Zum Hauptinhalt springen
Passwork LogoPasswork LogoSecurity champion course

Rolle, Verantwortlichkeiten und Erwartungen

Drei Monate als Security Champion, und ein Entwickler stand kurz vor dem Zusammenbruch. Er hatte Secret Scanning, Zugriffsüberprüfungen, Schwachstellen-Patching, Richtlinien-Erstellung und Incident Response übernommen. Er arbeitete lange Wochen – und das meiste davon war nicht einmal sein eigentlicher Job.

Das Team nahm an, er kümmere sich um die Sicherheit. Er nahm an, er müsse sich um alles kümmern. Das Management nahm an, jemand kümmere sich endlich um diese Dinge. Alle lagen falsch.

Er brannte aus. Die Sicherheitsverbesserungen stagnierten. Das Unternehmen war wieder auf Anfang – nur dass sich jetzt alle davor scheuten, die Rolle zu übernehmen.

Dieses Kapitel handelt davon, nicht diese Person zu werden.

Das Kernproblem: undefinierter Umfang

Wenn ein Unternehmen sagt „Wir brauchen einen Security Champion", meinen sie meist „Wir brauchen jemanden, der Sicherheit umsetzt". Das ist keine Rolle. Das ist ein Wunsch.

Ohne klare Grenzen absorbieren Sie jede sicherheitsnahe Aufgabe, die sonst niemand will. Jemand findet eine Schwachstelle? Das ist Ihr Problem. Der Kunde fragt nach der Backup-Richtlinie? Den Champion fragen. Verdächtige E-Mail? Der Champion wird es wissen.

Und da Sicherheit alles berührt, wird „alles" zu Ihrem Job.

Die Lösung ist nicht, härter zu arbeiten. Die Lösung ist, schriftlich festzulegen – was Sie tun und was nicht – und das Management dazu zu bringen, dem zuzustimmen.

So sieht eine Security-Champion-Woche tatsächlich aus

Vergessen Sie die Stellenbeschreibung. So verbringen Champions ihre Zeit typischerweise:

Montag: Pull Requests der letzten Woche überprüfen, alles markieren, das Zugangsdaten falsch speichert oder unnötige Ports öffnet. Dauert 30 Minuten. Eine Slack-Nachricht über ein Dependency-Update schicken, das seit zwei Wochen unbearbeitet liegt.

Dienstag: Vierteljährlicher Zugriffsprüfungstag. Die Liste abrufen, wer Zugriff auf Produktion, AWS und GitHub Admin hat. Mit aktuellen Mitarbeitern vergleichen. Drei Personen finden, die vor Monaten das Unternehmen verlassen haben und noch immer Zugriff haben. Tickets erstellen, um sie zu entfernen.

Mittwoch: An der Architekturdiskussion für ein neues Feature teilnehmen. Zwei Fragen stellen, wie Auth-Tokens gespeichert werden sollen. Niemand hatte darüber nachgedacht. Gut – jetzt werden sie es.

Donnerstag: Jemand fragt nach einer Phishing-E-Mail. Es ist echtes Phishing. Helfen, es zu melden, das Passwort zurückzusetzen, prüfen, ob auf etwas geklickt wurde. Einen 3-Zeilen-Slack-Post schreiben, der andere warnt.

Freitag: Das SaaS-Inventar mit zwei Tools aktualisieren, die jemand begonnen hat zu nutzen. Prüfen, ob der Backup-Wiederherstellungstest in diesem Monat stattgefunden hat (hat er nicht). Die verantwortliche Person anpingen.

Gesamte dedizierte Sicherheitszeit: vielleicht 4–5 Stunden. Den Rest der Woche erledigen Sie Ihren eigentlichen Job. Das ist nachhaltig. Das ist das Ziel.

Die zwei Dinge, die Sie tatsächlich tun

Lassen Sie Stellenbeschreibungen und Frameworks beiseite – Champions tun im Kern zwei Dinge:

1. Dinge bemerken, die anderen entgehen.

Sie schauen sich dieselben Pull Requests, dieselbe Infrastruktur, dieselben Slack-Kanäle an wie alle anderen. Aber Sie stellen andere Fragen. „Woher kommen diese Zugangsdaten?" „Wer kann darauf zugreifen?" „Was passiert, wenn dieser Service ausfällt?"

Das ist keine zusätzliche Arbeit. Es ist ein Blickwinkel, den Sie auf Arbeit anwenden, die Sie bereits erledigen.

2. Sicherstellen, dass Sicherheitsaufgaben nicht vergessen werden.

Die Zugriffsüberprüfung, die seit sechs Monaten im Backlog steht? Sie sind derjenige, der sie immer wieder anspricht. Der MFA-Rollout, der ins Stocken geraten ist? Sie fragen, was ihn blockiert. Das Backup, das nicht getestet wurde? Sie planen den Test.

