IT-Sicherheitsexperten können Cyberattacken zwar nicht verhindern, aber dafür sorgen, dass das Risiko sinkt. Trotzdem wird in vielen Unternehmen zu wenig auf IT-Sicherheit geachtet. Berufsporträts über einen Job mit unterschiedlichen Facetten. Von Peter Ilg

IT-Sicherheitsexperten

Foto: Adobe Stock

Erst wenn etwas passiert ist, nehmen Menschen Bedrohungen ernst. Diese Erfahrung macht Golo Königshoff vor allem in Unternehmen bis 10 000 Mitarbeitern. Konzerne schützen ihre IT besser, weiß er aus seiner Arbeit im IT-Systemhaus Bechtle am Standort Hannover als Leiter des Teams Sicherheit und Netzwerke. Das geplante Telefoninterview für den Artikel musste er verschieben, weil einer seiner Kunden angegriffen wurde. Was geschah, erzählt er am Tag darauf: Ein Hacker aus Singapur hat sich bei dem deutschen Unternehmen per E-Mail gemeldet. Er hat geschrieben, er sei in das Netz eingedrungen und habe volle Administratorenrechte auf alle Daten. „Das ist der schlimmste anzunehmende Fall“, sagt Königshoff, „weil der Angreifer die IT komplett kontrollieren kann.“ Aus diesem Grund sind IT-Sicherheitsexperten so wichtig und gefragt.

„Es war gut, dass der Kunde uns gleich eingeschaltet hat“, sagt Königshoff, denn er und seine Mitarbeiter wissen, was in einem solchen Fall zu tun ist, „der leider viel zu häufig vorkommt“. Der Kunde ist ein, was IT-Sicherheit betrifft, typischer Mittelständler: Das Bewusstsein für Security ist zwar da, wird aber nicht konsequent durchgeführt. Dabei wäre es einfach gewesen, den Eindringling fernzuhalten, wenn Softwareupdates ausgeführt worden wären.

Wurden sie nicht, deshalb war der Angreifer erfolgreich. Auch eine starke Authentifizierung in Kombination von Kennwort und einem zusätzlichen Sicherheitscode hätte das Eindringen verhindert. „Es gibt sehr einfache, aber wirksame Maßnahmen, um mit geringem Aufwand ein hohes Maß an Sicherheit zu erreichen“, sagt der Bechtle-Teamleiter. Einhundertprozentige Sicherheit aber gibt es nicht.

„IT-Security ist ein umfangreicher Job“

Königshoff ist gelernter Fachinformatiker der Fachrichtung Systemintegration. Er ist seit zehn Jahren bei Bechtle und seit sechs Jahren Teamleiter. Seine Mitarbeiter haben entweder eine Ausbildung wie er abgeschlossen oder Informatik studiert. „IT-Security ist ein umfangreicher Job und je nach Aufgabenstellung sind verschiedene Facetten unseres Know-hows gefordert“, sagt Königshoff.

Robert Esterer ist Information Security Officer bei der Allianz in München und hat eine kontrollierende Rolle. „Ich achte drauf, dass bei allen neuen Produkten oder Services rechtliche Auflagen und regulatorische Vorgaben, etwa der Bafin, eingehalten sind.“ Bafin steht für Bundesanstalt für Finanzdienstleistungsaufsicht. Die staatliche Einrichtung beaufsichtigt und kontrolliert das Finanzwesen in Deutschland. Ihre Vorgaben sind bindend. „Um die Vorschriften einzuhalten, haben wir verbindliche Richtlinien, die dafür sorgen, dass unsere Services rechtskonform sind“, sagt Esterer. Er ist einer von mehreren Information Security Officern bei der Allianz und zuständig für das Produkt private Krankenversicherung.

Für dessen Kunden gibt es eine App für Android und iOS mit unterschiedlichen Funktionen. Etwa für die Kommunikation zwischen Kunde und Versicherung. Die Anwendung wurde zuletzt um ein neues Feature erweitert, das den Bearbeitungsstand eingereichter Rechnungen für beispielsweise Arzneimittel anzeigt. Das Projektteam machte eine Risikobewertung über die neue Funktion und kam damit zu Esterer. Daraufhin wurde die Dokumentation angepasst. Dann in der Anwendung umgesetzt. „Abschließend habe ich geprüft, ob die Neuerungen unseren Anforderungen genügen.“ Das war der Fall.

IT-Sicherheitsexperten: Die Arbeit der Kollegen kontrollieren

Esterer hat Informatik studiert, war anschließend acht Jahre Berater für IT-Sicherheit. Dann drei Jahre als Spezialist für IT-Sicherheit in einem mittelständischen Unternehmen tätig. Seit Sommer 2018 ist er bei der Allianz in der Abteilung Informations­sicherheitsmanagement. „Wir befassen uns mit Informationen jeder Ausprägung, IT ist eine davon und weil 99 Prozent aller Informationen digital verarbeitet werden, die bedeutendste.“ In seinem Job ist daher tiefes IT-Verständnis notwendig, etwa wenn er Sicherheitskonzepte in Anwendungen prüft: von Vertraulichkeit über Echtheit der Daten bis hin zur Verfügbarkeit im Katastrophenfall. Auch dann sollen die Systeme noch verlässlich funktionieren.

Esterer hat einen Schreibtischjob vor dem Bildschirm und muss viel Papier abarbeiten: Dokumentationen lesen, Vorschriften der Bafin nachschlagen und die internen Vorgaben kennen. Und er muss mit Menschen klarkommen. „Ich kontrolliere die Arbeit von Kollegen. Das erfordert Fingerspitzengefühl, damit die sich nicht auf den Schlips getreten fühlen, wenn ich an ihrer Arbeit etwas auszusetzen habe.“ Seinen Job beschreibt er als anspruchsvoll und spannend. „Weil ich in vielen Projekten unterschiedlicher Bereiche involviert bin, auch neuen und strategischen und dadurch weiß, was die Zukunft bei der Allianz an Angeboten und Technologien bringt“.

IT-Security-Experten gehören zu den bestbezahlten und gefragtesten IT-Spezialisten. Weil es viel zu wenige gibt. In Deutschland bieten etwa zehn Hochschulen einen Studiengang in IT-Sicherheit oder mit ähnlicher Bezeichnung an. Die Ruhr-Universität Bochum ist mit gleich vier Studiengängen und rund 1100 Studierenden in IT-Sicherheit die Hochschule in Europa mit dem größten Standort in der Ausbildung von IT-Sicherheitsexperten. „Wir könnten auch zehnmal so viele ausbilden und alle würden einen spannenden Job finden“, sagt Thorsten Holz, Professor am Lehrstuhl für Systemsicherheit in Bochum. Der Bedarf an Absolventen sei enorm hoch, jede Firma suche nach ihnen.