Von allen Bereichen der IT, in denen die Experten fehlen, ist Security der am stärksten nachgefragte. Massenhaft offene Stellen, sehr gute Jobaussichten für die wenigen geeigneten Bewerber. Wenn Sie sich für einen solchen Werdegang interessieren, sollten Sie zunächst diesen Artikel lesen.
Unser CISO-Check zeigt: Nur wer ständig nach neuen Lösungen und Wegen sucht, die bestehenden Security-System zu verbessern, wer sich gut mit dem Business und den Partnerunternehmen versteht, um seine Security-Interessen nachvollziehbar und glaubhaft zu vermitteln, wer disruptiv denkt und agiert, das "Brot-und-Butter-Geschäft" aber trotzdem nicht aus den Augen verliert, eignet sich zum IT-Security-Manager.
Der CISO-Check: Taugen Sie zum IT-Security-Manager?
Glauben Sie ... ... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen?
Schauen Sie ... ... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern?
Überwachen Sie ... ... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln?
Suchen Sie ... ... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können?
Widmen Sie ... ... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit?
Versuchen Sie ... ... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können?
Behalten Sie ... ... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann?
Arbeiten Sie ... ... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen?
Bewegen Sie ... ... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird?
Verlieren Sie ... ... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?
Den Unternehmen fehlen die Security-Experten an allen Ecken und Enden. Einer Studie von (ISC)², einem weltweiten Zusammenschluss von IT-Security-Verantwortlichen, zufolge, fehlt es in knapp zwei Dritteln der Unternehmen an Security-Fachpersonal - rund die Hälfte der Unternehmen würde liebend gerne einstellen, findet aber keine Bewerber. Es wird erwartet, dass in fünf Jahren 1,5 Millionen Stellen für IT-Sicherheit unbesetzt sein werden.
Die Folge dieser Entwicklung sind steigende Gehälter für die wenigen Spezialisten, die es gibt und die sich ihre Stellen heraussuchen können. Auch gibt es immer mehr IT-Profis, die sich entsprechende Security-Expertise anzueignen versuchen, um sich beruflich umzuorientieren.
Sind auch Sie an einer Position in der IT-Security interessiert? Dann beherzigen Sie folgende Empfehlungen:
Keine Sorge, wenn Ihnen Security-Fachkenntnisse fehlen
Viele offene Stellen in der IT-Sicherheit erfordern einige Jahre Berufserfahrung - dazu gehören beispielsweise Security-Software-Entwickler, die Julie Oates vom Recruiting-Unternehmen Mondo zufolge bis zu 175.000 Euro Jahresgehalt einstreichen können - kein Wunder, sind Entwickler neben Software-Architekten doch die von den Unternehmen am stärksten nachgefragten Spezialisten.
Das Know-how, das die Experten mitbringen müssen, sei äußerst vielfältig, erklärt Julian Bellanger, Mitgründer und CEO des Security-Monitoring-Dienstleisters Prevoty: "Es sind so dermaßen viele verschiedene Fähigkeiten gefordert, dass niemand allein alle Security-Rollen ausfüllen kann." Der Trend gehe daher hin zu sehr großen Security-Teams - bestehend aus Netzwerkspezialisten, Anwendungsexperten und welchen, die die Geschäftslogik hinter den Applikationen verstehen.
Tony Martin-Vegue, Risk Manager bei einem Finanzdienstleister aus dem Großraum San Francisco, stimmt Bellangers Aussagen zu: "IT-Security ist ein weitläufiges Feld aus Programmierern, Risikomanagern, PR-Profis, die den Geschäftsentscheidern den Sachverhalt verständlich erklären können, Experten für menschliches Verhalten und Wirtschaftsprofis." Martin-Vegue betont, dass er auch solche Bewerber als Risk Manager einstellt, die ein Wirtschaftsstudium abgeschlossen haben oder sich anderweitig gut mit Finanzen auskennen, ohne dass Security-Expertise vorhanden ist: "Ökonomie besteht einzig daraus, Risiken zu verstehen." Ähnlich gut geeignet seien Spezialisten für Psychologie, die beispielsweise verstehen, warum jemand auf eine Phishing-Attacke hereinfalle.
