„Irgendwas mit IT oder IT Security” – mit dieser Idee startet die Suche nach einem zukünftigen Beruf für viele Absolvent*innen. Doch schnell wird klar: Es gibt nicht den einen Weg in die IT Security. Diese Branche hat 1.000 Facetten. Berater*in, Auditor*in, Analyst*in – schon allein diese drei Karrierewege fordern ganz unterschiedliche Kenntnisse, Interessen und Fertigkeiten.
Wir haben zwei Kolleginnen befragt, die alltäglich IT-Security-Expert*innen suchen: Katja Dane und Sabine Handoko, HR-Partnerinnen der usd AG. Sie teilen mit uns 11 Aussagen, die sie von Studierenden und Absolvent*innen in diesem Zusammenhang oft hören. Mit welchen kannst du dich identifizieren? Und welche Disziplin ist dann die richtige für dich?
Mir ist ein technischer Fokus wichtig.
Sabine: Dazu müssten wir zu Beginn klären: Wie stark soll der Fokus auf Technik liegen? Wie tief soll der tägliche Einblick gehen? Im usd HeroLab beispielsweise, also bei unseren Penetrationstester*innen und Analyst*innen, ist die Spezialisierung auf IT sehr stark. Die Kolleg*innen arbeiten sich tief in die Systeme und Anwendungen unserer Kunden vor und suchen dort nach Schwachstellen und Einfallstoren für Hacker. Dafür braucht es ein sehr gutes Verständnis von mobilen Anwendungen, Cloud-Infrastrukturen oder verschiedenen Formen von Systemen.
Reduzieren wir den technischen Fokus ein wenig, wäre der ideale Mittelweg zwischen Analyst*in und Berater*in eine Karriere als Auditor*in im Team Security Audits & PCI. Dort erhält man Einblicke in verschiedene Formen von Technologien, muss Compliance-Anforderungen praxisorientiert umsetzen und bestehende Infrastrukturen auditieren. Es gibt dabei nichts, was man nicht sieht, denn auch unsere Kunden entwickeln ihre IT-Prozesse immer weiter.
Soll der technische Fokus nicht so im Mittelpunkt stehen, sondern eher die Beratung rund um praktikable IT-Security-Lösungen auf der organisatorischen und prozessualen Ebene, empfehle ich eine Karriere als Berater*in im Team Security Consulting.
Ich hatte schon immer Spaß am Lösen von Rätseln und Knobelaufgaben.
Katja: Genau diese Eigenschaften suchen wir bei zukünftigen Kolleg*innen im usd HeroLab. Ein Kollege drückte es mal sehr passend aus: Als Pentester*in braucht man einen gewissen „Jägerinstinkt“. Die Suche nach Schwachstellen treibt unsere Analyst*innen an. Sie starten bei einem Einstiegspunkt und arbeiten sich mit Kreativität und detektivischem Spürsinn immer tiefer in das System oder die Anwendung vor. Stundenlang findet man dabei vielleicht nichts – gut für die Kunden, aber man darf sich nicht leicht frustrieren lassen und im Rahmen der eigenen Möglichkeiten weitersuchen. Diese Eigenschaft in Kombination mit IT-Wissen findet sich oft bei leidenschaftlichen CTF (Capture-The-Flag)-Spieler*innen.
Ich interessiere mich dafür, wie Unternehmen Sicherheit organisieren sollten.
Sabine: Wenn du dich neben der Technik fragst, wie ein Unternehmen sich eigentlich organisieren müsste, damit Unternehmenswerte am besten geschützt werden, bist du im Bereich Security Consulting goldrichtig. Von der Technik, über die Prozesse, der Awareness der Mitarbeiter*innen bis hin zu Vorgaben in Dokumenten. Hier geht’s darum, das große Ganze zu verstehen und Unternehmen ganzheitlich auf dem Weg zu mehr Sicherheit zu begleiten. Aber auch unsere Auditor*innen im Bereich Security Audits & PCI erhalten viele spannende Einblicke in die Organisation von Unternehmen, nur eben aus der “Prüfersicht” und weniger im beratenden Aufbau. Beides super vielseitig und spannend.
Ich analysiere gern Situationen und versuche sie zu optimieren.
Sabine: Genau solche Menschen wie dich braucht es, um die Welt ein Stück sicherer zu machen. Mit dieser Einstellung passt du im Allgemeinen perfekt in die IT-Security-Branche. Ganz operativ stehen die Berater*innen in den Teams Security Consulting und Security Audits & PCI immer wieder vor der Herausforderung, dass die Normen und Standards der Informationssicherheit so vielseitig auslegbar sind. Es ist also genau ihre Aufgabe, diese Vorgaben in betreibbaren und effektiven Sicherheitsprozessen oder passgenauen technischen Lösungen umzusetzen. Dazu braucht es je nach Unternehmensstruktur individuelle Lösungen, die von den Mitarbeiter*innen angenommen und gut umzusetzen sind.
Katja: Der Wunsch nach Optimierung ist auch eine perfekte Eigenschaft für die Arbeit als Pentester*in. Zwar sind viele Schritte bei uns im usd HeroLab durch eine selbst entwickelte und ausgeklügelte Tool-Chain automatisiert, doch dies hat den Vorteil, dass man mehr Zeit und einen größeren Fokus auf das manuelle Pentesting setzen und seiner Kreativität freien Lauf lassen kann.
Ich reise gerne und möchte die Welt sehen.
