Schritt halten in der IT-Security – Die Karriere vorantreiben
Herr Colley, Sie haben sich in den letzten 15 Jahren intensiv für die Qualifikation von IT-Sicherheitsfachkräften eingesetzt. Wie haben sich die Karrieren in der IT-Security in den letzten Jahren verändert?
Um 1995, als es erstmal richtig losging, steckte die IT-Sicherheitsbranche noch in den Kinderschuhen. Die meisten, die sich damals dafür entschieden haben, ihren beruflichen Fokus auf die IT-Security zu setzen, kamen aus der IT und begaben sich nun in eine dunkle, schmale, aber spannende IT-Nische. Dabei fand im Jahr 2002, als die IT sich von der Dotcom-Blase zu erholen begann und erwachsen wurde, eine Wende statt. Aus den Techies wurden Spezialisten, die die Grundlagen eines neuen Berufsstandes festlegten. Mittlerweile ist diese neue Disziplin aus dem Alltag in den Unternehmen nicht mehr wegzudenken. Weltweit üben mittlerweile zwei Millionen Menschen diesen Beruf aus, Tendenz steigend. Das starke Wachstum darf aber nicht dazu führen, das die laufende Qualifizierung in diesem sich ständig verändernden Umfeld vernachlässigt wird. Wer sich für eine Karriere in der IT-Security entschließt, muss sich der Verantwortung bewusst sein und sich ständig weiterentwickeln.
Was bedeutet das konkret für das heutige Aufgabenfeld einer IT-Sicherheitsfachkraft?
Die IT-Security geht weit über den Aufgabenbereich der traditionellen IT-Abteilung hinaus. Sie stellt mehr und mehr eine Managementdisziplin dar, was vor allem daran liegt, dass mittlerweile die meisten Geschäftsprozesse in einem Unternehmen online gesteuert werden. Es kommt also darauf an, dass die Verantwortlichen in der Lage sind, die Kluft zwischen Technik- und Geschäftsebene zu überwinden. Dazu gehören Policies, Prozesse, Sicherheitsstrategien und -architekturen, sowie Bewusstseinschaffung.
Was bedeutet das für die Security? Derzeit werden viele IT-Abteilungen in den Unternehmen restrukturiert?
Zukünftig wird kein Weg daran vorbei führen, die Sicherheitsverantwortung außerhalb der IT-Abteilung zu organisieren. Konkret bedeutet das, dass beispielsweise ein CISO auf der Managementebene installiert wird. Damit ist klar, dass die Sicherheitsabteilung für die Sicherung aller Geschäftsprozesse und für die Abwehr möglicher Angriffe zuständig ist. Gleichzeitig sorgt der CISO dafür, dass die Sicherheit und die Unternehmensstrategie zusammenpassen. In meinen Augen ist das das Modell der Zukunft, benötigt aber auch qualifizierte Fachkräfte.
Gibt es etwa nicht ausreichend qualifizierte Fachkräfte, um die freien Stellen zu besetzen?
Für Unternehmen gestaltet es sich nicht einfach, freie Stellen zu besetzen. Das liegt nicht etwa daran, dass die Anforderungen übertrieben hoch sind, sondern daran, dass viele Fachkräfte es bis jetzt versäumt haben, sich das richtige Profil zu verpassen, das den heutigen Anforderungen entspricht. Der Mangel an geeigneten Fachkräften spiegelt sich auch darin wider, dass Sicherheitsbeauftragte 2009 trotz Wirtschaftskrise deutliche Gehaltserhöhungen erhalten haben und nur 5% ihren Arbeitsplatz verloren.
Wo genau gibt es Ihrer Meinung nach bei den Qualifikationen Nachholbedarf?
Geht man von den Anforderungen, die in den verschiedenen Stellenausschreibungen zu lesen sind aus, wird schnell klar, dass Unternehmen Sicherheit aus einem ganzheitlichen, risikoorientiertem Blickwinkel betrachten. Besonders viel Wert wird dabei auf Know-how im Bereich der operationalen Sicherheit, des (Informations-) Risikomanagements, der Security-Management-Best-Practices, und der ISO/IEC Standards für IT-Sicherheitsmanagement gelegt. Telekommunikations- und Netzwerksicherheit wird heute auch mehr nachgefragt als Zugangskontrollsysteme.
Also suchen Unternehmen für den Bereich Sicherheit eher managementversierte Generalisten?
Der Trend geht ganz klar in Richtung Sicherheitsmanagement und in diesem Zusammenhang spielt Managementwissen eine wichtige Rolle. Nichtsdestotrotz sollte das technische Wissen nicht vernachlässigt werden. Es hat sich übrigens als sinnvolle herausgestellt, Personen mit technischem Background Managementwissen zu vermitteln als umgekehrt. Mit anderen Worten, das technische Know-how bildet weiterhin die Basis für eine berufliche Laufbahn im IT-Sicherheitsmanagement. Es gibt in der IT-Security aktuell vier unterschiedliche Rollen:
- Der Spezialist – verfügt über fundiertes technisches Know-how vor allem in den Bereichen Forensik, Penetrationstests oder Architektur,
- Der Generalist – verfügt über weniger versiertes technisches Wissen als der Spezialist, weist aber Know-how im Bereich Datensicherheit und Risikoanalyse in IT-Umgebungen auf,
- Der Berater – begleitet Projekte und bringt sein versiertes Wissen in Risikomanagement und Datensicherheit vor allem dort mit ein, wo sich beide Bereiche überschneiden,
- Die Führungskraft (CISO) – ist in der Lage IT-Sicherheitsprojekte zu leiten und bringt neben grundsätzlichem technischen Know-how versiertes Managementwissen mit.Zusätzlich gilt für alle Positionen: Soft und Social Skills, wie Kommunikationsfähigkeit, Empathie, Offenheit und Beziehungsfähigkeit sind sehr wichtig.
Wo sehen Sie die entscheidenden Ansätze für IT-Sicherheitsfachkräfte, um ihre Karriere voranzutreiben?
Es ist unverzichtbar, Qualifizierungsmaßnahmen wahrzunehmen, um die Karriere voranzutreiben, allerdings sollte man sich vorher im Klaren sein, welche der vier genannten Positionen man anstrebt. Ist das Karriereziel klar, dann können die Weichen richtig gestellt werden. Dabei sollte jedoch der Blick über den Tellerrand nie gescheut werden, denn manche Dinge entwickeln sich schneller als einem das lieb ist und wer zurückfällt hat schlechtere Karten.
© 2012 FEiG & PARTNER