Security-Experten sind nicht mehr nur Einzelkämpfer, sondern kommen erst im heterogenen Team richtig zur Entfaltung. Foto: Syda Productions - www.shutterstock.com
Denken Sie langfristig
Der größte Bedarf wird sich Beobachtern zufolge in den Bereichen Software- und Anwendungssicherheit auftun. "Das größte Problem, das auf uns zukommt, ist der schlechte Software-Entwicklungsprozess und die damit einhergehende schlechte Qualität des Codes", erläutert Jeff Combs vom IT-Security-Recruiter ISE Talent. Warum das so ist, sieht er ganz pragmatisch: "Schon seit mehr als 50 Jahren entwickeln wir Software - um die Sicherheitsaspekte kümmern wir uns aber erst seit zehn Jahren."
Weil die beruflichen Weiterentwicklungschancen im Security-Bereich aber beschränkt seien, gingen die Top-Talente lieber als Software-Entwickler zu Google und Facebook. Combs: "Wir werden ständig gefragt, ob wir geeignete Bewerber für IT-Sicherheitsjobs hätten." Gesucht werden vor allem Projektmanager und Experten mit viel Praxiserfahrung. Unternehmen fahren am besten, wenn sie einen Projektverantwortlichen einstellen, der die anderen Mitarbeiter in Security-Fragen berät und weiterbildet. Wer im Feld der Anwendungssicherheit seine Laufbahn beginnt, könne sich mit der Zeit beispielsweise auch in IT-Architektur- oder Cloud-Sicherheit einen Namen machen, stellt Combs heraus.
Die Möglichkeiten in diesen Bereichen seien vielfältig, während beispielsweise klassischere Arbeitsfelder wie Netzwerk- oder Hardware-Security weniger Entwicklungschancen böten. "Wenn ich heute 18 wäre und mich entscheiden müsste, würde ich beruflich entweder etwas mit Anwendungssicherheit machen oder in ein DevOps-Security-Team gehen", sagt der Recruiting-Spezialist.
Wunscharbeitgeber der Informatikstudenten 2016
Die Traumarbeitgeber der IT-Studenten ... ...sind IT-Firmen, Forschungsinstitutionen, Autokonzerne oder Internet-Firmen. Die Berliner Marktforscher von Trendence haben mehr als 5.700 Informatikstudenten aus ganz Deutschland befragt, wo sie gern arbeiten möchten. Hier sind die Top 40!
Platz 40: ARD Der Verbund öffentlich-rechtlicher Rundfunkanstalten erreicht den 40. Platz und verbessert sich somit im Vergleich zum Vorjahr um einen Platz.
Platz 40: Adidas Adidas tut es der ARD gleich und landet 2016 auf dem 40. Platz in der Liste der Traumarbeitgeber der IT-Studenten.
Platz 38: McKinsey Die Frankfurter Unternehmens- und Strategieberatung McKinsey landet auf dem 38. Platz.
Platz 38: Accenture Die weltweit agierende Managementberatung Accenture fällt im Vergleich zum Vorjahr von Platz 32 auf Platz 38.
Platz 36: Capgemini Die größte Unternehmensberatung europäischen Ursprungs, Capgemini, erreichte im Jahr 2015 den 32. Platz. Dieses Jahr muss es sich mit Platz 36 zufrieden geben.
Platz 32: Sony Sony hält seinen Platz vom Vorjahr. Der drittgrößte japanische Elektronikkonzern erreicht den 32. Platz.
Platz 32: Software AG Den größten Sprung macht die Software AG. Das Unternehmen aus Darmstadt klettert vom 58. Platz im Jahr 2015 auf den 32. Platz in diesem Jahr.
