Was Security-Profis mitbringen müssen

"Schon die kleinsten Auslöser der Cybercrime-Industrie verursachen für Firmen heute hohe Kosten. Meist nehmen die Hacker dabei zuerst das leichteste Ziel, wie beispielsweise unsichere Logins ins Visier", so Jameeka Green Aaron, Chief Security Officer beim Identitätsanbieter Auth0.

Mit dem Bedeutungszuwachs der Cyberkriminalität für die Unternehmen, hat sich auch der Stellenwert ihrer Security-Experten massiv verändert. Das beobachtet auch Anja Michael, globale HR-Chefin des Antiviren-Spezialisten Avira. "Die Wichtigkeit der Position des Information Security Officers ist in den letzten Jahren enorm gestiegen."

Das liegt ihrer Ansicht nach vor allem daran, dass die Cyber-Attacken immer raffinierter werden, und Daten in immer größeren Mengen bedroht sind. Hinzu kommt, dass die Pandemie für die Aktivitäten von Cyberkriminellen zusätzlich äußerst fruchtbaren Boden geschaffen hat. Denn die Firmen haben ihre Mitarbeiter an den heimischen Schreibtisch verbannt, von wo aus sie sich dann über unterschiedlichste Anwendungen und Geräte wieder ins Firmen-Netz einloggen mussten.

Aus dieser Situation versuchen Cyberkriminelle dauerhaft Kapital zu schlagen. Das geht beispielsweise über die mittlerweile weit verbreitete Methode Credential Stuffing. Diese Angriffe basieren auf gestohlenen Anmeldedaten (Benutzername und Kennwort), die dazu verwendet werden, schnellen Zugriff auf Online-Nutzerkonten zu bekommen. Allein über die Auth0-Plattform wurde im März dieses Jahres ein Spitzenwert mit rund 40 Prozent erreicht, der auf die Methode Credential Stuffing zurückzuführen ist.

Der Sicherheitsprofi als eierlegende Vollmilchsau

Das treibt Sicherheitsverantwortlichen schon mal den Schweiß auf die Stirn, schließlich müssen sie zu jeder Tages- und Nachtzeit sicherstellen, dass nur die Guten hineingelassen werden, und die Schurken dauerhaft draußen bleiben. In mancher Hinsicht macht das den Security-Job zwar schwerer, aber es gibt auch eine beruhigende Nachricht.

Denn Experten betonen häufig, dass Cyberkriminelle ihre Hacks meist nicht weiterentwickeln, wenn sie merken, dass diese weiterhin funktionieren. Dennoch braucht ein Sicherheits-Experte heute vielfältige Fähigkeiten, um einen holistischen Ansatz zu schultern. "Gerade vor dem Hintergrund einer flexiblen Workforce und hybrider Arbeitsumgebungen müssen die Verantwortlichen die Sicherheit des einzelnen ebenso wie die Sicherheit des gesamten Unternehmens im Blick haben," sagt Jameeka Green Aaron.

Wie ein Hacker denken

Und weil die Cyberbedrohungen immer ausgefuchster werden, unterschwellig im Darkweb schlummern und Unternehmen massive wirtschaftliche Schäden bringen können, stehen die Karrierechancen gerade hier so gut, denn die Reihen der Security-Experten sollen möglichst schnell geschlossen werden.

Davon weiß auch der Personaldienstleister Etengo ein Lied zu singen: "Wir verzeichnen heute eine hohe Nachfrage nach Security-Experten, die vor allem das "Außen" verstehen, also den Mindset eines Hackers haben," so Ari Gering, Abteilungsleiter für den Partner- und Servicebereich bei Etengo. "Ethical Hacking ist so eine heiß begehrte Qualifikation. Hier lernen die Teilnehmer im Wesentlichen, wie Angreifer genau bei ihren Attacken vorgehen."

Als eine der wenigen Hochschulen, bietet die University Albuquerque in New Mexiko für rund 3.000 US-Dollar einen Zertifikatskurs "Ethical Hacking" an. Generell können Zertifizierungen ein wichtiger Bestandteil des Werdegangs sein, da zertifiziertes Personal schneller die Karriereleiter aufsteigt und damit unter Umständen auch ein besseres Gehalt bekommt.

Aber auch wer weniger tief in die Materie einsteigen möchte, hat gute Chancen, in dieser Disziplin dauerhaft Fuß zu fassen, zumal es für eine Security-Fachkraft keinen formalen Ausbildungsweg gibt. Das könnte auch erklären, warum heute viele Firmen CISOs beschäftigen, die einmal Germanistik oder Philosophie anstatt Computerwissenschaften studiert haben. Da auch diese Qualifikationen zum Ziel führen können.

