In den 1990er Jahren stellte das sogenannte Website Defacement noch eine der größten Bedrohungen für Unternehmen dar. Die Hacker drangen dabei in einen Webserver ein und verliehen der gehosteten Website mal schnell ein anderes Erscheinungsbild.
"Diese Zeiten sind längst vorbei," sagt Joan Pepin, Chief Security Officer beim Identitätsanbieter Auth0. "Seit Hacker verstanden haben, wie sich Cyberattacken monetarisieren lassen, wurde aus der einst kleinen Bewegung eine millionenschwere Blackmarket-Ökonomie. Heute ist die Cybercrime-Industrie so organisiert, dass einige dieser Firmen sogar eigene Marketingabteilungen unterhalten." Ein Großteil des illegalen Geschäfts wird dabei laut Aussage der Sicherheits-Chefin mit persönlichen Daten gemacht.
Sicherheitsexperten: Im Wandel der Zeit
Mit dem Bedeutungszuwachs der Cyberkriminalität für die Unternehmen hat sich auch der Stellenwert der Security-Experten massiv verändert. Das beobachtet auch Anja Michael, globale HR-Chefin des Antiviren-Spezialisten Avira: "Die Wichtigkeit der Position des Information Security Officers ist in den letzten Jahren enorm gestiegen." Das liegt ihrer Ansicht nach vor allem daran, dass die Cyberattacken immer raffinierter werden und immer größere Datenmengen bedroht sind.
Hinzu kommt, dass die Pandemie für die Aktivitäten von Cyberkriminellen zusätzlich äußerst fruchtbaren Boden geschaffen hat. Unzählige Firmen mussten ihre Mitarbeiter an den heimischen Schreibtisch verbannen, von wo aus sie sich dann über unterschiedlichste Anwendungen und Geräte wieder in das Firmennetz eingeloggt haben.
Aus dieser Situation versuchen Cyberkriminelle dauerhaft Kapital zu schlagen. Das geht beispielsweise über die mittlerweile weit verbreitete Methode des Credential Stuffing. Diese Angriffe basieren auf gestohlenen Anmeldedaten (Benutzername und Kennwort), die dazu verwendet werden, schnellen Zugriff auf Online-Nutzerkonten zu bekommen. Das treibt Sicherheitsverantwortlichen schon mal den Schweiß auf die Stirn, schließlich müssen sie jederzeit sicherstellen, dass nur die Guten hineingelassen werden und die Bösen dauerhaft draußen bleiben.
In mancher Hinsicht macht das den Security-Job zwar schwerer, aber es gibt auch eine beruhigende Nachricht: "Cyberkriminelle entwickeln ihre Lösung immer dann nicht weiter, wenn sie merken, dass sie dauerhaft funktioniert, weiß Joan Pepin. Dennoch sagt sie aus eigener Erfahrung: "Der Job des Information Security Officers braucht vielfältige Fähigkeiten, denn er ist heute holistisch angelegt. Das bedeutet, die Person muss die Sicherheit des einzelnen Mitarbeiters ebenso im Blick haben, wie die Sicherheit des gesamten Unternehmens. Gerade in Zeiten von Remote Work gilt es, besonderes Augenmerk auf die Aktivitäten der Mitarbeiter zu legen, denn sie gelten immer noch das schwächste Glied in der Kette, wenn es um die Sicherheit von Firmendaten geht."
"Ethical Hacking ist eine heiß begehrte Qualifikation"
Gerade weil die Cyberbedrohungen immer ausgefuchster werden, unterschwellig schlummern und Unternehmen massive wirtschaftliche Schäden bringen können, stehen die Karriere-Chancen im Bereich IT Security so gut. Davon weiß auch der Personaldienstleister Etengo ein Lied zu singen: "Wir verzeichnen heute eine hohe Nachfrage nach Security-Experten, die vor allem das 'Außen' verstehen, also die Denkweise eines Hackers haben," so Ari Gering, Abteilungsleiter Partner Services beim Spezialisten für IT- und Digitalprojekte Etengo.
