Unser CISO-Check zeigt: Nur wer ständig nach neuen Lösungen und Wegen sucht, die bestehenden Security-System zu verbessern, wer sich gut mit dem Business und den Partnerunternehmen versteht, um seine Security-Interessen nachvollziehbar und glaubhaft zu vermitteln, wer disruptiv denkt und agiert, das "Brot-und-Butter-Geschäft" aber trotzdem nicht aus den Augen verliert, eignet sich zum IT-Security-Manager.
Den Unternehmen fehlen die Security-Experten an allen Ecken und Enden. Einer Studie von (ISC)², einem weltweiten Zusammenschluss von IT-Security-Verantwortlichen, zufolge, fehlt es in knapp zwei Dritteln der Unternehmen an Security-Fachpersonal - rund die Hälfte der Unternehmen würde liebend gerne einstellen, findet aber keine Bewerber. Es wird erwartet, dass in fünf Jahren 1,5 Millionen Stellen für IT-Sicherheit unbesetzt sein werden.
Die Folge dieser Entwicklung sind steigende Gehälter für die wenigen Spezialisten, die es gibt und die sich ihre Stellen heraussuchen können. Auch gibt es immer mehr IT-Profis, die sich entsprechende Security-Expertise anzueignen versuchen, um sich beruflich umzuorientieren.
Sind auch Sie an einer Position in der IT-Security interessiert? Dann beherzigen Sie folgende Empfehlungen:
Keine Sorge, wenn Ihnen Security-Fachkenntnisse fehlen
Viele offene Stellen in der IT-Sicherheit erfordern einige Jahre Berufserfahrung - dazu gehören beispielsweise Security-Software-Entwickler, die Julie Oates vom Recruiting-Unternehmen Mondo zufolge bis zu 175.000 Euro Jahresgehalt einstreichen können - kein Wunder, sind Entwickler neben Software-Architekten doch die von den Unternehmen am stärksten nachgefragten Spezialisten.
Das Know-how, das die Experten mitbringen müssen, sei äußerst vielfältig, erklärt Julian Bellanger, Mitgründer und CEO des Security-Monitoring-Dienstleisters Prevoty: "Es sind so dermaßen viele verschiedene Fähigkeiten gefordert, dass niemand allein alle Security-Rollen ausfüllen kann." Der Trend gehe daher hin zu sehr großen Security-Teams - bestehend aus Netzwerkspezialisten, Anwendungsexperten und welchen, die die Geschäftslogik hinter den Applikationen verstehen.
Tony Martin-Vegue, Risk Manager bei einem Finanzdienstleister aus dem Großraum San Francisco, stimmt Bellangers Aussagen zu: "IT-Security ist ein weitläufiges Feld aus Programmierern, Risikomanagern, PR-Profis, die den Geschäftsentscheidern den Sachverhalt verständlich erklären können, Experten für menschliches Verhalten und Wirtschaftsprofis." Martin-Vegue betont, dass er auch solche Bewerber als Risk Manager einstellt, die ein Wirtschaftsstudium abgeschlossen haben oder sich anderweitig gut mit Finanzen auskennen, ohne dass Security-Expertise vorhanden ist: "Ökonomie besteht einzig daraus, Risiken zu verstehen." Ähnlich gut geeignet seien Spezialisten für Psychologie, die beispielsweise verstehen, warum jemand auf eine Phishing-Attacke hereinfalle.
Foto: Syda Productions - www.shutterstock.com
Denken Sie langfristig
Der größte Bedarf wird sich Beobachtern zufolge in den Bereichen Software- und Anwendungssicherheit auftun. "Das größte Problem, das auf uns zukommt, ist der schlechte Software-Entwicklungsprozess und die damit einhergehende schlechte Qualität des Codes", erläutert Jeff Combs vom IT-Security-Recruiter ISE Talent. Warum das so ist, sieht er ganz pragmatisch: "Schon seit mehr als 50 Jahren entwickeln wir Software - um die Sicherheitsaspekte kümmern wir uns aber erst seit zehn Jahren."
Weil die beruflichen Weiterentwicklungschancen im Security-Bereich aber beschränkt seien, gingen die Top-Talente lieber als Software-Entwickler zu Google und Facebook. Combs: "Wir werden ständig gefragt, ob wir geeignete Bewerber für IT-Sicherheitsjobs hätten." Gesucht werden vor allem Projektmanager und Experten mit viel Praxiserfahrung. Unternehmen fahren am besten, wenn sie einen Projektverantwortlichen einstellen, der die anderen Mitarbeiter in Security-Fragen berät und weiterbildet. Wer im Feld der Anwendungssicherheit seine Laufbahn beginnt, könne sich mit der Zeit beispielsweise auch in IT-Architektur- oder Cloud-Sicherheit einen Namen machen, stellt Combs heraus.
