Du begeisterst dich sowohl für den technischen als auch organisatorischen Aspekt der Cyber Security und möchtest Unternehmen als Auditor*in zu mehr Sicherheit verhelfen? Nico Fechtner, Senior Consultant des Bereichs Security Audits & PCI, gibt Einblicke in seinen Alltag und Tipps zum Karriereeinstieg.
Was genau macht ein Auditor bzw. eine Auditorin?
Als Auditor ist es meine Aufgabe, die IT-Sicherheit unserer Kunden zunächst unabhängig zu bewerten und im Anschluss Verbesserungspotentiale aufzuzeigen. Das klare Ziel ist hierbei immer, den Unternehmen zu helfen, sich in Zukunft noch besser gegen Cyberangriffe zu schützen. Wir betreuen mit unseren Audits sowohl Kunden, die in Puncto Cyber Security noch ganz am Anfang stehen, als auch Unternehmen, die schon einen recht hohen Reifegrad haben und eine konkrete Zertifizierung – zum Beispiel ISO 27001 oder PCI DSS – anstreben.
Im Zentrum meines Alltages stehen dabei Interviews mit diversen Ansprechpartner*innen unserer Kunden – von CEOs, über Netzwerkadministrator*innen oder Softwareentwickler*innen, bis hin zu Personaler*innen ist alles dabei. In diesen Gesprächen ermittle ich gemeinsam mit unseren Kunden den Status Quo bzgl. der Cyber Security in ihrem Unternehmen. Wir besprechen hier zum Beispiel, wie Mitarbeiter*innen hinsichtlich Security Awareness geschult werden, wie mit Informationssicherheitsvorfällen umgegangen wird, oder auch, wie sich das Unternehmen aktuell gegen Malware schützt. Im Zuge dieser Interviews finden häufig auch Live-Demos statt, in denen unsere Kunden zum Beispiel demonstrieren, wie sie bisher mit gefundenen Schwachstellen umgegangen sind oder wie das eingesetzte Security Monitoring funktioniert. Im Anschluss analysiere ich die Ergebnisse der Interviews und erstelle für unsere Kunden einen entsprechenden Abschlussbericht inklusive Empfehlungen, wie sie sich in Zukunft noch besser vor Hackern und Kriminellen schützen können.
Neben dem Tagesgeschäft legen wir bei der usd außerdem viel Wert auf kontinuierliche Weiterbildung und halten uns unter anderem durch wöchentliche Teammeetings, bei denen Kolleg*innen aktuelle Themen rund um IT-Sicherheit vorstellen, auf dem Laufenden.
Was gefällt dir besonders in deiner Rolle als Auditor?
Das, was die Tätigkeit für mich so besonders macht, ist die enorme Vielseitigkeit, die die Rolle mit sich bringt. Man hat die Chance, Unternehmen verschiedenster Branchen und unterschiedlichster Größe kennenzulernen und aus erster Hand zu erfahren, wie sich diese gegen Cyberangriffe absichern. Zudem beschäftigt man sich als Auditor sowohl mit prozessualen und management-orientierten als auch mit technischen Themen. Das sorgt einerseits dafür, dass man einen sehr holistischen Einblick in das Thema Cyber Security bekommt und andererseits wird einem so garantiert nie langweilig – jeder Tag und jedes Projekt stellt einen vor neue Herausforderungen, an denen man fachlich und persönlich wächst.
Welche Fähigkeiten sollte ich als Auditor*in mitbringen?
Essenziell ist, dass du die Neugierde mitbringst, dich jeden Tag aufs Neue in komplexe Kundensituationen einzuarbeiten. Mit unseren Ansprechpartner*innen kommunizieren wir stets auf Augenhöhe, daher solltest du komplexe Inhalte verständlich erklären können. So brauchst du auf der einen Seite einen soliden Überblick über grundlegende sicherheitsrelevante Konzepte und Prozesse (Identity & Access Management, Incident Management, Vulnerability Management etc.), auf der anderen Seite ist aber auch ein gewisses technisches Grundverständnis unabdingbar. Zusätzlich sind je nach Projekt fundierte Kenntnisse hinsichtlich einschlägiger IT-Sicherheitsregulatorik und Standards (z.B. ISO 27001, PCI DSS, KRITIS) notwendig.
Wie kann ich diese Fähigkeiten am besten erlernen?
Ein technisches Studium – zum Beispiel Informatik oder Elektrotechnik – hilft dir sehr dabei, dir das nötige technische Grundverständnis anzueignen. Außerdem solltest du dich bereits mit den grundlegenden Themen rund um IT-Sicherheit beschäftigt haben. Ansonsten würde ich sagen „Learning by doing”: probiere einfach mal aus, ob du Spaß an der Audittätigkeit hast – auch ich wusste damals nicht zu 100%, was auf mich zukommt, bin aber nach wie vor sehr glücklich in meiner Rolle als Auditor.
Wie unterstützen wir dich auf deinem Weg zum/zur Auditor*in?
Egal, ob Werkstudierende oder Vollzeit-Einsteiger*in – du wirst bei der usd vom ersten Tag an optimal unterstützt, lernst Firma und Kolleg*innen beim „Become a Hero” Programm bestens kennen und wirst sowohl fachlich als auch persönlich nie allein gelassen. Nach einer strukturierten Einarbeitung in unseren Bereich Security Audits & PCI hast du schnell die Möglichkeit, auch direkt an Kundenprojekten mitzuwirken. Nachdem du so gemeinsam mit anderen Kolleg*innen die nötige Erfahrung gesammelt hast, leitest du bald schon die ersten Projekte selbst und hast zudem die Möglichkeit, angesehene Zertifizierungen zu erwerben, wie beispielsweise Certified Information Security Auditor (CISA) oder Qualified Security Assessor (QSA).
Du möchtest gern mehr zu deinen Karrieremöglichkeiten als Auditor*in erfahren? Dann besuche uns gern auf Messen oder triff Nico persönlich auf unserem Online-Event „Auf eine Mate“ am 20. November. Erfahre hier mehr über deine Einstiegsmöglichkeiten bei uns.