Praxiswissen wichtiger als formaler Abschluss

Was IT-Security-Experten können müssen

23.08.2018 von Alexandra Mesmer
Zum Handwerkszeug von IT-Sicherheitsprofis gehören mehr als Antivirensoftware oder Firewalls. Was Arbeitgeber von Bewerbern erwarten und mit welchen Aufgaben diese am Arbeitsplatz rechnen können, zeigt der DEKRA Arbeitsmarktreport, der 313 Stellenangeboten für IT-Security-Experten analysierte.

Knapp 70 Prozent aller Unternehmen und Institutionen wurden in den vergangenen zwei Jahren Opfer von Hackerangriffen, wie eine Studie des Bundesamtes für Sicherheit ergab. Fast die Hälfte der Angriffe war erfolgreich und die Eindringlinge konnten sich Zugang zu den Systemen verschaffen, was bei jedem zweiten betroffenen Unternehmen zu Betriebsausfällen führte. Dies zeigt deutlich: Das Thema ist brisant und betrifft alle Branchen.

Was Arbeitgeber von Bewerbern erwarten und mit welchen Aufgaben diese am Arbeitsplatz rechnen können, zeigt der DEKRA Arbeitsmarktreport.
Foto: Joyseulay - shutterstock.com

In der Stichprobe aus 313 Stellenanzeigen für IT-Security-Spezialisten finden sich dementsprechend Arbeitgeber aus fast allen Wirtschaftszweigen. Gut sechs von zehn der ausgewerteten Jobangebote richten sich an Fachleute für IT-Security, Datenschutz und Datensicherheit (62,9 Prozent). Außerdem adressierten sie häufig IT-Berater und vereinzelt Softwareentwickler, die sich auf das Thema IT-Sicherheit spezialisiert haben (31,3 beziehungsweise 5,8 Prozent).

Strategie und Schwachstellen-Management

Technische Vorkehrungen wie Firewalls oder Antivirensoftware sind idealerweise eingebettet in ein umfassendes Sicherheitskonzept aus unterschiedlichen strategischen, organisatorischen und technischen Bausteinen. Dies spiegeln auch die Aufgabenprofile in den Stellenanzeigen wider: Fast sieben von zehn der gesuchten Fachkräfte befassen sich an ihrer neuen Stelle mit Konzepten und Strategien für die IT-Sicherheit des Unternehmens. Zu den weiteren Aufgaben gehört ebenso ein wirkungsvolles Schwachstellen-Management, mit dem die Spezialisten mögliche Angriffspunkte suchen und beseitigen.

Cybergefahren werden meist mit dunklen Gestalten in Verbindung gebracht, die irgendwo auf der Welt im Auftrag von Unternehmen oder Regierungen ihre Angriffe planen. Oft wird Hackern jedoch das Tor von innen geöffnet, weil Mitarbeiter die Sicherheitsrichtlinien nicht kennen oder ignorieren. Ein wichtiger Aufgabenbereich der gesuchten IT-Security-Fachkräfte ist daher, Kunden, Management und andere Abteilungen in Sicherheitsfragen zu beraten oder Mitarbeitern in Trainings bewusst zu machen, wo Gefahren lauern und wie sie sich dagegen schützen.

Berufserfahrung und Standards sind wichtig

Bewerber, die ihre Fähigkeiten bereits in der Praxis bewiesen haben, sind im Vorteil: Oft setzen Arbeitgeber Berufserfahrung voraus (32,3 Prozent). Knapp jede vierte Position kommt nur für sehr erfahrene Fachkräfte infrage. Was konkrete Fach- und Praxiskenntnisse betrifft, nennen die Anforderungsprofile am häufigsten Erfahrung im Bereich System- bzw. Netzwerkadministration (26,2 Prozent).

Der CISO-Check: Taugen Sie zum IT-Security-Manager?
Glauben Sie ...
... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen?
Schauen Sie ...
... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern?
Überwachen Sie ...
... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln?
Suchen Sie ...
... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können?
Widmen Sie ...
... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit?
Versuchen Sie ...
... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können?
Behalten Sie ...
... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann?
Arbeiten Sie ...
... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen?
Bewegen Sie ...
... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird?
Verlieren Sie ...
... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?