Platz 32: Samsung Der südkoreanische Mischkonzern mit über 600.000 Mitarbeitern erreicht den 32. Platz in der Liste der Wunscharbeitgeber der IT-Studenten.
Platz 32: Deutsche Bahn Das führende deutsche Eisenbahnunternehmen, die Deutsche Bahn, verbessert sich um 4 Plätze und landet auf Platz 32.
Platz 32: Adobe Das amerikanische Softwareunternehmen Adobe muss einen Platz einräumen und erreicht in der Gunst der IT-Studenten den 32. Platz.
Platz 30: Cisco Das US-amerikanische Unternehmen Cisco mit Sitz in Kalifornien ist auch in diesem Jahr einer der beliebtesten Arbeitgeber unter IT-Studenten. Von Platz 38 im Jahr 2015 geht es dieses Jahr auf Platz 30.
Platz 29: Oracle Der Soft- und Hardwarehersteller Oracle büßt 4 Plätze ein und erreicht 2016 den 29. Platz im Ranking um die beliebtesten Arbeitgeber.
Platz 27: Bundeswehr Die Bundeswehr macht einen beachtlichen Satz von 11 Plätzen und erreicht in der diesjährigen Auswertung den 27. Platz der beliebtesten Arbeitgeber unter den befragten IT-Studenten.
Platz 26: Airbus Group Die Airbus Group, von 2000 bis 2013 EADS, ist als Europas größter Luft- und Raumfahrt sowie zweitgrößter Rüstungskonzern als Arbeitgeber unter den IT-Studenten beliebt. Um zwei Plätze verbessert sich das Unternehmen im Vergleich zum Vorjahr von 28 auf 26.
Platz 25: Deutsche Telekom Das Telekommunikationsunternehmen mit Sitz in Bonn macht vier Plätze gut und landet in der Gunst der Studenten auf dem 25. Platz.
Platz 24: Electronic Arts Der Computer- und Videospielehersteller aus Kalifornien verbessert sich um einen Platz im Vergleich zum Vorjahr und erreicht Platz 24.
Platz 23: Deutsches Forschungszentrum für Künstliche Intelligenz (DFKI) Das 1988 gegründete DFKI verliert zwei Plätze und erreicht damit in diesem Jahr den 23. Platz.
Platz 20: Lufthansa Systems Die Tochter des Lufthansa-Konzerns, Lufthansa Systems, hat sich auf die Implementierung von IT-Lösungen und Entwicklung von Software für Fluggesellschaften spezialisiert. Fünf Plätze macht das Unternehmen gut und erreicht Platz 20.
Platz 20: Deutsches Zentrum für Luft- und Raumfahrt (DLR) Das DLR aus Köln schafft es ebenso in die Top 20 als einer der beliebtesten Arbeitgeber der IT-Studenten.
Platz 19: Intel Der Halbleiterhersteller Intel verbessert sich im Vergleich zum Vorjahr um 4 Plätze und erreicht damit Platz 19.
Platz 16: Crytek Das deutsche Spielentwicklungsunternehmen mit Hauptsitz in Frankfurt am Main verlor etwas an Boden und muss 2016 im Vergleich zum Vorjahr zwei Plätze einbüßen.
Platz 15: Bundesamt für Sicherheit in der Informationstechnik (BSI) Einen Platz nach vorne schiebt sich das BSI. Von Platz 16 in 2015 auf Platz 15 in diesem Jahr.
Platz 14: Bosch Gruppe Letztes Jahr noch unter den Top 10 muss die Bosch Gruppe dieses Jahr vier Plätze einbüßen und erreicht Platz 14.
Platz 12: Porsche Ebenso nicht mehr unter den Top 10 ist der Automobilhersteller Porsche. Von Platz 10 im Vorjahr geht es für Porsche auf Platz 12 in diesem Jahr.