Die Möglichkeiten in diesen Bereichen seien vielfältig, während beispielsweise klassischere Arbeitsfelder wie Netzwerk- oder Hardware-Security weniger Entwicklungschancen böten. "Wenn ich heute 18 wäre und mich entscheiden müsste, würde ich beruflich entweder etwas mit Anwendungssicherheit machen oder in ein DevOps-Security-Team gehen", sagt der Recruiting-Spezialist.
Unterschätzen Sie Ihr Können nicht
Nach Aussage von Martin-Vegue haben ausgebildete System-, Netzwerk- und Datenbankadministratoren üblicherweise bereits drei Viertel des Weges zum Security-Profi geschafft. Ethical Hacking, Penetrationstesting und Datenschutzwissen: Wer hier Bescheid wisse, verstehe bereits, wie Systeme funktionieren und Anwender auf sie zugreifen. "Der Weg zum Nutzerrechte-Management und zu Compliance-Prüfung gegen Frameworks und Standards ist dann nicht mehr weit", so der Risk Manager. Es sei häufig sogar ein Vorteil, aus anderen IT-Berichen zu kommen: "Um gut in Security zu sein, sind solide technische Grundlagen in Systemadministration, Netzwerk- oder Software-Entwicklung wichtig."
Bob Melk vom IT-Jobvermittler Dice empfiehlt CIOs, lieber ihr bestehendes Personal in IT-Security weiterzubilden anstatt externe Sicherheitsexperten dazu zu holen. "Wir müssen mehr tun als einfach nur Gehälter oder Sozialleistungen zu erhöhen - Unternehmen müssen den Fachkräftemangel durch Mitarbeiterpflege bekämpfen."
So hilft Dice Unternehmen dabei, die Schnittmenge der Anforderungen von allgemeinen IT-Jobs und Security-Stellen zu bestimmen und dann einen Plan aufzustellen, um die Besetzung der offenen Positionen voranzutreiben. "Die gute Nachricht ist: Es gibt eine Menge Security-Jobs, in die IT-Experten hineinwachsen können", so Melk. Schaue man sich die üblichen Stellenangebote für Positionen wie Security Auditor, IT-Sicherheits-Projektmanager oder Security Engineer an, seien die dort geforderten Fachkenntnisse identisch mit denen von Jobs wie Netzwerksicherheits-Spezialisten oder Intrusion-Detection-Profis. Melk kritisiert jedoch, dass die zahlreichen Möglichkeiten, sich als IT'ler in Security-Fragen zu spezialisieren und der genaue Weg dorthin den potenziellen Kandidaten selten klar seien - besonders Quereinsteiger würden kaum gefördert.
Zum Video: Eignen Sie sich zum IT-Sicherheitsprofi?
Sie müssen nicht zurück in den Hörsaal
Auch wenn der Einstieg in die IT-Security-Welt schwierig erscheint, ist eines sicher: Niemals zuvor gab es so viele Möglichkeiten, sich das nötige Wissen anzueignen. Ob durch Gratis-Onlinekurse, Zertifizierungslehrgänge oder einfach die Vernetzung innerhalb der Security-Community. Es gibt diverse Verbände, Zusammenschlüsse und Arbeitsgruppen: SANS, ISACA, ISSA, (ISC)², OWASP - sie alle sind sehr aktiv und bieten ihren Mitgliedern sowohl Aus- und Weiterbildung als auch den Erfahrungsaustausch.
Martin-Vegue empfiehlt Interessierten, sich in einem kostenlosen Kurs an Onlineuniversitäten wie Coursera oder EdX die Grundlagen in IT-Security anzueignen und dann zu entscheiden, in welchem Bereich sich eine Spezialisierung lohnt. Melk sieht es ähnlich: Gerade wenn der Arbeitgeber selbst keine Weiterbildungsprogramme offeriere, seien Onlinekurse eine gute Option: "Sie können diese Kurse belegen, ohne zurück in den Hörsaal an der Universität zu müssen, um einen Bachelor oder Master in IT-Sicherheit zu machen."