Jeder vierte Kandidat muss ausdrücklich in den Normen der ISO/IEC-27000-Reihe bewandert sein, unter der diverse Standards der IT-Sicherheit zusammengefasst sind. Zudem werden häufig auch ganz allgemein "gängige" Standards und Gesetze gefordert (22,4 Prozent). Viele weitere Nennungen betreffen spezifische Fachgebiete, die von Kenntnissen in Netzwerkprotokollen wie TCP/IP über Kryptografie bis hin zu Identity- und Access-Management reichen.

Recruiter erwarten oft einen Studienabschluss, wobei sie in den Stellenanzeigen oft mehrere Fach- oder Ausbildungsrichtungen als Option nennen. Bewerber mit einem Abschluss in Informatik sind dabei auf der sicheren Seite, aber auch Wirtschaftsinformatik oder andere MINT-Studiengänge kommen in den Anforderungsprofilen vor.

Studium nicht zwingend notwendig

Auch wenn sie ein Studium oft bevorzugen, sind Arbeitgeber genauso aufgeschlossen gegenüber Kandidaten mit entsprechender Berufsausbildung. Sicherheitsspezialisten müssen die Prozesse im Unternehmen verstehen, um angemessene Sicherheitskonzepte entwickeln zu können. Deshalb haben auch Wirtschaftswissenschaftler gute Jobchancen, wenn sie entsprechendes Know-how in IT-Sicherheit mitbringen.

Überrascht hat, dass 51 Jobangebote sogar einen rechtswissenschaftlichen Studienabschluss als Alternative beinhalten - vermutlich als Reaktion auf verschärfte gesetzliche Vorgaben sowie neue Haftungsfragen in Bezug auf IT-Sicherheit und vernetzt arbeitende Systeme. Diese Kandidaten kümmern sich vermutlich verstärkt um rechtliche Rahmenbedingungen und die Einhaltung der Compliance.

"IT-Security-Fachkräfte müssen ihr Metier sehr gut beherrschen. Dabei ist es oft nachrangig, wie sie sich das benötigte Praxiswissen angeeignet haben", erläutert Peter Littig, Bildungspolitischer Berater der Geschäftsführung der DEKRA Akademie. "Arbeitgeber schätzen informell erworbene Kenntnisse.

Dies zeigt sich nicht allein daran, dass Kandidaten nur für etwa drei von zehn Positionen formale Zertifikate benötigen; auch die Relevanz von Berufserfahrung deutet darauf hin." IT-Sicherheitsexperten müssen ihr komplexes Fachgebiet den Kollegen anderer Fachbereiche verständlich erklären und nahebringen können. Nicht ohne Grund stehen deshalb Kommunikationsstärke und Teamfähigkeit mit deutlichem Abstand an der Spitze der gewünschten persönlichen Eigenschaften von Bewerbern.

Durchsetzungsstärke erwünscht

Eine Reihe weiterer relevanter Soft Skills bezieht sich auf die Arbeitsweise der Fachkräfte im Bereich IT-Security: Sie sollen beispielsweise analytisch sowie strukturiert denken und arbeiten. Nicht alle Sicherheitsvorkehrungen und -regeln erschließen sich den Mitarbeitern sofort und oft braucht es Zeit und Geduld, ihnen neue Verhaltensweisen zu vermitteln.

IT-Sicherheitsexperten benötigen daher ein gutes Maß an Durchsetzungsvermögen und sicherem Auftreten. Der DEKRA Arbeitsmarkt-Report 2018 kann kostenfrei per E-Mail unter service.akademie@dekra.com angefordert werden und steht als Blätterkatalog unter www.dekra-akademie.de/dekra-arbeitsmarkt-report-2018 zur Verfügung.