Sabine: Unsere Kolleg*innen aus dem Team Security Audits & PCI waren vor der Corona-Pandemie auch viel international unterwegs – in Spanien, Portugal, Skandinavien, Kalifornien, um nur ein paar Beispiele zu nennen. Unsere Kunden operieren über Ländergrenzen hinweg oder haben Tochterfirmen im internationalen Ausland, die im Audit inkludiert werden müssen. Wir verfügen daher über weltweite Lizenzen zur Durchführung von Audits im Rahmen des Payment Card Industry Security Standards (PCI DSS). Ein zukünftiger Kollege oder eine zukünftige Kollegin in dem Team sollte daher unbedingt sehr gute Englisch-Kenntnisse mitbringen. Durch Corona ist die Reisetätigkeit zeitweise stark zurückgegangen, doch wie es sich langfristig entwickeln wird, ist schwer zu sagen. Unabhängig davon wird es weiterhin bestimmte Teile oder sogar ganze Audits geben, die beispielsweise in Rechenzentren und damit zwingend vor Ort durchgeführt werden müssen.
Ich möchte nicht auf der Stelle stehen bleiben, sondern mich immer weiterentwickeln und fortbilden.
Katja: Dann ist IT Security die ideale Branche für dich, denn sie entwickelt sich fortlaufend weiter. Immer wieder kommen neue Schwachstellen oder Angriffsszenarien hinzu, die man kennen und finden muss. Bekannte Standards entwickeln sich weiter, um Unternehmen noch besser zu schützen. Neue Technologien bieten immer Möglichkeiten, bekannte Prozesse neu zu denken und umzusetzen. Wir beobachten den Wunsch nach Weiterentwicklung auch daran, dass sich jemand innerhalb seines oder ihres Teams ein Thema schnappt und es sich zu eigen macht und weiterentwickelt. Andere Kolleg*innen entwickeln Tools und teilen diese über Veröffentlichungen oder auf Konferenzen mit der Community. Und nicht zuletzt gibt es auch nicht wenige Beispiele von Kolleg*innen die innerhalb der Bereiche gewechselt haben und so einen neuen Themenschwerpunkt für sich entdeckt haben. Versprochen: Langweilig wird es bei uns nicht.
Direkt mit Menschen zu arbeiten wäre mir wichtig, denn eine meiner Stärken ist gute Kommunikation.
Sabine: Bei all unseren Teams wird man direkt mit dem Kunden arbeiten. Gute Kommunikation in Richtung Kunde ist wichtig, aber man muss auch genauso gut zuhören können, um zu verstehen, was der Kunde braucht und möchte. In den beiden Teams Security Consulting und Security Audits & PCI gehört es zum Alltag, gemeinsame Workshops mit dem Kunden zu halten, Prozesse abzustimmen, Lösungen zu präsentieren und den Kunden beim Projekt zu begleiten.
Mein Wissen zu teilen macht mir Spaß und ich kann gut erklären.
Sabine: Das ist eine wichtige Eigenschaft, nach der wir in künftigen Analyst*innen, Berater*innen und Auditor*innen suchen. Jedes Projekt unserer Kolleg*innen ist anders: Einmal berät man die Management-Ebene zu Cyber-Security-Strategien. Ein anderes Mal bespricht man technische Umsetzungen zur Sicherheit von Zahlungsdaten mit Administrator*innen. Beim nächsten Mal muss man die Auswirkung einer Schwachstelle der Leitung der Software-Abteilung erläutern. Wieder ein anderes Mal schreibt man Richtlinien, die alle Mitarbeiter*innen - vom Marketing bis zum IT-Admin - verstehen und umsetzen müssen. Unser Wissen zu teilen ist einer der wichtigsten Teile unserer Mission.
Ich möchte nicht jeden Tag formelle Business-Kleidung, wie Anzug und Blazer, tragen müssen.
Katja: Wir sind zwar ein Beratungshaus, einen Dresscode gibt es aber nur zu bestimmten Anlässen und Kundenterminen. Daher haben alle unsere Kolleg*innen mehrere Business Outfits im Schrank. Die Kolleg*innen aus dem usd HeroLab vermutlich weniger, denn während der Pentest-Phasen sind sie meist in T-Shirt oder usd Hoody anzutreffen. Bei unseren Berater*innen und Auditor*innen sieht das schon anders aus. Durch die Arbeit beim Kunden vor Ort oder während Audits, ist ein professionelles Auftreten in Business-Kleidung gefragt.
Ich habe eine klare Präferenz, was das Betriebssystem angeht.
Katja: Da scheiden sich bei uns auch intern die Geister (lacht). Im usd HeroLab heißt es ganz klar Linux. Etwas anderes kommt für unsere Pentester*innen und Analyst*innen nicht in Frage. Sie setzen sich in der Einarbeitung ihren Laptop selbst auf. In den anderen beiden Teams und in den Zentralbereichen finden sich dann eher Windows-Rechner. Einige Kolleg*innen nutzen aber auch Mac Books.
Mein Traum war es schon immer, eine Superkraft zu haben.
Sabine: Mal sehen, ob wir hier auch weiterhelfen können. Vielleicht mit einem Cape – da müsste ich mal im Marketing nachfragen (lacht). Ich kann aber so viel sagen: So vielseitig die IT-Security-Branche ist, so facettenreich sind auch die Menschen, die bei uns arbeiten. Jede*r bringt etwas Besonderes mit und möchte etwas bewirken. Welche konkrete Superkraft in dir schlummert, können wir gemeinsam bei einem Gespräch herausfinden und finden sicher das richtige Team für dich. Denn egal wo in der usd du deinen Platz findest, ich bin mir sicher, du wirst die Welt ein Stück sicherer machen. Daher bleibt nur noch zu sagen: Bewirb dich und Become A Hero.
