Cyberwomen 2019

In die IT-Security führen viele Wege

09.07.2019
Von  und
Karriere in der IT ist ihr Leib- und Magenthema - und das seit 20 Jahren. Langweilig? Nein, sie entdeckt immer neue Facetten in der IT-Arbeitswelt und im eigenen Job. Sie recherchiert, schreibt, redigiert, moderiert, plant und organisiert.
Jens Dose ist Redakteur der COMPUTERWOCHE und betreut in erster Linie Themen rund um IT-Sicherheit, Datenschutz und Compliance.
Die IT-Security-Branche ist offen für Quereinsteiger und hat auch für Bewerber ohne tiefes technisches Know-how einiges zu bieten. Die Unternehmen, die einen akuten Personalbedarf haben, wollen darum auch mehr Frauen gewinnen.

Mit Frauen in der IT-Security hatte die Veranstaltung "Cyberwomen 2019", die Ende Juni zum ersten Mal in München stattfand, eine eher spitze Zielgruppe. Doch Initiator Infodas fand viele Kooperationspartner und gute Referentinnen. Sie alle glaubten an die Idee, dass Frauen in der Security eine Plattform brau­chen, um sich kennenzulernen und fachlich auszutauschen. Rund 200 Teilnehmerinnen waren vor Ort, um auf der Bühne und in Pausengesprächen über Karriere und Fach­themen zu diskutieren.

Alexander Schellong, Veranstalter und Mitglied der Infodas-Geschäftsleitung, (rechts) freute sich, dass er für die erste Cyberwomen so viele hochkarätige Expertinnen für die Panels gewinnen konnte, etwa vom BSI, Giesecke & ­Devrient, IBM oder der Deutschen Bank.
Alexander Schellong, Veranstalter und Mitglied der Infodas-Geschäftsleitung, (rechts) freute sich, dass er für die erste Cyberwomen so viele hochkarätige Expertinnen für die Panels gewinnen konnte, etwa vom BSI, Giesecke & ­Devrient, IBM oder der Deutschen Bank.
Foto: Infodas

Einig waren sich alle, dass die Security-Branche gut vergütete Karriereoptionen bietet. Das Problem sei nur, dass das den meisten Frauen nicht bewusst sei und sie sich von einem als zu technisch empfundenen Berufs­feld abschrecken ließen. Dabei gebe es gerade in der IT-Sicherheit viele Aufgaben, in denen nicht nur technische Skills gefragt sind, sagte Angelika Stein­acker. Sie selbst hat in Krypthografie promoviert, muss aber in ihrer aktuellen Funktion als CTO Identity & Access Management bei IBM Security Europe vor allem kommunizieren, das Thema IT-Security extern wie intern repräsentieren und den US-amerika­nischen Kollegen die europäische Sicht auf das Thema IT-Sicherheit nahebringen. "Bei IBM ­arbeiten in der Security auch viele Designer, da eine Security-Lösung so gestaltet werden muss, dass der Nutzer sie auch annimmt", so Steinacker.

Chancen für Quereinsteiger

Die Wege in die Security-Welt müssten nicht unbedingt über ein IT-Studium führen, sagte Jutta Häusler, Personalchefin von Giesecke und Devrient. Viele Security-Experten arbeiteten ursprünglich in Fachbereichen wie Compliance oder Audit und entwickelten sich innerhalb des Unternehmens weiter. Auch Anke Gaul, Personalchefin des BSI, bestätigte, dass Quereinsteiger und Nicht-Techniker in der Security eine Heimat finden können. Und obwohl Talente im öffentlichen Dienst geschlechterunabhängig gleich gut bezahlt würden, betrage der Frauenanteil nur 20 Prozent beim BSI. In den Security-Unternehmen ist er sogar noch geringer. Ursache hierfür ist, dass sich zu wenig Frauen für ein Informatikstudium entscheiden. Vor 40 Jahren betrug ihr Anteil an Erstsemestern 20, heute 25 Prozent. Die Security-Expertinnen stellten sogar Rückschritte fest, was das Vordringen der Frauen in Männerdomänen betrifft. "Wir waren in den 1980ern viel weiter", sagte etwa IBM-Managerin Steinacker.

