Was genau machst Du bei uns als Leiter des Competence Teams IT-Security?

„In meiner Position bin ich für die Entwicklung von IT-Sicherheitslösungen zuständig und quasi Product Owner. Das wichtigste Ziel meiner Arbeit ist, das IT-Security-Portfolio für unsere Kunden weiter auszubauen. Wir wollen mit Produkten auf dem Markt vertreten sein, die optimal zu unseren Kunden passen und ihnen einen Mehrwert bringen. Deshalb haben wir kürzlich auch neue Produkte und Services wie User Awareness Trainings und den Cyber-Risiko-Check eingeführt. Beides lässt sich mit wenig Aufwand umsetzen bzw. einführen, dafür aber mit großer Wirkung.“

Das klingt nach einer großen und wichtigen Aufgabe. Gibt es noch weitere Themen, mit denen Du Dich beschäftigst?

„Ja, tatsächlich, denn auch die Verbesserung unserer eigenen IT-Sicherheit hat einen hohen Stellenwert. Auch da bin ich immer in der Umsetzung. Wir betreiben ein großes Rechenzentrum für unsere Kunden, das entsprechend abgesichert sein muss. Außerdem helfe ich Kolleg*innen mit Konzepten und Audits sowie bei der Umsetzung der ISO Zertifizierung 27001 – das ist mein zweiter großer Schwerpunkt.“

Gibt es bei so vielen Aufgaben einen klassischen Arbeitsalltag, und wenn ja, wie sieht der aus?

„Ich arbeite eng mit unserem Vertriebsteam zusammen, und wir stimmen uns regelmäßig zu Kundenanfragen ab, damit wir sie gemeinsam beantworten können. In diesem Segment gibt es einfach einen großen Bedarf bei den Unternehmen, egal ob Firewall oder komplettes Sicherheitskonzept. Unterm Strich lässt sich meine Arbeit in drei Hauptbereiche aufteilen, die ich betreue: Das sind erstens Konzepte und Präsentationen, die zu erstellen sind, zweitens schaue ich im Rahmen des Market Research nach Trends und beobachte, was im Bereich der IT-Security gerade in der Welt los ist.

Es ist einfach wichtig, immer dranzubleiben. IT-Security ist nämlich nicht statisch, sondern darf als kontinuierlicher Prozess verstanden werden. Drittens bin ich interner und externer Consultant. Das bedeutet, dass ich sowohl unsere Kollegen bei allen Fragen rundum IT-Sicherheit unterstütze als auch bei Kundengesprächen beratend dabei bin. Manchmal kommen Kunden auch mit ‚akuten Vorfällen‘ auf uns zu. Das erfordert dann natürlich schnelles Handeln und ist eine spannende Ablenkung vom Alltag.“

Was sind Deiner Meinung nach die häufigsten Herausforderungen, denen Du in deinem beruflichen Alltag begegnest?

„Die größte ist, dass mit der Einführung einer IT-Security zunächst nur der Bestand gesichert sind, Kunden erwirtschaften damit erstmal keinen einzigen Euro, denn es ist „nur“ die Absicherung des bestehenden Systems. Deshalb ist oft gar kein Budget für Sicherheitsmaßnahmen eingeplant. Manchmal herrscht auf Kundenseite auch kein Bewusstsein für die Vielfalt an Risiken, deshalb kämpfen wir manchmal auch gegen die Einstellung „et hätt noch immer jot jejange“. Leider ist das in genau solchen Fällen eben nicht so. Weil so viel passiert, entstehen den Unternehmen Milliardenverluste, denen man vorbeugen kann und muss. Das bei Entscheidern und Nutzern klarzumachen, ist meine Hauptherausforderung.“

Mal abgesehen von den ganzen Themen, die Du schon angesprochen hast, was treibt Dich bei deiner Arbeit an?

„Das ist sicher die Abwechslung, die dieser Job mit sich bringt, und die Tatsache, dass wir als Dienstleister unseren Kunden einen echten Mehrwert bringen können. Wir tun etwas für die Allgemeinheit, indem wir Cybervorfälle und -angriffe verhindern – das hilft insgesamt auch unserer Gesellschaft und der Wirtschaft.“

Gibt es noch etwas, das Du zum Abschluss gerne mit uns teilen möchtest?

„Auf jeden Fall, aber dafür muss ich kurz ausholen: IT-Sicherheit wird oft damit verwechselt, teure Lösungen kaufen zu müssen, zum Beispiel eine teure Firewall und teure Endpoint Security. Das größte Problem, das ich aber aktuell sehe, ist, dass viele Unternehmen einfach nicht die Awareness für die Risiken haben und deshalb auch keine organisatorischen Maßnahmen ergreifen, um Attacken zu verhindern.

Sogenannte User Awareness Trainings kosten in der Regel bei Weitem nicht so viel Geld wie die ganze Hard- und Software zum Schutz vor Angriffen. Wir haben da – wie ich finde – eine schöne Lösung von unserem Partner SoSafe im Angebot, die den Usern sogar richtig Spaß bringt und sie sogar auf neue Sessions warten.

Ich würde gern hier mitgeben, dass die Unternehmen stärker den Fokus auf das Bewusstsein der Mitarbeitenden legen sollten, z. B. ein Notfallhandbuch etablieren und einen Verantwortlichen definieren. Wichtig sind auch die regelmäßigen Trainings, damit jeder weiß, was eine Phishing Mail ist und wo man besser nicht draufklickt. All das hilft schon, um die Gefahr zu minimieren.“