Platz 12: Fraunhofer Gesellschaft Die Fraunhofer Gesellschaft ist die größte Organisation für angewandte Forschungs- und Entwicklungsdienstleistungen in Europa und hält seinen zwölften Platz.
Platz 11: Amazon Der Online-Versandhändler Amazon verbessert sich im Vergleich zum Vorjahr und springt von Platz 17 auf Platz elf.
Platz 9: Daimler/Mercedes Benz Der Automobilkonzern liegt im Ranking um die beliebtesten Arbeitgeber unter den IT-Studenten auf dem neunten Platz.
Platz 8: IBM Das amerikanische IT- und Beratungsunternehmen IBM ist sehr beliebt bei den IT-Studenten und erreicht Platz acht.
Platz 7: Audi Der Ingolstädter Autobauer liegt zwar in diesem Jahr auf einem guten siebten Platz, muss allerdings im Vergleich zum Vorjahr 3 Plätze einbüßen.
Platz 5: SAP SAP ist als Europas größter Softwarehersteller rutscht von Platz zwei im Jahr 2015 auf Platz fünf in diesem Jahr.
Platz 5: Blizzard Entertainment Der Computerspieleentwickler Blizzard hält seinen fünften Platz vom letzten Jahr und ist weiterhin als Wunscharbeitgeber unter den Studenten weit vorne.
Platz 4: Microsoft Microsoft ist mit gut 112.000 Mitarbeitern der größte Software- und Hardwarehersteller der Welt. Dieses Jahr verbessert das Unternehmen sich um drei Plätze von sieben auf vier.
Platz 3: Apple Aufs Treppchen schafft es dieses Jahr Apple. Das Unternehmen, welches unter anderem das iPhone herstellt und verkauft, verbessert sich im Vergleich zum Vorjahr um drei Plätze und erreicht mit 8,6 Prozent Platz 3 der Top Arbeitgeber für angehende Informatiker.
Platz 2: BMW Der Münchner Automobil- und Motorradhersteller ist sehr beliebt unter den IT-Studenten. 2015 auf Platz drei schafft es BMW dieses Jahr auf den zweiten Platz. 9,1 Prozent der IT-Absolventen würden sich am ehesten dort bewerben.
Platz 1: Google Unangefochten auf Platz eins steht auch in diesem Jahr der Suchmaschinenmarktführer Google. 23,7 Prozent der IT-Studenten bewerten das Unternehmen als attraktivsten Arbeitgeber.
Unterschätzen Sie Ihr Können nicht
Nach Aussage von Martin-Vegue haben ausgebildete System-, Netzwerk- und Datenbankadministratoren üblicherweise bereits drei Viertel des Weges zum Security-Profi geschafft. Ethical Hacking, Penetrationstesting und Datenschutzwissen: Wer hier Bescheid wisse, verstehe bereits, wie Systeme funktionieren und Anwender auf sie zugreifen. "Der Weg zum Nutzerrechte-Management und zu Compliance-Prüfung gegen Frameworks und Standards ist dann nicht mehr weit", so der Risk Manager. Es sei häufig sogar ein Vorteil, aus anderen IT-Berichen zu kommen: "Um gut in Security zu sein, sind solide technische Grundlagen in Systemadministration, Netzwerk- oder Software-Entwicklung wichtig."
Bob Melk vom IT-Jobvermittler Dice empfiehlt CIOs, lieber ihr bestehendes Personal in IT-Security weiterzubilden anstatt externe Sicherheitsexperten dazu zu holen. "Wir müssen mehr tun als einfach nur Gehälter oder Sozialleistungen zu erhöhen - Unternehmen müssen den Fachkräftemangel durch Mitarbeiterpflege bekämpfen."
