Diese Security-Skills brauchen Sie
Eignen Sie sich zum IT-Sicherheitsprofi?
Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Sie müssen nicht zurück in den Hörsaal
Auch wenn der Einstieg in die IT-Security-Welt schwierig erscheint, ist eines sicher: Niemals zuvor gab es so viele Möglichkeiten, sich das nötige Wissen anzueignen. Ob durch Gratis-Onlinekurse, Zertifizierungslehrgänge oder einfach die Vernetzung innerhalb der Security-Community. Es gibt diverse Verbände, Zusammenschlüsse und Arbeitsgruppen: SANS, ISACA, ISSA, (ISC)², OWASP - sie alle sind sehr aktiv und bieten ihren Mitgliedern sowohl Aus- und Weiterbildung als auch den Erfahrungsaustausch.
Martin-Vegue empfiehlt Interessierten, sich in einem kostenlosen Kurs an Onlineuniversitäten wie Coursera oder EdX die Grundlagen in IT-Security anzueignen und dann zu entscheiden, in welchem Bereich sich eine Spezialisierung lohnt. Melk sieht es ähnlich: Gerade wenn der Arbeitgeber selbst keine Weiterbildungsprogramme offeriere, seien Onlinekurse eine gute Option: "Sie können diese Kurse belegen, ohne zurück in den Hörsaal an der Universität zu müssen, um einen Bachelor oder Master in IT-Sicherheit zu machen."
Wisse man, in welchem Bereich man sich spezialisieren wolle, stünden dann Zertifizierungsprogramme an. "Es heißt zwar allgemein, dass Zertifikate nichts über die Fähigkeiten im echten Berufsalltag aussagen, die Wahrheit ist aber, dass Unternehmen sehr wohl darauf achten, ob Bewerber Zertifikate vorlegen können", erklärt Melk. Ergo: Auch wenn niemand sie mag und eigentlich gar nicht braucht, sind Zertifizierungen überlebenswichtig.
Insbesondere die CISSP-Zertifizierungen, die die (ISC)² ausstellt, sind zu einer anerkannten Grundlage für höherrangige Positionen geworden - im Risiko-Management kommen die CRISC-Zertifikate der ISACA als Voraussetzung hinzu. Wer etwas weiter unten einsteigt, sich aber mit mehr als der Konfiguration der Firewall beschäftigen möchte, sollte herstellerseitige Zertifikate beispielsweise von Cisco oder Juniper Networks ins Auge fassen. Für Softwareentwickler bietet sich eine SSDLC-Zertifizierung an, um Expertise in Anwendungssicherheit nachzuweisen.
- Lesen des Zertifikats
Was ist der Prüfgegenstand? - Weiterlesen des Zertifikats
Wurde eine Leistung nur in der Planung geprüft? - Prüfen des Zertifikats
Im geregelten Bereich "Aussteller und Zertifikat" anhand von Online-Datenbanken überprüfen. - Ungeregelte Siegel
Ist das Siegel innerhalb der Branche anerkannt? - Bei Unklarheiten
Vollständigen Prüfbericht anfordern!
Wissen, worauf Sie sich einlassen
Der IT-Security-Job hat eine Kehrseite: Stress und Burnout. "Auf IT-Sicherheits-Konferenzen in den USA ist Depression immer eines der wichtigsten Themen - und auch abseits der Event wird in der Branche zunehmend darüber gesprochen", führt Martin-Vegue aus. "Wenn Sie das Gefühl haben, dass sie dem Arbeitsstress und möglichen Burnouts nicht gewachsen sind, ist eine IT-Security-Karriere vielleicht nicht die beste Idee."
Das Burnout-Risiko ist so hoch, weil viele Unternehmen falsche Erwartungen an ihre IT-Security-Verantwortlichen haben. Tritt ein Vorfall auf, wird sofort angenommen, dass das IT-Security-Team einen schlechten Job gemacht ab. Handelt es sich auch noch um einen Vorfall mit Öffentlichkeitswirkung, hat das unmittelbare Konsequenzen für die Kunden und die Mitarbeiter - es kommt zu Entlassungen, der Börsenkurs fällt, das Vertrauen ist weg. "Als IT-Sicherheitsverantwortlicher sitzen Sie auf dem heißen Stuhl und haben da ernsten Stress", so Martin-Vegue.