"Ethical Hacking ist eine heiß begehrte Qualifikation. Hier kennen sich die Spezialisten durch die Beachtung wesentlicher, ethischer Grundsätze in der Vorgehensweise aus." Als eine der wenigen Hochschulen, bietet die University Albuquerque in New Mexiko für rund 3.000 US-Dollar einen Zertifikatskurs "Ethical Hacking" an.
Generell können Zertifizierungen ein wichtiger Bestandteil des Werdegangs sein, da zertifiziertes Personal erfahrungsgemäß schneller die Karriereleiter aufsteigt und damit unter Umständen auch ein besseres Gehalt bekommt. Aber auch wer weniger tief in die Materie einsteigen möchte, hat gute Karten, in dieser Disziplin dauerhaft Fuß zu fassen, zumal es für eine Security-Fachkraft keinen formalen Ausbildungsweg gibt.
Das Berufsbild wird immer mehr zu einer Art hochdotierten Querschnittsfunktion im Unternehmen, bei der nicht nur Technikwissen allein die tragende Rolle spielt. "Ein Information Security Officer muss sich heute mehr denn je mit den Belangen der anderen Abteilungen auseinandersetzen. Wenn HR beispielsweise ein neues Tool einführen möchte, sollte er genau abwägen können, was das für die IT-Sicherheit bedeutet, und das Vorhaben im Zweifel auch kippen können," so Anja Michael.
Security Jobs: Hohe Einstiegsgehälter, Frauen gesucht
Ein derart umfassender Kompetenzfokus, der zum einen ganzheitlich die Unternehmens-, Kunden-, und Mitarbeiterdaten an verteilten Standorten sichert und gleichzeitig mit dem steigenden Vernetzungsgrad Schritt hält, wird zudem immer besser bezahlt. "Viele der gesuchten Positionen sind in die Hierarchien inzwischen höher angesiedelt. Auch im Mittelstand rangiert der Information Security Officer heute schon eine Ebene unter der Geschäftsleitung," so Anja Michael.
Compensation Partner fand dazu in seiner Vergütungsstudie 2019 heraus, dass IT-Security Experten vergleichsweise hohe Gehälter kassieren. 2019 gingen sie im Schnitt mit einem Jahresgehalt von rund 75.000 EUR nach Hause. Die Führungskräfte unter ihnen strichen sogar 128.000 EUR ein, Tendenz steigend. Aber trotz eines hohen Einkommens, einer guten Jobperspektive sowie eines Aufgabenspektrums, das man selbst gestalten kann, sind sowohl ausgewiesene Experten mit mehreren Jahren Erfahrung als auch Berufseinsteiger rar am Bewerbermarkt.
Das gilt übrigens für Männer wie auch für Frauen, die ohnehin in diesem Berufsumfeld auf ganzer Linie eher noch die Ausnahme darstellen. Bei Etengo macht der Anteil eingesetzter Freiberuflerinnen im Bereich Identity- und Access Management gerade einmal 20 Prozent aus. Dabei sind der praktische Umgang und das Management von digitalen Identitäten eine der Schlüsselqualifikationen aktueller Job- und Projektanforderungen im Bereich IT Security.
Tatsächlich sprechen sich auch laut aktueller Erhebungen des US-Marktforschungsunternehmen ISC2 etwa zwei Drittel (68 Prozent) aller rund 3.000 befragten, weiblichen Young Professionals dafür aus, den Rest ihrer Karriere in Berufsumfeld von Cybersecurity zu bleiben. Diese Zahl scheint zumindest darauf hinzudeuten, dass ein wachsender Anteil von Frauen sich Positionen im Bereich Cybersecurity vorstellen können und diesen sogar als einen lohnenswerten Karrierepfad ansehen.
Lesen Sie auch: Der große Gehaltsvergleich in der Informatik