Zum Hauptinhalt springen
Passwork LogoPasswork LogoSecurity champion course

Karrierevorteile als Security Champion

Ein Backend-Entwickler hatte das Gefühl, feststeckend zu sein. Zwei Jahre im Job, gleicher Titel, gleiche Arbeit, gleiche Gehaltsstufe. Das Unternehmen war zu klein für eine Beförderungsleiter – es gab keine „Senior Backend Developer"-Stelle, in die er hineinwachsen konnte.

Dann meldete er sich freiwillig als Security Champion.

Sechs Monate später war er in Architekturmeetings. Das Management bat um seine Meinung zu Lieferantenentscheidungen. Er hatte Schulungen durchgeführt und einen Zugangsdaten-Leak blockiert, der das Unternehmen einen Kunden hätte kosten können.

Als seine Jahresüberprüfung kam, war das Gespräch anders. Er war nicht mehr nur ein Backend-Entwickler. Er war „der Entwickler, der Sicherheit versteht". Die Gehaltserhöhung spiegelte das wider. Ebenso der neue Titel: Backend Engineer with Security Focus.

Ein Jahr später wechselte er zu einem größeren Unternehmen als DevSecOps Engineer – mit einem deutlich höheren Gehalt.

Die Security-Champion-Rolle hat das bewirkt. Kein Bootcamp. Keine Zertifizierung. Nur eine Nebenverantwortung, die er ernst nahm.

Das Karriereproblem in kleinen Unternehmen

Kleine Unternehmen haben ein Deckenproblem. Oft gibt es keine Beförderungsleiter. Keine Principal-Engineer-Spur. Keine Staff-Level-Rollen. Sie können drei Jahre Entwickler bei einem Startup sein und trotzdem nur „ein Entwickler" sein.

Die Auswege sind begrenzt:

  • Warten, bis das Unternehmen wächst (und hoffen, dass Stellen frei werden)
  • Zu einem größeren Unternehmen wechseln (wo Sie von vorne anfangen)
  • Manager werden (das wollen nicht alle)
  • Eine Spezialität entwickeln, die Sie unverzichtbar macht

Die Security-Champion-Rolle ist diese vierte Option. Sie werden zur Person, die etwas versteht, das die meisten Entwickler nicht tun. Sie arbeiten teamübergreifend. Sie sprechen mit dem Management. Sie erwerben Fähigkeiten, die sich direkt in besser bezahlte Stellen übersetzen.

Und das alles, ohne Ihren Job zu verlassen oder zurück zur Schule zu gehen.

Was sich in Ihrem ersten Jahr tatsächlich ändert

Lassen Sie uns konkret sein, was Sie gewinnen.

Monat 1–3: Technische Breite

Sie lernen Dinge außerhalb Ihrer normalen Arbeit: wie Secrets Management funktioniert, was SAST-Tools tatsächlich prüfen, warum Zugriffsüberprüfungen wichtig sind. Ihr mentales Modell des Systems erweitert sich. Sie beginnen, Sicherheitsimplikationen in Code zu sehen, den Sie vorher abgenickt hätten.

Monat 4–6: Teamübergreifende Sichtbarkeit

Sie sind in Räumen, in denen Sie vorher nicht waren. Architekturüberprüfungen. Lieferantenbewertungen. Incident-Post-Mortems. Sie hören, wie das Management über Risiken denkt. Sie verstehen, warum bestimmte Entscheidungen getroffen werden.

Monat 7–12: Reputation und Einfluss

Menschen kommen mit Fragen zu Ihnen. Nicht nur „Ist das sicher?", sondern „Was sollen wir damit tun?" Sie implementieren nicht mehr nur – Sie beraten. Das ist eine andere Art von Arbeit, und sie wird anders bewertet.

Am Ende des ersten Jahres haben Sie Dinge getan, die die meisten Entwickler nie tun: Richtlinien verfasst, vor Führungskräften präsentiert, teamübergreifend koordiniert, Entscheidungen unter Druck getroffen. Das ist Führungserfahrung. Sie zählt.

Fähigkeiten, die Sie entwickeln (und verkaufen können)

Die Champion-Rolle baut drei Fähigkeitskategorien auf, für die Arbeitgeber einen Aufpreis zahlen.

Technische Sicherheitsfähigkeiten

Nach einem Jahr werden Sie verstehen:

  • Wie häufige Schwachstellen funktionieren (XSS, SQLI, SSRF usw.)
  • Wie man SAST/SCA-Tools konfiguriert und interpretiert
  • Secrets-Management-Muster
  • Access-Control-Design
  • Grundlegendes Threat Modeling

Sie werden kein Experte sein. Aber Sie werden ein Entwickler sein, der Sicherheit versteht – und das ist selten.

