Schritt halten mit der dunklen Seite
Die Cybercrime-Szene agiert immer professioneller. Für Security-Experten in den Unternehmen heißt es: Schritt halten!
Die Cybercrime-Szene organisiert sich und agiert immer professioneller – zum Schaden vieler Unternehmen. Für die Security-Experten dort heißt das vor allem, dass ihre Fähigkeiten mit dieser Entwicklung laufend Schritt halten müssen.
In den 90er-Jahren stellte das sogenannte „Website Defacement“die größte Bedrohung für Unternehmen dar. Die Hacker drangen dabei in einen Webserver ein und verpassten dem dort gehosteten Internet-Auftritt ein neues Erscheinungsbild. „Diese Zeiten sind längst vorbei,“sagt Joan Pepin, Chief Security Officer beim Identity-Spezialisten Auth0.
„Seit dem Zeitpunkt, als Hacker verstanden, wie sich Cyberattacken monetarisieren ließen, wurde aus der einst kleinen Gegenbewegung eine millionenschwere Black-Market-Ökonomie. Heute ist die Cybercrime-Industrie so organisiert, dass einige dieser Firmen sogar eigene Marketingabteilungen unterhalten.“Dabei macht laut Aussage von CSO Pepin der größte Anteil das illegale Geschäft mit persönlichen Informationen aus.
Job des Sicherheitsexperten wird wichtiger
Angesichts der wachsenden Bedrohungen durch Cyberkriminelle hat sich für die betroffenen Unternehmen der Stellenwert der Security-Experten stark verändert. Das beobachtet Anja Michael, globale HR-Chefin des AntivirenSpezialisten Avira. „Die Wichtigkeit der Position des Information Security Officers ist in den letzten Jahren enorm gestiegen.“Das liegt ihrer Ansicht nach vor allem daran, dass die Cyber-Attacken immer raffinierter werden und Daten in immer größeren Mengen bedroht sind. Hinzu kommt, dass die Corona-Pandemie für die Aktivitäten von Hackern zusätzlich äußerst fruchtbaren Boden geschaffen hat. Zahlreiche Firmen mussten ihre Mitarbeiter an den heimischen Schreibtisch verbannen, von wo aus sich diese dann über unterschiedlichste Anwendungen und Geräte wieder ins Firmennetz eingeloggt haben.
Aus dieser Situation versuchen Cyberkriminelle Kapital zu schlagen. Das geht beispielsweise über die mittlerweile weit verbreitete Methode des Credential Stuffing. Diese Angriffe nutzen gestohlene Anmeldedaten (Benutzername und Kennwort), die dazu verwendet werden, schnellen Zugriff auf Online-Nutzerkonten zu bekommen. Das kann Sicherheitsverantwortlichen schon mal den Schweiß auf die Stirn treiben, schließlich müssen sie jederzeit sicherstellen, dass nur die Guten ins Firmennetz kommen, und die Bösen draußen bleiben.
In mancher Hinsicht macht das den SecurityJob zwar schwerer, aber es gibt auch eine beruhigende Nachricht: „Cyberkriminelle entwickeln ihre Lösung immer dann nicht weiter, wenn sie merken, dass sie dauerhaft funktioniert, weiß Pepin. Dennoch sagt sie aus eigener Erfahrung: „Der Job des Information Security Officers braucht vielfältige Fähigkeiten, denn er ist heute holistisch angelegt. Das bedeutet, die Person muss die Sicherheit des einzelnen Mitarbeiters ebenso verfolgen, wie die Sicherheit des Unternehmens selbst.“Gerade in Zeiten von Remote Work gilt es, ein besonderes Augenmerk auf die Aktivitäten der Mitarbeiter zu legen, denn sie stellen immer noch das schwächste Glied in
der Kette dar, wenn es um die Sicherheit von Firmendaten geht.
Denken wie ein Hacker gehört dazu
Weil die Cyber-Bedrohungen immer raffinierter werden, stehen die Karrierechancen gerade im Security-Umfeld gut. Davon weiß auch der Personaldienstleister Etengo zu berichten: „Wir verzeichnen eine hohe Nachfrage nach Security-Experten, die vor allem das ,Außen‘ verstehen, also das Mindset eines Hackers haben,“so Ari Gering, Abteilungsleiter Partner Services beim Spezialisten für IT- und Digitalprojekte. „Ethical Hacking ist so eine heiß begehrte Qualifikation. Hier kennen sich die Spezialisten durch die Beachtung wesentlicher, ethischer Grundsätze in der Vorgehensweise aus.“Als eine der wenigen Hochschulen, bietet zum Beispiel die University Albuquerque in New Mexiko für rund 3.000 Dollar einen entsprechenden Zertifikatskurs „Ethical Hacking“an.