- Fehlende Fachkenntnisse
Die IT-Industrie wächst schneller, als die Universitäten qualifizierte Fachkräfte in den Markt bringen können. So bleiben zahlreiche IT-Abteilungen unterbesetzt und unterqualifiziert. 76 Prozent der von Trustwave für die Studie Befragten fühlen sich deshalb genötigt, sich selbst in ihrer täglichen Arbeit ständig zu übertreffen, um den Fachkräftemangel etwas zu kaschieren. Trustwave-Marketingchef Cas Purdy sieht externe Security-Service-Unternehmen wie sein eigenes in einer guten Position, IT-Abteilungen zu unterstützen. - Ungeduldiger Vorstand
Vier von zehn Security-Experten mögen Vorstandssitzungen überhaupt nicht. Direkt vor oder nach einem solchen Meeting haben sie nämlich den meisten Stress. Damit ist die Zahl derer, die sich von den eigenen Chefs stark unter Druck gesetzt fühlen sogar knapp höher als die Zahl derer, die sich unmittelbar nach einem großen Datendiebstahl gestresst fühlen (39 Prozent der von Trustwave Befragten). - Erkennen vs. vorbeugen
Die Erkennung von Schwachstellen, Malware und schädlichen Netzwerkaktivitäten stellt für jeden zweiten IT-Security-Experten eine Aufgabe im Tagesgeschäft dar, die mit großem Druck verbunden ist. Es geht darum, Hintertüren in den Systemen zu entdecken, die als Einfallstor missbraucht werden könnten und diese zu schließen, bevor es zu einem Sicherheitsvorfall kommt. Ein Katz-und-Maus-Spiel, was einen gewissen Druck entstehen lässt. - Zu frühe Releases
Wenn IT-Produkte veröffentlicht werden, bevor sie wirklich fertig sind – das ist ein Problem, das 77 Prozent der von Trustwave Befragten nur zu gut kennen. Denn zumeist mangelt es den neuen Errungenschaften gerade an einem – an Sicherheit. Dennoch werden Sicherheitsspezialisten häufig von ihren Unternehmen dazu genötigt, das unfertige Produkt so schnell wie möglich aus der Tür zu bringen. - Internet der Dinge
Wenn alles mit allem vernetzt ist und entsprechend viele neue Angriffspunkte entstehen, sind neue Aufgaben für Security-Experten nicht weit. Das Internet der Dinge (IoT) beherrscht viele Unternehmen und stellt IT-Verantwortliche vor die Aufgabe, entsprechende Lösungen zu entwickeln und zu integrieren. Mehr als jeder zehnte Security-Verantwortliche fühlt sich dadurch unter Druck gesetzt, dass ihm gar nicht die Wahl gelassen wird, ob er IoT-Technologie überhaupt als sinnvoll erachtet. Es geht oftmals nur darum, sie schnellstmöglich einzubauen – unter Sicherheitsaspekten alle andere als schnell erledigt. - Big Data
Der Diebstahl von Kundendaten und von Intellectual Property bestimmt die Schlagzeilen – entsprechend groß ist die Angst von Unternehmensverantwortlichen, dass ihnen so etwas auch widerfahren könnte. Security-Verantwortliche haben großen Druck dadurch, fast die Hälfte von ihnen fürchtet sich vor einem Hack im großen Stil – dass erst Kundendaten abhandenkommen, dann auch noch Firmengeheimnisse verschwinden und es anschließend neben dem herben Imageverlust auch noch zu Gerichtsverfahren kommt. Ganz unbegründet ist diese Angst nicht – zahlreiche reale Fälle, die genau so oder ähnlich abgelaufen sind, geben dieser Befürchtung Nahrung. - Angebot und Nachfrage
Dass es an Security-Personal fehlt, wurde bereits deutlich. Der Bedarf an Experten ist dennoch erstaunlich: Fast jeder Dritte für die Trustwave-Studie Befragte wünscht sich eine Vervierfachung des IT- und IT-Security-Personalstamms im eigenen Unternehmen. Jeder zweite immerhin eine Verdoppelung. Ähnlich groß ist der Wunsch nach einem höheren IT-Security-Budget. - Sicherheit des Arbeitsplatzes
Wenn es zu einem Security-Vorfall gekommen ist, fürchtet nur jeder zehnte Verantwortliche um seinen Job – was maßgeblich mit dem Fachkräftemangel zusammenhängt. Sollte doch einmal die Entlassung drohen, finden Security-Experten schnell wieder einen Arbeitgeber. Also immerhin ein Punkt, an dem sich nur wenige größere Sorgen machen müssen.
Zumal die Security-Funktion meist noch losgelöst vom Business gesehen wird - sie schöpft keinen unmittelbaren Werte, hält den Betrieb auf und ist dann auch noch Schuld, wenn etwas passiert - das führt zu einem Silo, aus der sich Security-Verantwortliche erst einmal herauskämpfen müssen. "Sie brauchen starke Nerven und Durchsetzungsvermögen", erklärt Recruiter Combs. Die hat nicht jeder: Der jüngste Security-Report der (ISC)² kommt zu dem Ergebnis, dass fast ein Fünftel aller IT-Security-Posten im vergangenen Jahr neubesetzt wurden.
Immerhin ändert sich die Wahrnehmung der Sicherheitsthemen mittlerweile - sie wird als wichtiger Bestandteil des Geschäftbetriebs gesehen, zumindest bei den großen Konzernen.
Folgen Sie Ihrer Leidenschaft, nicht dem Geld
Mögen der Bedarf und die Bezahlung noch so gut sein - es gibt bessere Gründe, sich für eine Stelle in der IT-Sicherheit zu entscheiden. Man wird schnell Teil einer gut vernetzten Community - gerade im Vergleich zum doch sehr diversifizierten Bereich der Anwendungsentwicklung.
Combs resümiert: "Wenn Sie ein Mensch sind, der den Dingen gerne auf den Grund geht, wissen möchte, wie etwas funktioniert - Dinge nur kaputt macht, um sie hinterher wieder zusammensetzen zu können, dann ist IT-Security das Richtige für Sie." Es hätten bereits Künstler, Musiker, Kreative und andere Querdenker eine zweite Karriere in IT-Sicherheit gestartet - letztendlich hänge alles an der persönlichen Leidenschaft und dem Interesse zu verstehen, was sich unter der Oberfläche befinde. Combs Empfehlung: "Wer etwas nicht gleich akzeptiert, nur weil schon immer so gewesen ist, ist hier genau richtig."
Dieser Beitrag erschien im englischen Original bei unserer US-Schwesterpublikation NetworkWorld.