Was IT-Fachkräfte 2017/2018 verdienen
IT-Gehälter 2018/2019
12.225 Datensätze analysierten die Hamburger Vergütungsspezialisten von Compensation Partner für die große Gehaltsstudie für IT-Fach- und Führungskräfte.
Security-Experten bleiben die Gewinner
Unter den IT-Fachkräften ohne Personalverantwortung verdienen die Security-Profis mit einem durchschnittlichen Jahresbruttogehalt von 75.600 Euro am meisten.
Gut bezahlte IT-Projektleiter
Nach den Security-Experten sind die Projektleiter mit durchschnittlich 73.200 Euro im Jahr die am besten bezahlten IT-Fachkräfte.
SAP-Wissen ist immer noch ein Garant ...
... für eine hohe Nachfrage und damit auch eine dementsprechend hohe Vergütung. SAP-Berater gehören mit einem durchschnittlichen Bruttojahresgehalt von 72.900 Euro zu den Top-Verdienern.
IT-Berater ...
... erzielen mit 72.400 Euro brutto im Jahr auch ein überdurchschnittliches Gehalt für IT-Fachkräfte ohne Personalverantwortung.
Entwicklergehälter
Am besten verdienen SAP-Entwickler mit 65.600 Euro im Jahr, gefolgt von Softwareentwickler im Backend ( 61.700 Euro) und Experten für User Experience ( 58.200 Euro).
Aber auch Entwickler, ...
... die im Mobile-Bereich unterwegs sind und Apps programmieren, sind mit durchschnittlich 59.800 Euro brutto im Jahr gut dabei.
Netzwerk- und Systemadmins ...
... müssen dagegen mit einem niedrigeren Bruttogehalt auskommen: 49.300 Euro im Jahr.
Support-Mitarbeiter ...
... werden noch schlechter bezahlt: 44.700 Euro brutto im Jahr.
Ein Studium zahlt sich aus
Am besten honoriert werden eine Promotion (79.000 Euro) und ein Universitätsdiplom (76.500 Euro), gefolgt vom FH-Diplom 70.700 Euro). Der Master (65.600 Euro) hat noch nicht das Niveau des Diploms erreicht, was an dem niedrigeren Alter der Master-Inhaber liegt. Bei den Zahlen handelt es sich um Einkommen, die im Schnitt mit dem jeweiligen Abschluss zu erreichen sind.
Mit einem Bachelor-Abschluss ...
... kommen Young Professionals auf durchschnittlich 55.200 Euro im Jahr.
Mit zunehmender Berufserfahrung ...
... steigt auch das Gehalt: In den ersten drei Jahren nach dem Berufseinstieg können IT-Fachkräfte mit 44.500 Euro rechnen, nach sieben Jahren sind es 56.400 Euro und nach mehr als zehn Jahren 68.000 Euro.
Grosse Unternehmen bieten bessere Verdienstchancen
Während Firmen mit mehr als 1000 Beschäftigten ihre IT-Fachkräfte mit durchschnittlich 78.148 Euro vergüten, können IT-Experten in Betrieben mit weniger als 100 Beschäftigten nur 52.700 Euro erwarten.
Wo IT-Berater am besten verdienen
Die Branche macht den Unterschied, wie viel IT-Berater verdienen. Die 3 Top-Branchen sind Chemie (95.160 Euro), Medizintechnik (93.400 Euro) und Pharma (93.130 Euro).
Auch der Maschinen- und Anlagebau ...
... entlohnt IT-Berater mit 91.600 Euro überdurchschnittlich.
Die Touristikindustrie und die Hotellerie......
... dagegen zahlen auch begehrten IT-Beratern mit 60.700 beziehungsweise 58.700 Euro keine üppigen Gehälter.
Forschungsinstitute ...
... nehmen mit einer Vergütung von 57.500 Euro für den IT-Berater den letzten Platz im Branchenranking ein. Das liegt daran, dass sie in den meisten Fällen ihre Mitarbeiter nach öffentlich-rechtlichen Tarifen bezahlen.
In München ...
... verdienen IT-Profis 20,5 Prozent besser als im Bundesdurchschnitt, der in Hamburg erzielt wird. Hoch sind hier aber auch Mieten und andere Lebenshaltungskosten.
Frankfurt am Main ...
... bietet IT-Profis mit einem Plus von 19 Prozent zum Bundesdurchschnitt ebenso hohe Verdienstchancen.
In Dresden ...
... und anderen Hauptständten der neuen Bundesländer müssen sich IT-Experten dagegen mit Löhnen bescheiden, die 15 Prozent und mehr unter dem Bundesdurchschnitt liegen.
Benefit Firmenwagen
Nur 9 Prozent der IT-Fachkräfte haben einen Firmenwagen, bei den IT-Führungskräften sind es 59 Prozent. Der Neupreis des Wagens liegt bei Fachkräften bei durchschnittlich 39.2500 Euro. Die Autos der IT-Führungskräfte sind mit durchschnittlich 52.000 Euro deutlich teurer.