So hilft Dice Unternehmen dabei, die Schnittmenge der Anforderungen von allgemeinen IT-Jobs und Security-Stellen zu bestimmen und dann einen Plan aufzustellen, um die Besetzung der offenen Positionen voranzutreiben. "Die gute Nachricht ist: Es gibt eine Menge Security-Jobs, in die IT-Experten hineinwachsen können", so Melk. Schaue man sich die üblichen Stellenangebote für Positionen wie Security Auditor, IT-Sicherheits-Projektmanager oder Security Engineer an, seien die dort geforderten Fachkenntnisse identisch mit denen von Jobs wie Netzwerksicherheits-Spezialisten oder Intrusion-Detection-Profis. Melk kritisiert jedoch, dass die zahlreichen Möglichkeiten, sich als IT'ler in Security-Fragen zu spezialisieren und der genaue Weg dorthin den potenziellen Kandidaten selten klar seien - besonders Quereinsteiger würden kaum gefördert.
Auch wenn der Einstieg in die IT-Security-Welt schwierig erscheint, ist eines sicher: Niemals zuvor gab es so viele Möglichkeiten, sich das nötige Wissen anzueignen. Ob durch Gratis-Onlinekurse, Zertifizierungslehrgänge oder einfach die Vernetzung innerhalb der Security-Community. Es gibt diverse Verbände, Zusammenschlüsse und Arbeitsgruppen: SANS, ISACA, ISSA, (ISC)², OWASP - sie alle sind sehr aktiv und bieten ihren Mitgliedern sowohl Aus- und Weiterbildung als auch den Erfahrungsaustausch.
Martin-Vegue empfiehlt Interessierten, sich in einem kostenlosen Kurs an Onlineuniversitäten wie Coursera oder EdX die Grundlagen in IT-Security anzueignen und dann zu entscheiden, in welchem Bereich sich eine Spezialisierung lohnt. Melk sieht es ähnlich: Gerade wenn der Arbeitgeber selbst keine Weiterbildungsprogramme offeriere, seien Onlinekurse eine gute Option: "Sie können diese Kurse belegen, ohne zurück in den Hörsaal an der Universität zu müssen, um einen Bachelor oder Master in IT-Sicherheit zu machen."
Wisse man, in welchem Bereich man sich spezialisieren wolle, stünden dann Zertifizierungsprogramme an. "Es heißt zwar allgemein, dass Zertifikate nichts über die Fähigkeiten im echten Berufsalltag aussagen, die Wahrheit ist aber, dass Unternehmen sehr wohl darauf achten, ob Bewerber Zertifikate vorlegen können", erklärt Melk. Ergo: Auch wenn niemand sie mag und eigentlich gar nicht braucht, sind Zertifizierungen überlebenswichtig.
Insbesondere die CISSP-Zertifizierungen, die die (ISC)² ausstellt, sind zu einer anerkannten Grundlage für höherrangige Positionen geworden - im Risiko-Management kommen die CRISC-Zertifikate der ISACA als Voraussetzung hinzu. Wer etwas weiter unten einsteigt, sich aber mit mehr als der Konfiguration der Firewall beschäftigen möchte, sollte herstellerseitige Zertifikate beispielsweise von Cisco oder Juniper Networks ins Auge fassen. Für Softwareentwickler bietet sich eine SSDLC-Zertifizierung an, um Expertise in Anwendungssicherheit nachzuweisen.
Wie sich die Aussagekraft eines Zertifikats prüfen lässt
Lesen des Zertifikats Was ist der Prüfgegenstand?
Weiterlesen des Zertifikats Wurde eine Leistung nur in der Planung geprüft?
Prüfen des Zertifikats Im geregelten Bereich "Aussteller und Zertifikat" anhand von Online-Datenbanken überprüfen.
Ungeregelte Siegel Ist das Siegel innerhalb der Branche anerkannt?
Bei Unklarheiten Vollständigen Prüfbericht anfordern!