Prozess- und Koordinationsfähigkeiten

Sie werden Erfahrung haben mit:

  • Wiederkehrenden Sicherheitsprozessen (Zugriffsüberprüfungen, Schwachstellen-Triage)
  • Richtlinien schreiben, die Menschen tatsächlich befolgen
  • Arbeit über mehrere Teams koordinieren
  • Vorfälle dokumentieren und Lehren ziehen

Das sind managementnahe Fähigkeiten. Sie sind wichtig für Senior-Rollen.

Kommunikationsfähigkeiten

Sie werden üben:

  • Technische Risiken nicht-technischen Menschen erklären
  • Sicherheitsarbeit in geschäftlichen Begriffen formulieren
  • Vor dem Management präsentieren
  • Überzeugen ohne formale Autorität

Das ist die Fähigkeit, die Senior Engineers von allen anderen unterscheidet. Die Champion-Rolle zwingt Sie, sie zu entwickeln.

Wohin Champions gelangen

Ich habe gesehen, wie Champions in vier Richtungen gegangen sind. Alle zahlen besser als „Entwickler".

Weg 1: Application Security

Sie verbringen Ihre Champion-Zeit damit, Code zu überprüfen, Scanner einzurichten und sicheres Programmieren zu lehren. Sie stellen fest, dass Sie lieber Schwachstellen finden als Features schreiben.

Nächster Schritt: Application Security Engineer oder Product Security Engineer.

So sieht es aus: Sie sind in Entwicklungsteams eingebettet, überprüfen Designs auf Sicherheitsprobleme, führen Threat Models durch, verwalten Bug-Bounty-Programme. Weniger Programmieren, mehr Analyse.

Wie Champions dorthin gelangen: Beginnen Sie mit tieferen Code-Reviews. Lernen Sie, SAST-Tools über „ausführen und lesen" hinaus zu nutzen. Studieren Sie eine Schwachstellenklasse gründlich (wie SSRF oder Deserialisierung). Schreiben Sie eine reale Schwachstelle auf, die Sie gefunden haben.

Weg 2: Cloud Security / DevSecOps

Sie verbringen Ihre Champion-Zeit damit, CI/CD zu sichern, Cloud-Konfigurationen zu sperren und Sicherheitsprüfungen zu automatisieren. Sie stellen fest, dass Sie Infrastruktursicherheit mehr mögen als Anwendungssicherheit.

Nächster Schritt: DevSecOps Engineer oder Cloud Security Engineer.

So sieht es aus: Sie verantworten die Sicherheit der Deployment-Pipeline und Cloud-Infrastruktur. Sie bauen automatisierte Leitplanken. Sie reagieren auf Cloud-spezifische Bedrohungen.

Wie Champions dorthin gelangen: Vertiefen Sie sich in die Sicherheitsfunktionen Ihres Cloud-Anbieters. Lernen Sie IaC-Scanning-Tools. Bauen Sie eine sichere CI/CD-Pipeline von Grund auf. Holen Sie sich eine Cloud-Sicherheitszertifizierung, wenn Sie es formalisieren möchten.

Weg 3: GRC (Governance, Risk, Compliance)

Sie verbringen Ihre Champion-Zeit damit, Richtlinien zu schreiben, Risikobewertungen durchzuführen und sich auf Audits vorzubereiten. Sie stellen fest, dass Sie die organisatorische Seite mehr mögen als die technische.

Nächster Schritt: Security Analyst (GRC) oder Compliance Manager.

So sieht es aus: Sie verwalten Sicherheitsprogramme, keine Sicherheitstools. Sie arbeiten mit Prüfern zusammen, schreiben Kontrolldokumentation, bewerten Lieferantenrisiken. Mehr Meetings, mehr Dokumente, weniger Code.

Wie Champions dorthin gelangen: Melden Sie sich freiwillig für Compliance-Bemühungen. Lernen Sie ein Framework gründlich (SOC 2 ist ein guter Einstieg). Werden Sie vertraut mit der Risikobewertungsmethodik. Die CISA- oder CRISC-Zertifizierungen helfen, wenn Sie in diese Richtung gehen möchten.

