Experte: Arbeitsmarkt für IT-Sicherheit ist heiß, aber schwierig

Auf dem Arbeitsmarkt für IT-Sicherheit tun sich Unternehmen wie Jobsuchende schwer. Die Gründe erklärt der Gründer von L. J. Kushner and Associates.

Der Arbeitsmarkt für IT-Sicherheit ist einer der schwierigsten überhaupt – sowohl für Jobsuchende als auch für Arbeitgeber.

Wenn Sie sich als Sicherheitsprofi verstehen, aber nichts beherrschen außer PCI DSS-Compliance, Netzwerk-Sicherheit oder Intrusion Detection, dann sollten Sie unter Umständen Ihre Kompetenzen erweitern, um Erfolg zu haben.

 Lee J. Kushner, Gründer und CEO, L. J. Kushner and Associates, LLC

Nach der aktuellen IT Salary Survey 2012 von TechTarget haben viele IT-Sicherheitsprofis im Jahr 2012 Gehaltserhöhungen und Boni bekommen und blicken auch optimistisch auf 2013. Vor allem bei der Besetzung von Spezialisten-Posten haben IT-Sicherheitschefs in Unternehmen Probleme, unter anderem wegen unrealistischer Erwartungen und der Knappheit bei passend qualifiziertem Personal. Als Ergebnis herrscht am Markt oft Verwirrung darüber, wie die nötigen Talente zu finden sind. Gleichzeitig wissen Jobsuchende nicht genau, welche Fähigkeiten sie für eine erfolgreiche Karriere in der IT-Sicherheit aufbauen sollten.

Um mehr Klarheit zu schaffen, haben wir mit Lee J. Kusher gesprochen, dem Gründer und CEO von L. J. Kusher and Associates, LLC. Das Unternehmen ist seit 1996 auf Einstellungen im Bereich IT-Sicherheit spezialisiert und hat seit dieser Zeit einige Veränderungen beobachtet.

Welche Kompetenzen im Bereich IT-Sicherheit sind auf dem Markt derzeit besonders gefragt?

Eine Reihe von Kompetenzen sind derzeit stärker gefragt als andere und stehen seit zwei oder drei Jahren im Vordergrund. Wir sehen einen Trend in Richtung Anwendungssicherheit, Incident Response, Bedrohungs- und Schwachstellen-Management und allgemein gemischte Sicherheitsarchitekturen, bei denen Risikofaktoren zusammen mit technischen Faktoren betrachtet werden. In all diesen Bereichen von IT-Sicherheit gibt es aktuell mehr Nachfrage aus vielen Organisationen.

Nach welchen Fähigkeiten ein Unternehmen sucht, hängt außerdem ab, ob es nur auf regulatorische Vorgaben reagieren oder ein wirklich hohes Sicherheitsniveau erreichen will. Wem es nur um ein Sicherheitsprogramm zwecks Compliance oder als Reaktion auf ein externes Audit geht, will vielleicht gar nicht die besten Leute und Technologien dafür finden. Das Unternehmen will dann nur eine Lösung, die den Anforderungen entspricht, nicht eine, die wirklich umfassend schützt.

Wer dagegen sicher sein will und nicht nur rechtlich abgesichert, könnte dagegen höhere Ansprüche haben. Solche Unternehmen suchen zunehmend nach eher technischen Kräften mit mehr Erfahrung mit der externen Bedrohungslandschaft. Gefragt sind auch Kenntnisse über präventive oder proaktive Maßnahmen, die erfolgreiche Einbrüche schon im Vorfeld verhindern.

Wie hat sich die Nachfrage auf dem Job-Markt für IT-Sicherheit in den letzten 10 bis 15 Jahren verändert?

Wirklich vergleichen lässt sich die heutige Lage nur mit der im Jahr 2000. Der Unterschied zwischen damals und heute ist, dass es 2000 für einen Job schon ausgereicht hat, „Sicherheit“ richtig buchstabieren zu können. Die Nachfrage war recht wahllos und breit. Für den Markt gab es nicht viele Unterschiede zwischen Penetrationstestern, Firewall-Experten oder Spezialisten für  Intrusion Detection. Sie galten einfach alle als Sicherheitsleute, und wenn man eines konnte, wurde man für alles als kompetent angesehen.

Is es für Unternehmen schwierig, die Kompetenzen, die sie brauchen, zu formulieren und zu finden?

