selbstbeherrschung Wer sich nicht selbst beherrscht, bleibt immer Knecht. Nur wer sich selbst im Griff hat, kann andere überzeugen.
9. Neugierde Neugierde ist die Voraussetzung für Kreativität.
10. Konfliktfähigkeit Nur wenn Sie andere Auffassungen akzeptieren können und sich offen mit Ihren Mitmenschen auseinander setzen, leben Sie ein selbstbestimmtes Leben.
11. Durchsetzungsvermögen Sich angemessen durchzusetzen bedeutet zu überzeugen, statt zu überreden - oder zu zwingen. Überzeugt folgen Ihnen andere gern auf Ihrem Weg.
Mehr zum Thema Soft Skills ... ... finden Interessierte im gleichnamigen Buch von Gabriele Peters-Kühlinger und Friedel John - erschienen bei Haufe im praktischen "TaschenGuide"-Format (passt in jede Hosentasche).
Information Security Officer
Tätigkeit: Verantwortung für die IT- und Informationssicherheit im Unternehmen, Definition von Anforderungen, ggf. Durchführung von IT-Security-Audits und Awareness-Kamapagnen, Eskalation von IT-Sicherheitsvorfällen
Voraussetzungen: Technischer Studienabschluss und Aufbauwissen IT-Sicherheit, Erfahrungen in Systemadministration, Verständnis für das Informationsmanagement und IT-Sicherheitsarchitektur, gute Kommunikationsfähigkeiten
IT-Security-Sünden
Security-Sünde Nr.1 Portable Geräte werden allzu häufig vernachlässig. Leider kommen Lösungen zur Kontrolle dieser Endgeräte, wie die hier gezeigte Möglichkeit, Berechtigungen einzuschränken, immer noch viel zu selten zum Einsatz. (Quelle: DeviceLock).
Auch das fällt noch unter den großen Sicherheitsirrtum, dass sich alle Daten einfach im Rechenzentrum isolieren lassen Die wenigsten Anwender verwenden auf ihren Smart-Phones eine Sicherheitslösung, die Daten auf diesem Gerät schützen könnte. (Quelle: Bär/Schlede)
Das eindrucksvollste Beispiel für nicht kontrollierte Wechselmedien/USB-Sticks Die Verbreitung des Stuxnet-Wurms im Jahr 2010, hier in der geografischen Verteilung, wie sich das Malware Protection Center von Microsoft aufzeichnete. (Quelle: Microsoft Threat Research & Respond Blog).
Ein großer Irrtum bei den Sicherheitsmaßnahmen – die zweite große Security-Sünde Mitarbeiter kennen das Risiko und verhalten sich entsprechend: Eine repräsentative Emnid-Studio im Auftrag von Symnatec zeigt, dass beispielsweise viele Mitarbeiter auch im Urlaub auf ihre Firmen-Mail via Mobil-Phone zugreifen, mit allen damit verbundenen Risiken (Quelle: Emnid/Symantec).
Die sozialen Netzwerke und die Sicherheit Security-Sünde Nr. 3 in der täglichen Praxis. Kaum ein Anwender und nur wenige Administratoren befassen sich ernsthaft mit den Sicherheitsproblemen der Social Networks oder setzen wie hier, entsprechende Schutzlösungen ein (Quelle: Bär/Schlede).
Die Security-Sünden und die sozialen Medien Kontrollieren wirklich alle Mitarbeiter, welchen Anwendungen sie Zugriff zu ihren dienstlich genutzten Twitter-Accounts gewähren oder kann ein Administrator darauf überhaupt einen Einfluss haben? (Quelle: Bär/Schlede)
Neue Medien und neue Netze bedeuten neue Herausforderungen Durch die Einführung von Google+ stellt sich für viele Administratoren in Hinblick auf die Sicherheit die Frage, wie sollen sie damit umgehen – ein Sperren der Domäne „google.de“ oder „google.com“ dürfte eher kontraproduktiv sein. (Quelle Bär/Schlede).
Hier kann nur Schulung der Anwender (Security-Sünde Nr. 3) helfen, eine Gefährdung zu erkennen und zu vermeiden Eine verkürzte URL führt den Nutzer auf eine Malware-Seite, obwohl er meint, sich auf einer Seite seiner Bank zu befinden. (Quelle: Symantec Intelligence Report July 2011).
Eine der verbreiterten Formen des „Social Engineering“ ist bereits in den Betreff-Zeilen von Spam-Nachrichten zu finden Die Nutzer werden direkt und persönlich angesprochen. Auch hier kann Aufklärung und Schulung helfen, die Anwender von Schaden zu bewahren. (Quelle: Symantec Intelligence Report July 2011)
Warum Antivirus-Software und Firewall definitiv nicht genügen können Diese Grafik zeigt sehr anschaulich, wie der Anteil an Web-basierter Schadsoftware beziehungsweise Malware stetig steigt – auch hier können viele Probleme durch aufmerksame und geschulte Anwender minimiert werden. (Quelle: Symantec Intelligence Report July 2011)
Welche Anwendung darf im Firmennetz welche Verbindung aufbauen und vor allen Dingen auch Daten übertragen? Eine Lösung wie die gezeigte Software von DeviceLock stellt den Systemverwaltern dafür fein granulierte Kontrollmöglichkeiten zur Verfügung (Quelle: DeviceLock).
Security-Sünde Nr.5 Vielfach übersehen Unternehmen und die verantwortlichen IT-Fachleute, dass Sicherheit nur im ganzheitlichen Ansatz wirklich funktionieren kann: Dazu gehört neben so „normalen Dingen“ wie Patch- und Update-Management doch auch die Überwachung der Drucker – in den heutigen vernetzten Zeiten wichtiger denn je… (Quelle: Devicelock).
Virusanalyst / Reverse Engineer / Softwareentwickler für Sicherheitslösungen
Tätigkeit: Erstellen von Signaturen, Analyse von Schadsoftware, Entwicklung von Tools, Entwicklung von Sicherheitssoftware
Voraussetzungen: Technischer Studienabschluss und Aufbauwissen IT-Sicherheit, Kenntnisse in embedded und Low-Level-Programmiersprachen, Talent zum Fehlerfinden und zur Datenanalyse, Talent für Code-Analyse und Kryptografie
Tätigkeit: Interne oder externe Beratung im Bereich Datenschutz und Informationssicherheit
Voraussetzungen: Technische Ausbildung und zertifizierte Qualifikation als Datenschutzbeauftragter, Abstraktionsvermögen für die Komplexität des Informationsmanagementsystems und der Geschäftsprozesse, Genauigkeit, Verbindlichkeit, gute Kommunikations- und Moderationsfähigkeiten
Die isits International School of IT Security AG hat sich seit 2001 europaweit als Weiterbildungs- und Konferenzanbieter der IT-Sicherheit und der Informationssicherheit etabliert und passt ihr Aus- und Weiterbildungsprogramm laufend an die aktuellen Anforderungen der neuen Berufsbilder an. Aktuell startete auch eine spezialisierte Internetjobbörse der isits. Die konzentrierte Ausrichtung innerhalb der Branche sowie die enge Zusammenarbeit mit Unternehmen und Universitäten macht die isits AG zu dem professionellen Weiterbildungspartner für IT-Anwender, -Profis und -Experten.