Weg 4: Security Engineering / Architecture

Sie verbringen Ihre Champion-Zeit damit, über systemweite Sicherheit nachzudenken: wie Daten fließen, wo Vertrauensgrenzen liegen, was passiert, wenn Komponenten kompromittiert werden.

Nächster Schritt: Security Engineer oder Security Architect (langfristig).

So sieht es aus: Sie gestalten Sicherheit von Anfang an in Systeme ein. Sie überprüfen Architekturen. Sie bauen Sicherheitsinfrastruktur (Auth-Systeme, Schlüsselverwaltung usw.).

Wie Champions dorthin gelangen: Das ist der längste Weg. Beginnen Sie damit, an Architekturüberprüfungen teilzunehmen. Lernen Sie, Threat Models zu zeichnen. Studieren Sie, wie große Systeme Sicherheit handhaben. Bauen Sie selbst etwas Sicherheitskritisches.

Die Lebenslauf-Transformation

Was mit Ihrem Lebenslauf nach einem Jahr als Champion passiert.

Vorher:

  • Features für Produkt X gebaut
  • CI/CD-Pipeline gewartet
  • An Code-Reviews teilgenommen

Nachher:

  • Sicherheitsinitiative im gesamten Engineering-Team geleitet
  • SAST/SCA-Pipeline implementiert, die Schwachstellen um X reduziert
  • Sicherheitsschulungen für 25+ Engineers durchgeführt
  • Access-Control-Richtlinien entworfen und dokumentiert
  • Incident Response für [konkreten Vorfall] koordiniert

Dieselbe Person. Eine andere Geschichte. Der zweite Lebenslauf erhält Rückrufe von Unternehmen, die den ersten nicht einmal angesehen hätten.

Das Gespräch mit Ihrem Vorgesetzten

Sie sollten Ihrem Vorgesetzten sagen, dass Sie das aus Karrieregründen tun. Nicht auf eine berechnende Art – auf eine ehrliche Art.

Etwa so: „Ich möchte die Champion-Rolle übernehmen, weil ich glaube, dass sie für das Unternehmen wertvoll ist und weil ich Fähigkeiten entwickeln möchte, die meiner Karriere helfen. Ich würde gerne, dass diese Arbeit in meinen Beurteilungen anerkannt wird, und ich würde gerne darüber sprechen, wohin sie führen könnte."

Gute Vorgesetzte schätzen Klarheit. Sie würden lieber wissen, was Sie wollen, als raten. Und wenn das Unternehmen von Ihrer Sicherheitsarbeit profitiert, gibt es keinen Grund, warum es nicht auch Ihrer Karriere helfen sollte.

Wenn Ihr Vorgesetzter nicht unterstützend ist, sagt Ihnen das etwas über Ihre Zukunft im Unternehmen.

Eine echte Laufbahn: 18 Monate vom Entwickler zum DevSecOps

Schauen wir uns ein echtes Beispiel genauer an.

Ausgangspunkt: Backend-Entwickler, 2 Jahre Erfahrung, Node.js und AWS. Arbeitet bei einem 35-köpfigen B2B-SaaS-Unternehmen. Gehalt: 95.000 Dollar.

Monat 1–3: Meldet sich als Security Champion. Richtet Dependabot ein. Aktiviert MFA überall. Führt erste Zugriffsüberprüfung durch – findet 4 ehemalige Mitarbeiter mit Produktionszugriff.

Monat 4–6: Fügt Trivy zu CI/CD hinzu. Schreibt eine einseitige Secrets-Richtlinie. Hält eine 20-minütige Session zu Grundlagen des sicheren Programmierens. Beginnt, Pull Requests auf Sicherheitsprobleme zu überprüfen.

Monat 7–9: Nimmt an der SOC-2-Vorbereitung teil (das Unternehmen strebt eine Zertifizierung an). Schreibt mehrere Kontrollbeschreibungen. Arbeitet mit Prüfern zusammen. Lernt, wie Compliance in der Praxis aussieht.

Monat 10–12: Leitet die Incident Response, als eine Dependency-Schwachstelle öffentlich wird. Koordiniert das Patching über alle Services. Schreibt das Post-Mortem. Präsentiert die Learnings vor dem Management.

Monat 13–15: Wird zum „Senior Backend Engineer" mit formalisierten Sicherheitsverantwortlichkeiten befördert. Gehalt: 115.000 Dollar. Beginnt, einen neuen Champion in einem anderen Team zu betreuen.