Gehälter schnellen rasant in die Höhe

Denn was viele nicht wissen, das Berufsbild wird immer mehr zu einer Art hochdotierten Querschnittsfunktion im Unternehmen, bei der nicht nur Technikwissen allein die tragende Rolle spielt. "Ein Information Security Officer muss sich heute mehr denn je mit den Belangen der anderen Abteilungen auseinandersetzen. Wenn HR beispielsweise ein neues Tool einführen möchte, sollte er genau abwägen können, was das für die Unternehmenssicherheit bedeutet, und das Vorhaben im Zweifel auch kippen können," weiß Anja Michael.

Ein derart umfassender Kompetenzfokus, der zum einen ganzheitlich die Unternehmens-, Kunden-, und Mitarbeiterdaten an verteilten Standorten sichert und gleichzeitig mit dem steigenden Vernetzungsgrad Schritt hält, wird zudem immer besser bezahlt. "Viele der gesuchten Positionen sind in die Hierarchien automatisch höher angesiedelt.

Leergefegter Arbeitsmarkt

Auch im Mittelstand rangiert der CISO heute schon eine Ebene unter der Geschäftsleitung," so die erfahrene HR-Chefin. Compensation Partner fand dazu in seiner Vergütungsstudie 2021 heraus, dass IT-Security-Manager vergleichsweise hohe Gehälter kassieren. 2021 gingen sie im Schnitt mit einem Jahresgehalt von rund 70.000 EUR nach Hause.

Die Führungskräfte unter ihnen strichen sogar 103.000 EUR ein. Aber trotz eines hohen Einkommens, einer guten Jobperspektive sowie eines Aufgabenspektrums, das man selbst gestalten kann, sind sowohl ausgewiesene Experten mit mehreren Jahren Erfahrung als auch Berufseinsteiger rar am Bewerbermarkt.

Weibliche und männliche Führungskräfte unterscheiden sich laut Compensation Partner in ihren jeweiligen Jahresgehältern nur um 4.000 EUR. Männer verdienen rund 134.000 EUR im Jahr. Bei den Frauen sind es immerhin 130.000 EUR. Dennoch stellen Frauen in diesem Berufsfeld noch die absolute Ausnahme dar.

Zurückhaltende Frauen

Beim Personaldienstleister Etengo macht der weibliche Anteil beispielsweise gerade einmal 20 Prozent aus. Das mag unter anderem auch daran liegen, dass die Schlüsselqualifikationen bei den aktuellen Job- und Projektanforderungen eher eine Männer-Domaine anspricht: ""Mit einer zunehmenden Verlagerung der Arbeitsplätze ins Homeoffice, steigt die Nachfrage nach Security-Spezialisten massiv an. Besonders häufig werden dabei Experten angefragt, die sich auf eine hybride Nutzung zwischen Legacy-Anwendungen und Cloud-Anwendungen verstehen," beobachtet Ari Gering.

Tatsächlich sprechen sich laut aktueller Erhebungen des US-Marktforschungsunternehmen ISC2 etwa zwei Drittel (68 Prozent) aller, rund 3.000 befragten weiblichen Young Professionals dafür aus, den Rest ihrer Karriere in Berufsumfeld von Cybersecurity zu bleiben. Diese Zahl scheint zumindest darauf hinzudeuten, dass ein wachsender Anteil von Frauen sich Positionen im Bereich Cybersecurity vorstellen können und diesen sogar als einen lohnenswerten Karrierepfad ansehen.

Herausforderung bedrohliche Lage verständlich erklären

Und dennoch: der Frauenanteil nimmt meist innerhalb weniger Berufsjahre schon wieder ab und die männliche Front dominiert. Jameeka Green Aaron hat dafür eine Erklärung: "Unabhängig davon, dass Frauen generell viele Zugänge in diesen Bereich haben, brauchen sie verlässliche Netzwerke innerhalb eines Unternehmens. Gibt es diese Communities, die für einen offenen und fairen Austausch sorgen, nicht, bleibt der berufliche Aufstieg für Frauen unattraktiv."

Dabei sind sich die Personal-Experten einig, gerade die richtige Kombination aus Hard und Softskills sind im Bereich Cybersecurity erfolgskritisch. Denn erst die Fähigkeit, die aktuelle Bedrohungslage für alle Mitarbeiter gleichermaßen verständlich zu machen, schärft das Bewusstsein für dauerhafte Angreifbarkeit und schafft Vertrauen. Und davon braucht insbesondere die IT-Security eine ganze Menge.