IT-Security Insights #5: Tilo gibt der IT-Sicherheit Leitplanken

Tilo, Du bist Squad Lead im Security Consulting für das GRC & Strategy. Was bedeutet das?

Tilo: Alle Themen, die sich um Governance, Risk & Compliance (GRC) und strategische Beratung dazu bei unserer Kundschaft drehen, liegen in unserer Verantwortung. Wenn wir mit dem Thema IT-Security zu ihnen kommen, spricht der CIO oder CISO nicht in erster Linie über Technology oder welche Firewall man betreibt, sondern über die Gesamtverantwortung der Information Security, Rahmenbedingungen und Prozesse. GRC ist das übergeordnete Thema. Leitlinien für die Führung des Unternehmens, Risikomanagement und das Einhalten von Normen. Wir kommen mit diesen Themen ins Spiel, evaluieren Handlungsfelder, unterstützen bei Prozessen, mappen die IT gegen gültige Standards und unterstützen bei der Implementierung. 

Wie sieht Dein Job typischerweise aus?

Tilo: Mein Job ist sehr dynamisch, da wir von unserer Kundschaft getrieben sind. Ich bin verantwortlich für die zukunftsfähige Entwicklung des Chapters und für den Aufbau relevanter Fach- und Methodenkompetenz im Team. Die Weiterentwicklung der Mitarbeitenden liegt mir sehr am Herzen Wir decken als Security Consulting ein breites Spektrum ab, da gibt es viele Möglichkeiten, Karrieren zu gestalten und sich in anderen Teams zu etablieren.

Wir sind gut vernetzt, nah an unserer Kundschaft und engagieren uns in Communities und Verbänden. Für uns ist es wichtig, aktuelle Themen und Trends zu erkennen und die richtigen Schritte daraus abzuleiten, um unsere Kundschaft bei deren Herausforderungen zu unterstützen. 

Wie sieht Eurer Spektrum für entsprechende Kundschaft aus?

Tilo: Zu unseren Kundschaft gehören Enterprise-Kund*innen wie DAX-Unternehmen sowie solche aus dem Mittelstand. Ein weiterer Bereich ist der Öffentlichen Dienst. Dieser ist mit seinen kritischen Infrastrukturen systemrelevant und muss daher besonders viel Wert auf GRC relevante Themen legen. Auch hier helfen wir, das Gefahrenpotenzial durch Leitlinien und Rahmenbedingungen zu senken, um ein adäquates Security-Level erreichen zu können.

An welchem Projekt arbeitest Du aktuell mit?

Tilo: Unser Team unterstützt gerade verschiedene Kund*innen, beim Wiederanlauf nach einem Security-Vorfall. Diese werden von uns unterstützt, wieder arbeitsfähig zu werden und back-to-normal zu kommen. 

Ich selbst bereite gerade einige Workshops für verschiedene Branchen vor. Ich plane Security-Assessments, bei denen wir den Firmen aufzeigen, wo sie in Sachen IT-Sicherheit gerade stehen und wo Handlungsbedarf besteht. Auch steht bei mir die strategische Weiterentwicklung unseres Portfolios an vorderer Stelle, um die aktuellen Herausforderungen unserer Kundschaft adressieren zu können sowie der zeitnahe Aufbau entsprechender Skills. 

Zudem bereiten wir gerade Krisenmanagementtrainings und Notfallübungen bei verschiedenen Betreibern vor. Im Consulting passen wir uns an die User, deren Bedürfnisse und Umgebungen an. Schema F funktioniert nicht. Was für den Einen ein großes, existenzbedrohendes Finding ist, kann für einen Anderen nur eine kleine Schwachstelle bedeuten. Das ist sehr vom Setup, Reifegrad und der jeweiligen Infrastruktur abhängig und wie risikobereit jeder Einzelne ist. Zwei gleiche Findings bei zwei unterschiedlichen Firmen können zu unterschiedlichen Handlungsempfehlungen führen. Das ist das spannende an meinem Job.

Unsere komplette IT-Security Insight Serie im direkten Zugriff

#1 Tino: Cloud Security Consulting 
#2 Alexander: Security Consulting und Incident Response Service
#3 Karl-Friedrich: Security Consulting und der Aufbau von Security Operations Centern
#4 Daniel: Managed Cyber Defense

Wie groß sind denn typischerweise Deine Projektteams und was zeichnet Euch aus?

Tilo: In den Projektteams sind wir zu zweit oder zu dritt. Wir teilen uns auf in verschiedene Fachthemen wie beispielsweise ISMS, IT Grundschutz, Kritis oder auch strategische Beratung. Je nach Projektgröße kann man auch als einzeln kämpfende Person bei der Kundschaft unterwegs sein und greift bei Bedarf auf das Back-Up im Team zurück und stimmt sich mit einer spezialisierten Fachkraft aus anderen Squads ab.

Flexibilität und schnelles Einstellen auf verschiedene Situationen und die Übernahme von Verantwortung gehören bei uns zum Alltag. Wir unterstützen unsere Kundschaft auch in Krisensituationen und sitzen vor der Geschäftsführung und den IT-Management und müssen die richtigen Handlungsempfehlungen geben, um einen kontrollierten Wiederanlauf zu gewährleisten. Da sollte man nicht nur fachlich Profi sein, sondern auch redegewandt und selbstsicher. Die Softskills eines Beratenden sind stark ausgeprägt, wir müssen mit Techies und Kaufleuten zurechtkommen und ihnen auf Augenhöhe begegnen. Und auch mal dem Vorstand vermitteln, dass ein Invest getätigt werden muss, um das Unternehmen zu schützen, auch wenn das so nicht im Budget geplant war. 

Was sollten neue Beschäftigte mitbringen, welche Skills sind gefragt?

Tilo: Ich setzte auf verschiedene Skills und Erfahrungen. Wichtig ist für mich die Leidenschaft und das Herzblut für das Beratungsgeschäft und die Zusammenarbeit mit der Kundschaft. Kommunikationsstärke, Lernbereitschaft und eigenständiges Arbeiten sind für den Job essenziell. Erfahrung in der Durchführung von Sicherheitsanalysen Assessments und Kenntnisse über Normen und Standards sind gute Skills. Oder Erfahrungen mit KRITIS, ISMS, Regulatorik und IT- Grundschutz. Und das Sahnehäubchen sind anerkannte Zertifizierungen wie CISSP, CRISC, CISA oder CISM. 

Es geht in meinem Chapter nicht nur darum, eine ausgewiesene Fachkraft zu sein, sondern auch mit viel Feingefühl für die Kundschaft ausgestattet zu sein. Wir geben Consulting-Quereinsteigern eine Chance und unterstützen sie durch Coaching und Mentoring erfahrener Fachkräfte.

Tilo, das war ein toller Einblick in Deinen Arbeitsalltag und den Deines Squads. Danke dafür! 

Haben wir Ihr Interesse geweckt? Alle aktuellen Vakanzen der Deutschen Telekom Security GmbH finden Sie in unserer Jobsuche. Wir freuen uns auf Ihre Bewerbung.