Monat 16–18: Stellt fest, dass er Sicherheit in Vollzeit machen möchte. Bewirbt sich auf DevSecOps-Stellen bei größeren Unternehmen. Wird als DevSecOps Engineer bei einem 200-köpfigen Unternehmen eingestellt. Gehalt: 140.000 Dollar.

Gesamter Karrierewechsel: 18 Monate. Kein Bootcamp. Kein Abschluss. Nur die Champion-Rolle, ernst genommen.

Ihren Entwicklungsplan aufbauen

Sie brauchen kein formales Dokument. Sie brauchen Antworten auf drei Fragen:

1. Was möchte ich in den nächsten 6 Monaten lernen?

Wählen Sie 2–3 konkrete Dinge. Nicht „in Sicherheit besser werden" – das ist zu vage. Eher:

  • OWASP Top 10 gut genug verstehen, um jeden Punkt zu erklären
  • Eine vollständige SAST/SCA-Pipeline in unserem CI einrichten
  • Eine Tabletop-Incident-Übung durchführen

2. Wie werde ich es lernen?

Identifizieren Sie für jedes Ziel den Weg:

  • Welches Projekt wird mir das beibringen?
  • Wer kann mir dabei helfen?
  • Was soll ich lesen/schauen/üben?

3. Wie werde ich beweisen, dass ich es gelernt habe?

Das ist für Ihren Lebenslauf und Ihren Vorgesetzten:

  • Welches Artefakt werde ich erstellen?
  • Welche Kennzahl wird sich ändern?
  • Wer wird das Ergebnis sehen?

Schreiben Sie das auf. Überprüfen Sie es monatlich. Aktualisieren Sie es, wenn Sie Dinge abschließen oder die Richtung ändern.

Fehler, die Sie verlangsamen

Unsichtbar bleiben. Die Champion-Rolle baut Fähigkeiten auf. Aber wenn niemand von Ihrer Arbeit weiß, hilft es Ihrer Karriere nicht. Teilen Sie mit, was Sie tun. Präsentieren Sie Ihre Erfolge. Stellen Sie sicher, dass das Management davon weiß.

Tools sammeln statt Wirkung erzielen. „Ich habe 5 Sicherheitstools implementiert" bedeutet nichts, wenn keines etwas verbessert hat. Konzentrieren Sie sich auf Ergebnisse: verhinderte Schwachstellen, vermiedene Vorfälle, verbesserte Prozesse.

Keine Anerkennung einfordern. Unternehmen belohnen Mehrarbeit nicht automatisch. Sie müssen darum bitten, dass sie in Ihrer Beurteilung zählt, dass sie sich in Ihrem Titel widerspiegelt, dass sie Ihre Vergütung beeinflusst.

Soft Skills überspringen. Die technischen Sicherheitsfähigkeiten sind leichter zu erlernen. Die Kommunikations- und Führungsfähigkeiten sind schwieriger – und wertvoller. Weichen Sie ihnen nicht aus.

Keine Exit-Strategie. Die Champion-Rolle ist ein Schritt, kein Ziel. Wissen Sie, was Sie anstreben. Wenn Ihr Unternehmen das nicht bieten kann, wissen Sie, wann Sie weitergehen müssen.

Fazit

Die Security-Champion-Rolle ist ein Karrierebeschleuniger, der sich als Nebenverantwortung tarnt. Sie baut technische Fähigkeiten, Führungskompetenzen und Sichtbarkeit auf – alles Dinge, die sich in Beförderungen und bessere Angebote übersetzen.

Aber das passiert nicht automatisch. Sie müssen gezielt vorgehen: Ihren Fortschritt verfolgen, Ihre Erfolge dokumentieren, Ihre Ziele kommunizieren und wissen, wohin Sie sich entwickeln.

Tun Sie das ein Jahr lang, und Sie werden nicht mehr derselbe Ingenieur sein wie zu Beginn.

Weiter: Unterstützung des Managements gewinnen – wie Sie die Rolle pitchen und die Unterstützung erhalten, die Sie brauchen, um sie richtig auszuführen.

© 2014–2025 «Passwork»
Unternehmen
Über unsDatenschutzrichtlinieISO 27001-ZertifikatVersionshinweiseRoadmapBlog
Browser-Erweiterung
Google ChromeMozilla FirefoxMicrosoft EdgeApple Safari
Mobile Anwendung
App StoreGoogle Play
Für Unternehmen
TeamsKleine UnternehmenUnternehmen und KonzerneEnterpriseOn-Premise-LösungPasswort-FreigabetoolSecret Management
Hilfe
BenutzerhandbuchTechnische DokumentationHilfezentrum