Wir haben eine Suche für eine internationale Bank mit Sitz in New York City durchgeführt. Bevor wir beauftragt wurden, war die Suche schon sechs Monate lang gelaufen. Die offene Stelle war die des Verantwortlichen für IT-Sicherheit in Amerika außerhalb der USA. Jeder, der sich bis dahin vorgestellt hatte, war sehr auf Richtlinien fixiert und hatte technisch nicht viel vorzuweisen. Gebraucht wurde aber jemand, der die Anforderungen hinsichtlich Technik und Führungsqualität erfüllt, um ein Programm umzusetzen. Das stellte sich als wirklich großes Problem heraus. Solche Talente findet man nicht über allgemeine Keywords in Internet-Suchen. Viele würden erst einmal als qualifiziert erscheinen. Aber wenn man sich genauer mit den konkreten Anforderungen des Kunden beschäftigte, war klar, dass die Suche unerwartet anspruchsvoll war.

Allgemein ist eines der größeren Probleme bei Einstellungen in der IT-Sicherheit, dass viele Arbeitgeber nicht verstehen, wie schwierig es ist, einen Profi aus einem Unternehmen herauszulösen, wo es ihm gefällt. Bei Gehaltsverhandlungen verweisen sie dann darauf, mit verschiedenen Firmen gesprochen und so erfahren zu haben, dass die Vergütung für die offene Stelle im Durchschnitt X US-Dollar beträgt. Dieser Betrag ist bei einem internen Wechsel vielleicht angemessen. Doch wir sprechen hier von einem Markt mit Faktoren wie Vollbeschäftigung, allgemeiner Risikoaversion bei den Kandidaten und dem Wunsch nach Risikoprämien bei unsicheren Karriere-Entscheidungen. Wenn man all das berücksichtigt, ist ein am Durchschnitt orientiertes Angebot nicht mehr sehr attraktiv.

Haben viele Sicherheitsprofis den Fehler gemacht, sich zu sehr zu spezialisieren?

Es gibt ohne Zweifel Leute, die in einem bestimmten Umfeld geblieben sind, und das schränkt sie ein. Heute gelten bestimmte Sicherheitsaspekte als Teil von anderen Bereichen. Um zum Beispiel ein guter Netzwerk-Architekt zu sein, müssen Sie auch etwas von Sicherheit verstehen. Früher war das anders, aber heute ist Sicherheit zunehmend ein Teil der Qualifizierung für Netzwerke. Ohne Kenntnisse über Sicherheit können Sie meiner Meinung nach kein vollwertiger Netzwerk-Techniker oder -Architekt sein. Wenn Sie sich aber als Sicherheitsprofi verstehen, aber nichts beherrschen außer PCI DSS-Compliance, Netzwerk-Sicherheit oder Intrusion Detection, dann sollten Sie unter Umständen Ihre Kompetenz-Palette erweitern, um Erfolg zu haben.

Was würden Sie jemandem raten, der von einer einfachen Rolle im Sicherheitsbetrieb in eine Management- oder Führungsfunktion wechseln möchte?

Er sollte interne Projekte finden, zu denen er mit seinem Fachwissen beitragen kann. Dort kann er   allmählich eine Führungsrolle übernehmen – am besten schafft man so einen Übergang, indem man intern Verantwortung übernimmt statt gleich extern. Das klingt aus dem Mund eines Personalvermittlers wahrscheinlich merkwürdig aber so funktioniert es wirklich. Am besten sind Ihre Aussichten, wenn Sie intern schon einen Ruf aufgebaut haben, eine persönliche Marke.

Wenn Sie ein gutes Ansehen als Netzwerk-Sicherheitstechniker oder -Techniker haben und sich die Chance für eine Führungsrolle in einem Projekt bietet, sollten Sie diese Chance auf jeden Fall nutzen. Beginnen Sie dabei damit, die Eigenschaften aufzubauen, die man im Management braucht. Dann kann es schnell so kommen, dass Sie eine weitere Projekt-Führung bekommen, und dann heißt es „Nicht schlecht, der Mann hat die letzten 18 Monate eigentlich schon als Manager gearbeitet. Wir haben eine offene Stelle für einen Sicherheitsmanager oder Manager für Netzwerk-Sicherheit. Statt extern zu suchen, geben wir George eine Chance, der scheint perfekt dafür zu sein“.

Das Gewinnen von Kompetenz durch Erfahrung ist also äußerst wichtig, und es lassen sich Chancen dafür finden, dies intern zu realisieren. Das Problem dabei ist: Wenn man aktuell nur in einem sehr engen Gebiet arbeiten darf, ist es schwierig, die dort erworbenen Fähigkeiten auch auf andere Bereiche zu übertragen.

Über den Autor: George V. Hulme schreibt freiberuflich über Sicherheit und Technologie. Seine Twitter-Beiträge dazu finden Sie unter @georgevhulme.

Erfahren Sie mehr über IT-Sicherheit: Jobs und Training

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close