Wissen, worauf Sie sich einlassen
Der IT-Security-Job hat eine Kehrseite: Stress und Burnout. "Auf IT-Sicherheits-Konferenzen in den USA ist Depression immer eines der wichtigsten Themen - und auch abseits der Event wird in der Branche zunehmend darüber gesprochen", führt Martin-Vegue aus. "Wenn Sie das Gefühl haben, dass sie dem Arbeitsstress und möglichen Burnouts nicht gewachsen sind, ist eine IT-Security-Karriere vielleicht nicht die beste Idee."
Das Burnout-Risiko ist so hoch, weil viele Unternehmen falsche Erwartungen an ihre IT-Security-Verantwortlichen haben. Tritt ein Vorfall auf, wird sofort angenommen, dass das IT-Security-Team einen schlechten Job gemacht ab. Handelt es sich auch noch um einen Vorfall mit Öffentlichkeitswirkung, hat das unmittelbare Konsequenzen für die Kunden und die Mitarbeiter - es kommt zu Entlassungen, der Börsenkurs fällt, das Vertrauen ist weg. "Als IT-Sicherheitsverantwortlicher sitzen Sie auf dem heißen Stuhl und haben da ernsten Stress", so Martin-Vegue.
Das setzt IT-Security-Verantwortliche unter Druck
Fehlende Fachkenntnisse Die IT-Industrie wächst schneller, als die Universitäten qualifizierte Fachkräfte in den Markt bringen können. So bleiben zahlreiche IT-Abteilungen unterbesetzt und unterqualifiziert. 76 Prozent der von Trustwave für die Studie Befragten fühlen sich deshalb genötigt, sich selbst in ihrer täglichen Arbeit ständig zu übertreffen, um den Fachkräftemangel etwas zu kaschieren. Trustwave-Marketingchef Cas Purdy sieht externe Security-Service-Unternehmen wie sein eigenes in einer guten Position, IT-Abteilungen zu unterstützen.
Ungeduldiger Vorstand Vier von zehn Security-Experten mögen Vorstandssitzungen überhaupt nicht. Direkt vor oder nach einem solchen Meeting haben sie nämlich den meisten Stress. Damit ist die Zahl derer, die sich von den eigenen Chefs stark unter Druck gesetzt fühlen sogar knapp höher als die Zahl derer, die sich unmittelbar nach einem großen Datendiebstahl gestresst fühlen (39 Prozent der von Trustwave Befragten).
Erkennen vs. vorbeugen Die Erkennung von Schwachstellen, Malware und schädlichen Netzwerkaktivitäten stellt für jeden zweiten IT-Security-Experten eine Aufgabe im Tagesgeschäft dar, die mit großem Druck verbunden ist. Es geht darum, Hintertüren in den Systemen zu entdecken, die als Einfallstor missbraucht werden könnten und diese zu schließen, bevor es zu einem Sicherheitsvorfall kommt. Ein Katz-und-Maus-Spiel, was einen gewissen Druck entstehen lässt.
Zu frühe Releases Wenn IT-Produkte veröffentlicht werden, bevor sie wirklich fertig sind – das ist ein Problem, das 77 Prozent der von Trustwave Befragten nur zu gut kennen. Denn zumeist mangelt es den neuen Errungenschaften gerade an einem – an Sicherheit. Dennoch werden Sicherheitsspezialisten häufig von ihren Unternehmen dazu genötigt, das unfertige Produkt so schnell wie möglich aus der Tür zu bringen.
Internet der Dinge Wenn alles mit allem vernetzt ist und entsprechend viele neue Angriffspunkte entstehen, sind neue Aufgaben für Security-Experten nicht weit. Das Internet der Dinge (IoT) beherrscht viele Unternehmen und stellt IT-Verantwortliche vor die Aufgabe, entsprechende Lösungen zu entwickeln und zu integrieren. Mehr als jeder zehnte Security-Verantwortliche fühlt sich dadurch unter Druck gesetzt, dass ihm gar nicht die Wahl gelassen wird, ob er IoT-Technologie überhaupt als sinnvoll erachtet. Es geht oftmals nur darum, sie schnellstmöglich einzubauen – unter Sicherheitsaspekten alle andere als schnell erledigt.
