Der IT-Job, für den Banken 2000 Euro am Tag zahlen

Kaum ein Profil ist so begehrt wie das eines Cyber Security-Experten, was die Verdienstmöglichkeiten in ungeahnte Höhen treibt. „Banken, Beratungen und Corporates – alle suchen Cyber Security-Spezialisten“, beobachtet der auf Digital & Technology spezialisierte Headhunter Hans Mantell von FRED Executive Search in Frankfurt. Dabei seien sämtliche Spezialgebiete der Cyber Security gesucht.

Durch die hohe Nachfrage seien bei Experten mittlerweile Tagessätze bis zu 2000 Euro drin. „1500 Euro sind durchaus üblich. Topleute können aber auch 2000 Euro am Tag verdienen, in Einzelfällen sogar noch mehr“, berichtet Mantell. Abgesehen von dem gewaltigen Nachfrageüberhang bei solchen Profilen spiele auch die Dringlichkeit eine Rolle. „Bei gezielten Präventionsmaßnahmen oder akuten Angriffen muss es oft schnell gehen. Dann sind Banken auch bereit, besonders hohe Tagessätze zu zahlen.“

100.000 Euro sind in Cyber Security nach drei bis fünf Jahren üblich

Doch nicht nur die Topkräfte verdienen in Cyber Security gut. „Mit drei bis fünf Jahren Berufserfahrung können qualifizierte Cyber Security-Experten mehr als 100.000 Euro verdienen“, weiß Mantell. Allerdings würden viele Banken ungern solche Gehälter zahlen. „Manche Banken sind entweder nicht in der Lage oder bereit, diese Gehälter zu zahlen. Vielleicht haben sie aber auch immer noch nicht den Stellenwert des Themas erkannt“, sagt Mantell kopfschüttelnd. Die Lücken müssten dann Consultants bzw. Freiberufler zu horrenden Tagessätzen füllen. Auch das treibe die Tagessätze in die Höhe.

Laut Headhunterin Stefanie Storck von TF Executives in Frankfurt sind Banken bereit, für Cyber Security-Spezialisten mit einigen Jahren Berufserfahrung 80.000 bis 95.000 Euro zu zahlen. „Die hohe Nachfrage wird die Gehälter weiter steigen lassen“, meint Storck.

Nach Mantells Erfahrung falle es gar nicht so leicht, Cyber Security-Experten für Banken zu gewinnen. Zwar gäbe es bei den Banken schon attraktive Aufgaben, dennoch würden viele Sicherheitsexperten die Arbeit für Mittelständler vorziehen, da ihnen die Unternehmenskultur und „Empowerment" in diesem Umfeld mehr zusage.

Wovor Cyber Security-Experten schützen

Laut Mantell sei der digitale Bankraub heutzutage eher die Ausnahme. „Angreifer versuchen in das System einzudringen oder den Zugang durch DDoS-Angriffe zu blockieren und dann die Banken zu erpressen, eine Art Lösegeld zu zahlen, damit das System nicht zerstört wird“, erzählt Mantell. Die Angriffe (Ransom, Cryptolocker, Spear-Phishing, Zero-Day-Exploits…) würden immer raffinierter und professioneller und der Reputationsschaden für die betroffenen Banken sei groß.

Die drei verschiedenen Verteidigungslinien

Grundsätzlich unterscheidet die Branche bei Cyber Security drei „Lines of defense“, womit sich auch die Profile unterscheiden. Die erste Verteidigungslinie bildeten Spezialisten, die sich beispielsweise mit Firewalls, Netzwerken und IPS auskennen, die das Eindringen von Angreifern verhindern. Die zweite Verteidigungslinie stellt das unternehmensweite Risiko-Management dar, die sich mit den Prozessen, rechtlichen Aspekten, dem Security Assessment und bankenspezifischen Regulierungen wie z. B. der Risikorichtlinie MaRisk auskennen. Die dritte Verteidigungslinie stelle schließlich das Internal IT-Audit dar, erläutert Mantell.

„Derzeit sind besonders Leute gefragt, die sich mit den Sicherheitsthemen der Cloud oder mit API-Plattformen auskennen“, sagt Mantell. „Im Grunde handelt es sich dabei um die Wiederbelebung des altbekannten Systemadministrators, nur im Cloud-Umfeld.“ Immer mehr Finanzdienstleister würden derzeit Teile ihrer Infrastruktur und Daten in die Cloud verlagern, womit die Nachfrage nach Fachkräften mit einschlägiger Erfahrung steige. Weiter seien „Chief Information Security Officers“ (CISO) heiß begehrt, die meist direkt an den Head of IT oder Vorstand berichten.

„Vor allem Beratungen – große, wie kleine – suchen Experten fürs Friendly Hacking“, ergänzt Storck. Banken würden Beratungen beauftragen, das Unternehmen zu hacken, um so die Schwachstellen ausfindig und machen und sie anschließend zu beheben.

Woran sich gute Cyber Security-Experten erkennen lassen

Namentlich bei Experten für die erste Verteidigungslinie (Pen-Testing, Information Security Assessment…) falle es Headhuntern und Arbeitgebern gar nicht leicht, die besten Talente zu erkennen. „Noch immer gibt es für Cyber Security keinen bewährten Ausbildungsweg“, sagt Mantell. Von daher würden sich nicht nur Informatiker, sondern auch Physiker und sogar Juristen in dem Berufsfeld tummeln. „Da Cyber Security auch mit rechtlichen Aspekten zusammenhängt, macht das durchaus Sinn“, kommentiert der Personalexperte.

Eine Möglichkeit, die Spreu von Weizen zu trennen, seien gute Arbeitgebermarken oder Referenzen. So zeuge die Arbeit für einschlägige Beratungen wie Accenture und BearingPoint für Qualität. Auch Cyber Security-Qualifizierungen würden weiterhelfen. Dazu gehören ISO 27001, CISA (Certified Information Systems Auditor), CISM (Certified Information Security Manager) und CISSP (Certified Information Systems Security Professional). „Es gibt allerdings auch viele hochspezialisierte kleinere und mittelständische Unternehmen, die hier einen hervorragenden Job machen", ergänzt Mantell.

„Gerade die Banken wollen keine Risiken eingehen und verlangen daher of Zertifizierungen wie den CISSP“, beobachtet Storck. „Generell sind die Wege ins Cyber Sercurity aber vielfältig. Einige bringen nur eine Berufsausbildung mit und haben sich in die Thematik eingebarbeitet.“

Falls Sie eine vertrauliche Nachricht, einen Aufreger oder einen Kommentar loswerden wollen, zögern Sie nicht! Schreiben Sie einfach an Florian Hamann. fhamann@efinancialcareers.com.