Wisse man, in welchem Bereich man sich spezialisieren wolle, stünden dann Zertifizierungsprogramme an. "Es heißt zwar allgemein, dass Zertifikate nichts über die Fähigkeiten im echten Berufsalltag aussagen, die Wahrheit ist aber, dass Unternehmen sehr wohl darauf achten, ob Bewerber Zertifikate vorlegen können", erklärt Melk. Ergo: Auch wenn niemand sie mag und eigentlich gar nicht braucht, sind Zertifizierungen überlebenswichtig.
Insbesondere die CISSP-Zertifizierungen, die die (ISC)² ausstellt, sind zu einer anerkannten Grundlage für höherrangige Positionen geworden - im Risiko-Management kommen die CRISC-Zertifikate der ISACA als Voraussetzung hinzu. Wer etwas weiter unten einsteigt, sich aber mit mehr als der Konfiguration der Firewall beschäftigen möchte, sollte herstellerseitige Zertifikate beispielsweise von Cisco oder Juniper Networks ins Auge fassen. Für Softwareentwickler bietet sich eine SSDLC-Zertifizierung an, um Expertise in Anwendungssicherheit nachzuweisen.
Wissen, worauf Sie sich einlassen
Der IT-Security-Job hat eine Kehrseite: Stress und Burnout. "Auf IT-Sicherheits-Konferenzen in den USA ist Depression immer eines der wichtigsten Themen - und auch abseits der Event wird in der Branche zunehmend darüber gesprochen", führt Martin-Vegue aus. "Wenn Sie das Gefühl haben, dass sie dem Arbeitsstress und möglichen Burnouts nicht gewachsen sind, ist eine IT-Security-Karriere vielleicht nicht die beste Idee."
Das Burnout-Risiko ist so hoch, weil viele Unternehmen falsche Erwartungen an ihre IT-Security-Verantwortlichen haben. Tritt ein Vorfall auf, wird sofort angenommen, dass das IT-Security-Team einen schlechten Job gemacht ab. Handelt es sich auch noch um einen Vorfall mit Öffentlichkeitswirkung, hat das unmittelbare Konsequenzen für die Kunden und die Mitarbeiter - es kommt zu Entlassungen, der Börsenkurs fällt, das Vertrauen ist weg. "Als IT-Sicherheitsverantwortlicher sitzen Sie auf dem heißen Stuhl und haben da ernsten Stress", so Martin-Vegue.
Zumal die Security-Funktion meist noch losgelöst vom Business gesehen wird - sie schöpft keinen unmittelbaren Werte, hält den Betrieb auf und ist dann auch noch Schuld, wenn etwas passiert - das führt zu einem Silo, aus der sich Security-Verantwortliche erst einmal herauskämpfen müssen. "Sie brauchen starke Nerven und Durchsetzungsvermögen", erklärt Recruiter Combs. Die hat nicht jeder: Der jüngste Security-Report der (ISC)² kommt zu dem Ergebnis, dass fast ein Fünftel aller IT-Security-Posten im vergangenen Jahr neubesetzt wurden.
Immerhin ändert sich die Wahrnehmung der Sicherheitsthemen mittlerweile - sie wird als wichtiger Bestandteil des Geschäftbetriebs gesehen, zumindest bei den großen Konzernen.
Zum Video: Eignen Sie sich zum IT-Sicherheitsprofi?
Folgen Sie Ihrer Leidenschaft, nicht dem Geld
Mögen der Bedarf und die Bezahlung noch so gut sein - es gibt bessere Gründe, sich für eine Stelle in der IT-Sicherheit zu entscheiden. Man wird schnell Teil einer gut vernetzten Community - gerade im Vergleich zum doch sehr diversifizierten Bereich der Anwendungsentwicklung.
Combs resümiert: "Wenn Sie ein Mensch sind, der den Dingen gerne auf den Grund geht, wissen möchte, wie etwas funktioniert - Dinge nur kaputt macht, um sie hinterher wieder zusammensetzen zu können, dann ist IT-Security das Richtige für Sie." Es hätten bereits Künstler, Musiker, Kreative und andere Querdenker eine zweite Karriere in IT-Sicherheit gestartet - letztendlich hänge alles an der persönlichen Leidenschaft und dem Interesse zu verstehen, was sich unter der Oberfläche befinde. Combs Empfehlung: "Wer etwas nicht gleich akzeptiert, nur weil schon immer so gewesen ist, ist hier genau richtig."
Dieser Beitrag erschien im englischen Original bei unserer US-Schwesterpublikation NetworkWorld.