Big Data Der Diebstahl von Kundendaten und von Intellectual Property bestimmt die Schlagzeilen – entsprechend groß ist die Angst von Unternehmensverantwortlichen, dass ihnen so etwas auch widerfahren könnte. Security-Verantwortliche haben großen Druck dadurch, fast die Hälfte von ihnen fürchtet sich vor einem Hack im großen Stil – dass erst Kundendaten abhandenkommen, dann auch noch Firmengeheimnisse verschwinden und es anschließend neben dem herben Imageverlust auch noch zu Gerichtsverfahren kommt. Ganz unbegründet ist diese Angst nicht – zahlreiche reale Fälle, die genau so oder ähnlich abgelaufen sind, geben dieser Befürchtung Nahrung.
Angebot und Nachfrage Dass es an Security-Personal fehlt, wurde bereits deutlich. Der Bedarf an Experten ist dennoch erstaunlich: Fast jeder Dritte für die Trustwave-Studie Befragte wünscht sich eine Vervierfachung des IT- und IT-Security-Personalstamms im eigenen Unternehmen. Jeder zweite immerhin eine Verdoppelung. Ähnlich groß ist der Wunsch nach einem höheren IT-Security-Budget.
Sicherheit des Arbeitsplatzes Wenn es zu einem Security-Vorfall gekommen ist, fürchtet nur jeder zehnte Verantwortliche um seinen Job – was maßgeblich mit dem Fachkräftemangel zusammenhängt. Sollte doch einmal die Entlassung drohen, finden Security-Experten schnell wieder einen Arbeitgeber. Also immerhin ein Punkt, an dem sich nur wenige größere Sorgen machen müssen.
Zumal die Security-Funktion meist noch losgelöst vom Business gesehen wird - sie schöpft keinen unmittelbaren Werte, hält den Betrieb auf und ist dann auch noch Schuld, wenn etwas passiert - das führt zu einem Silo, aus der sich Security-Verantwortliche erst einmal herauskämpfen müssen. "Sie brauchen starke Nerven und Durchsetzungsvermögen", erklärt Recruiter Combs. Die hat nicht jeder: Der jüngste Security-Report der (ISC)² kommt zu dem Ergebnis, dass fast ein Fünftel aller IT-Security-Posten im vergangenen Jahr neubesetzt wurden.
Immerhin ändert sich die Wahrnehmung der Sicherheitsthemen mittlerweile - sie wird als wichtiger Bestandteil des Geschäftbetriebs gesehen, zumindest bei den großen Konzernen.
Mögen der Bedarf und die Bezahlung noch so gut sein - es gibt bessere Gründe, sich für eine Stelle in der IT-Sicherheit zu entscheiden. Man wird schnell Teil einer gut vernetzten Community - gerade im Vergleich zum doch sehr diversifizierten Bereich der Anwendungsentwicklung.
Combs resümiert: "Wenn Sie ein Mensch sind, der den Dingen gerne auf den Grund geht, wissen möchte, wie etwas funktioniert - Dinge nur kaputt macht, um sie hinterher wieder zusammensetzen zu können, dann ist IT-Security das Richtige für Sie." Es hätten bereits Künstler, Musiker, Kreative und andere Querdenker eine zweite Karriere in IT-Sicherheit gestartet - letztendlich hänge alles an der persönlichen Leidenschaft und dem Interesse zu verstehen, was sich unter der Oberfläche befinde. Combs Empfehlung: "Wer etwas nicht gleich akzeptiert, nur weil schon immer so gewesen ist, ist hier genau richtig."
Dieser Beitrag erschien im englischen Original bei unserer US-Schwesterpublikation NetworkWorld.