Generell können Zertifizierungen ein wichtiger Bestandteil des Werdegangs sein, da zertifiziertes Personal erfahrungsgemäß schneller die Karriereleiter hinaufsteigt und damit unter Umständen auch ein besseres Gehalt bekommt.
Aber auch wer weniger tief in die Materie einsteigen möchte, hat gute Karten, in dieser Disziplin Fuß zu fassen, zumal es für eine Security-Fachkraft keinen formalen Ausbildungsweg gibt. Das könnte auch erklären, warum heute Firmen CISOs beschäftigen, die einmal Germanistik oder Philosophie anstatt Computerwissenschaften studiert haben. Auch diese Qualifikationen können zum Ziel führen, wie Beispiele aus der Vergangenheit gezeigt haben.
Gehälter schnellen rasant in die Höhe
Was viele nicht wissen: Das Berufsbild entwickelt sich zu einer gut dotierten Querschnittsfunktion im Unternehmen, bei der nicht nur Technikwissen die entscheidende Rolle spielt. „Ein Information Security Officer muss sich heute mehr denn je mit den Belangen der anderen Abteilungen auseinandersetzen. Wenn eine Fachabteilung beispielsweise ein neues Tool einführen möchte, sollte sie genau abwägen können, was das für die IT-Sicherheit bedeutet, und das Vorhaben im Zweifel auch kippen können,“sagt Avira-Managerin Michael.
Ein derart umfassendes Know-how, das die Unternehmens-, Kunden-, und Mitarbeiterdaten an verteilten Standorten sichert und gleichzeitig mit dem steigenden Vernetzungsgrad Schritt hält, wird zudem immer besser bezahlt. „Viele der gesuchten Positionen sind inzwischen in der Firmenhierarchie höher angesiedelt. Auch im Mittelstand rangiert der Information Security Officer heute schon eine Ebene unter der Geschäftsleitung,“so Michael.
Der Hamburger Vergütungsspezialist Compensation Partner fand dazu in seiner Gehaltsstudie vom vergangenen Jahr heraus, dass IT-Security-Experten vergleichsweise hohe Gehälter kassieren. 2019 gingen sie im Schnitt mit einem Jahresgehalt von rund 75.000 Euro nach Hause. Führungskräfte unter ihnen strichen sogar 128.000 Euro Jahresgehalt ein – Tendenz steigend. Aber trotz eines hohen Einkommens, einer guten Jobperspektive sowie eines Aufgabenspektrums, das man selbst gestalten kann, sind sowohl ausgewiesene Experten mit mehreren Jahren Erfahrung ebenso rar am Bewerbermarkt wie Berufseinsteiger.
Frauen bleiben noch immer die Ausnahme
Das gilt übrigens für Männer wie auch für Frauen, die ohnehin in diesem Berufsumfeld eher noch die Ausnahme darstellen. Bei Etengo zum Beispiel macht der weibliche Anteil eingesetzter Freiberuflerinnen im Bereich Identityund Accessmanagement (IAM) gerade einmal 20 Prozent aus. Dabei sind der praktische Umgang und das Management von digitalen Identitäten eine der Schlüsselqualifikationen aktueller Job- und Projektanforderungen im Bereich IT-Security.
Tatsächlich sprechen sich laut aktueller Erhebungen des US-Marktforschungsunternehmen ISC2 etwa zwei Drittel (68 Prozent) aller rund 3.000 befragten weiblichen IT-Young-Professionals dafür aus, den Rest ihrer Karriere im Berufsumfeld von Cybersecurity zu bleiben. Diese Zahl scheint zumindest darauf hinzudeuten, dass ein wachsender Anteil von Frauen sich Positionen im Bereich Cybersecurity vorstellen kann und diesen sogar als einen lohnenswerten Karrierepfad ansieht.
Dennoch nimmt der Frauenanteil meist innerhalb weniger Berufsjahre wieder massiv ab, und die männliche Front dominiert. Joan Pepin von AuthO erklärt das so: „Security-Kräfte müssen von Haus aus skeptische, prüfende Charaktere sein. Sie dürfen keine Skrupel haben, Fehler zu finden und die Mitarbeiter um sie herum damit zu konfrontieren. Das kann auf Frauen abstoßend wirken.“Fachleute sind sich einig, dass gerade Soft Skills im Bereich der Cybersecurity erfolgskritisch sind. Denn erst die Fähigkeit, die aktuelle Bedrohungslage für nicht sicherheitsaffine Mitarbeiter verständlich zu machen, schafft Vertrauen.