Diese Security-Skills brauchen Sie

Eignen Sie sich zum IT-Sicherheitsprofi?

01.09.2016
Von  und Mary Brandel


Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT - inhaltlich ist er nach wie vor für das "Leadership Excellence Program" aktiv. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.

Sie müssen nicht zurück in den Hörsaal

Auch wenn der Einstieg in die IT-Security-Welt schwierig erscheint, ist eines sicher: Niemals zuvor gab es so viele Möglichkeiten, sich das nötige Wissen anzueignen. Ob durch Gratis-Onlinekurse, Zertifizierungslehrgänge oder einfach die Vernetzung innerhalb der Security-Community. Es gibt diverse Verbände, Zusammenschlüsse und Arbeitsgruppen: SANS, ISACA, ISSA, (ISC)², OWASP - sie alle sind sehr aktiv und bieten ihren Mitgliedern sowohl Aus- und Weiterbildung als auch den Erfahrungsaustausch.

Martin-Vegue empfiehlt Interessierten, sich in einem kostenlosen Kurs an Onlineuniversitäten wie Coursera oder EdX die Grundlagen in IT-Security anzueignen und dann zu entscheiden, in welchem Bereich sich eine Spezialisierung lohnt. Melk sieht es ähnlich: Gerade wenn der Arbeitgeber selbst keine Weiterbildungsprogramme offeriere, seien Onlinekurse eine gute Option: "Sie können diese Kurse belegen, ohne zurück in den Hörsaal an der Universität zu müssen, um einen Bachelor oder Master in IT-Sicherheit zu machen."

Wisse man, in welchem Bereich man sich spezialisieren wolle, stünden dann Zertifizierungsprogramme an. "Es heißt zwar allgemein, dass Zertifikate nichts über die Fähigkeiten im echten Berufsalltag aussagen, die Wahrheit ist aber, dass Unternehmen sehr wohl darauf achten, ob Bewerber Zertifikate vorlegen können", erklärt Melk. Ergo: Auch wenn niemand sie mag und eigentlich gar nicht braucht, sind Zertifizierungen überlebenswichtig.

Insbesondere die CISSP-Zertifizierungen, die die (ISC)² ausstellt, sind zu einer anerkannten Grundlage für höherrangige Positionen geworden - im Risiko-Management kommen die CRISC-Zertifikate der ISACA als Voraussetzung hinzu. Wer etwas weiter unten einsteigt, sich aber mit mehr als der Konfiguration der Firewall beschäftigen möchte, sollte herstellerseitige Zertifikate beispielsweise von Cisco oder Juniper Networks ins Auge fassen. Für Softwareentwickler bietet sich eine SSDLC-Zertifizierung an, um Expertise in Anwendungssicherheit nachzuweisen.

Wissen, worauf Sie sich einlassen

Der IT-Security-Job hat eine Kehrseite: Stress und Burnout. "Auf IT-Sicherheits-Konferenzen in den USA ist Depression immer eines der wichtigsten Themen - und auch abseits der Event wird in der Branche zunehmend darüber gesprochen", führt Martin-Vegue aus. "Wenn Sie das Gefühl haben, dass sie dem Arbeitsstress und möglichen Burnouts nicht gewachsen sind, ist eine IT-Security-Karriere vielleicht nicht die beste Idee."

Das Burnout-Risiko ist so hoch, weil viele Unternehmen falsche Erwartungen an ihre IT-Security-Verantwortlichen haben. Tritt ein Vorfall auf, wird sofort angenommen, dass das IT-Security-Team einen schlechten Job gemacht ab. Handelt es sich auch noch um einen Vorfall mit Öffentlichkeitswirkung, hat das unmittelbare Konsequenzen für die Kunden und die Mitarbeiter - es kommt zu Entlassungen, der Börsenkurs fällt, das Vertrauen ist weg. "Als IT-Sicherheitsverantwortlicher sitzen Sie auf dem heißen Stuhl und haben da ernsten Stress", so Martin-Vegue.

Zumal die Security-Funktion meist noch losgelöst vom Business gesehen wird - sie schöpft keinen unmittelbaren Werte, hält den Betrieb auf und ist dann auch noch Schuld, wenn etwas passiert - das führt zu einem Silo, aus der sich Security-Verantwortliche erst einmal herauskämpfen müssen. "Sie brauchen starke Nerven und Durchsetzungsvermögen", erklärt Recruiter Combs. Die hat nicht jeder: Der jüngste Security-Report der (ISC)² kommt zu dem Ergebnis, dass fast ein Fünftel aller IT-Security-Posten im vergangenen Jahr neubesetzt wurden.

Immerhin ändert sich die Wahrnehmung der Sicherheitsthemen mittlerweile - sie wird als wichtiger Bestandteil des Geschäftbetriebs gesehen, zumindest bei den großen Konzernen.

Folgen Sie Ihrer Leidenschaft, nicht dem Geld

Mögen der Bedarf und die Bezahlung noch so gut sein - es gibt bessere Gründe, sich für eine Stelle in der IT-Sicherheit zu entscheiden. Man wird schnell Teil einer gut vernetzten Community - gerade im Vergleich zum doch sehr diversifizierten Bereich der Anwendungsentwicklung.

Combs resümiert: "Wenn Sie ein Mensch sind, der den Dingen gerne auf den Grund geht, wissen möchte, wie etwas funktioniert - Dinge nur kaputt macht, um sie hinterher wieder zusammensetzen zu können, dann ist IT-Security das Richtige für Sie." Es hätten bereits Künstler, Musiker, Kreative und andere Querdenker eine zweite Karriere in IT-Sicherheit gestartet - letztendlich hänge alles an der persönlichen Leidenschaft und dem Interesse zu verstehen, was sich unter der Oberfläche befinde. Combs Empfehlung: "Wer etwas nicht gleich akzeptiert, nur weil schon immer so gewesen ist, ist hier genau richtig."

Dieser Beitrag erschien im englischen Original bei unserer US-Schwesterpublikation NetworkWorld.

Zur Startseite