In der IT-Sicherheit spielt das Geschlecht keine Rolle, so eine weitere Erkenntnis der Cyber­women-Veranstaltung. Aufgaben, Verantwortungsbereiche und Gehälter von Frauen und Männern seien gleich. Sonja Pascual Romero, CISO der GEMA, fand darum auch den Titel eines Panels unpassend: "Managen und sehen Frauen IT-Sicherheit anders?" Mit der Frage hielten sich die Teilnehmer gar nicht erst auf, sondern diskutierten statt dessen über Management-Herausforderungen wie Cloud-Mi­gration, Risiko-Manage­ment, Threat Intelligence, Sharing und Incident Response.

Defense in depth von Nöten

Für Deutsche-Bank-CISO Silke Lechtenberg benötigt wirksame Cyber-Security "Defense in depth". Es gelte, bei der Grundlage - den Daten - anzufangen und Schutzmaßnahmen schrittweise von innen nach außen aufzubauen. Als zweites komme das Netzwerk an die Reihe, dann die Anwendungen und schließlich die übergreifende Security-Governance. Anschließend müssten Detection-Maßnahmen implementiert werden, um Angriffe und andere Bedrohungen zu entdecken.

Um die richtigen Schutzmaßnahmen zu finden, rät Allianz-CIO Ralf Schneider zur Risikobewertung anhand von drei Fragen:

  • Welche Bedrohungslagen, Angriffsszenarien und bösartigen Akteure betreffen mich?

  • Welche Schwachstellen habe ich?

  • Wie verhindere ich größeren Schaden, wenn eine Attacke erfolgreich ist?

Dazu seien Incident-Response-Fähigkeiten und Threat Intelligence in Echtzeit nötig.

Barbara Mandel, Ex-CISO von Daimler, empfahl zudem, beim Risk-Assessment genau hinzuschauen, in welchen Ländern das Unternehmen aktiv ist. Die geltenden Regularien seien oft unterschiedlich und Compliance eine kleineteilige und schwierige Aufgabe. Das müssten Security-Verantwortliche bedenken und entsprechend in der Organisation abbilden.

Fast 200 Expertinnen aus der IT-Security trafen sich im Haus der Bayerischen Wirtschaft in München, um sich bei der „Cyberwomen“ über Karrierewege, aber auch Security-Herausforderungen auszutauschen und sich zu vernetzen.
Fast 200 Expertinnen aus der IT-Security trafen sich im Haus der Bayerischen Wirtschaft in München, um sich bei der „Cyberwomen“ über Karrierewege, aber auch Security-Herausforderungen auszutauschen und sich zu vernetzen.
Foto: Infodas

Herausforderung Lieferanten und Partner

Für GEMA-Managerin Romero stellt die Öffnung des Unternehmens nach außen für Partner und Lieferanten eine Herausforderung dar. Welche Cloud und welche Tools sind die richtigen, damit die sensiblen Daten der Kunden geschützt bleiben? Lechtenberg von der Deutschen Bank mahnte an, sich der eigenen Verantwortung für die Daten bewusst zu sein. Die "shared responsibility" mit dem Cloud-Anbieter sollte zentraler Teil der Security-Strategie sein.

Am Ende geht es laut Allianz-CIO Ralf Schneider darum, dass IT so komplex geworden ist, dass sie sich nicht mehr umfassend kontrollieren lässt. Es gehe vielmehr darum, dass Unternehmen sich selbst ausreichend organisierten und regulierten, um den unwägbaren Cyberrisiken standhalten zu können.

Die COMPUTERWOCHE-Redakteurinnen Karen Funk (links) und Alexandra Mesmer, unterstützten die Konferenz mit einem Vortrag zum Thema "Frauen in die IT!" und Präsenz im Ausstellungsbereich.
Die COMPUTERWOCHE-Redakteurinnen Karen Funk (links) und Alexandra Mesmer, unterstützten die Konferenz mit einem Vortrag zum Thema "Frauen in die IT!" und Präsenz im Ausstellungsbereich.