Sie müssen nicht alle diese Aufgaben selbst erledigen. Sie müssen sicherstellen, dass sie stattfinden.

Grenzen setzen, die Bestand haben

Hier ist eine Vorlage, die Sie tatsächlich verwenden können. Füllen Sie diese aus und teilen Sie sie mit Ihrem Vorgesetzten oder CTO:

Ich werde:

  • Pull Requests auf offensichtliche Sicherheitsprobleme überprüfen (Secrets, Auth-Probleme, exponierte Daten)
  • Eine Liste darüber führen, wer Zugriff auf was hat
  • Eine vierteljährliche Zugriffsbereinigung durchführen
  • Das SaaS-Inventar aktuell halten
  • Sicherstellen, dass unsere Sicherheitsscanner laufen und jemand die Ergebnisse prüft
  • Sicherheitsfragen des Teams beantworten
  • Einmal im Monat ein 15-minütiges Training durchführen
  • Bei Bedarf einfache Richtlinien verfassen

Ich werde nicht:

  • Für die gesamte Sicherheit im Unternehmen verantwortlich sein
  • Jede Schwachstelle selbst beheben (ich stelle sicher, dass sie behoben werden)
  • Compliance-Dokumentation für ISO/SOC2 schreiben (dafür brauchen wir einen Berater)
  • Rechtliche Fragen zum Datenschutz behandeln
  • Vorfälle alleine managen (ich koordiniere, führe nicht aus)

Ich benötige:

  • 4 Stunden pro Woche dediziert für Champion-Aufgaben
  • Befugnis, sicherheitsrelevante Tickets zu erstellen
  • Zugriff auf Admin-Konsolen für Prüfzwecke
  • Unterstützung vom Management, wenn ich Risiken melde

Wir überprüfen das vierteljährlich.

Lassen Sie das schriftlich bestätigen. Wenn Scope Creep beginnt – und das wird er – haben Sie etwas, auf das Sie verweisen können.

Nein sagen, ohne Beziehungen zu beschädigen

Champions, die nicht Nein sagen können, halten nicht durch. Aber schlecht Nein zu sagen schafft Feinde.

Wenn jemand Sie bittet, selbst etwas zu beheben:

Sagen Sie nicht: „Das ist nicht mein Job."

Sagen Sie: „Ich kann dabei helfen, den richtigen Ansatz herauszufinden, aber jemand aus dem Team sollte das umsetzen. Soll ich aufschreiben, was getan werden muss?"

Wenn das Management Aufgaben häuft:

Sagen Sie nicht: „Ich habe keine Zeit dafür."

Sagen Sie: „Ich kann das übernehmen, aber dann muss etwas anderes von meiner Liste gestrichen werden. Welche der aktuellen Aufgaben soll ich pausieren?"

Wenn ein Sicherheitsproblem dringend erscheint, es aber nicht ist:

Sagen Sie nicht: „Das ist keine wirkliche Priorität."

Sagen Sie: „Das ist real, aber hier sehen Sie, wie es sich zu den anderen Dingen verhält, die wir verfolgen. Wollen Sie neu priorisieren?"

Das Muster: anerkennen, umlenken, eine Alternative anbieten. Sie blockieren nicht – Sie helfen den Menschen, über das nachzudenken, was sie verlangen.

Der Champion ist nicht das Sicherheitsteam

Das ist es wert, wiederholt zu werden, da es das häufigste Versagen ist.

Ein Security Champion ist ein Kraftmultiplikator. Sie machen das Team bewusster, helfen Probleme früher zu erkennen und sorgen dafür, dass Sicherheitsaufgaben nicht unter den Tisch fallen.

Sie sind kein Sicherheitsteam aus einer Person. Wenn das Unternehmen braucht:

  • Einen Penetrationstest → einen Berater einstellen
  • SOC-2-Zertifizierung → ein Compliance-Unternehmen beauftragen
  • 24/7 Incident Response → das ist eine Vollzeitstelle (oder mehrere)
  • Komplexes Threat Modeling → Expertise von außen holen

Ihre Aufgabe ist es, die 80 % der Sicherheitsarbeit zu erledigen, die keine tiefe Expertise erfordert. Die anderen 20 % brauchen Spezialisten. Zu wissen, was was ist, gehört zur Rolle.

Eine Woche, die schiefging (und wie man es behebt)

So sieht eine überlastete Champion-Woche aus:

Montag: Aufwachen mit drei Slack-Nachrichten über verschiedene Sicherheitsbedenken. Den Vormittag damit verbringen, zu triage, anstatt geplante Arbeit zu erledigen.

Dienstag: Einen kritischen CVE in einer verwendeten Bibliothek entdecken. Alles fallen lassen, um ihn in vier Repositories zu patchen.

Mittwoch: Das Management bittet um eine Sicherheitsbewertung für ein Kundenmeeting morgen. Bis spät schreiben.

Donnerstag: Die Zugriffsüberprüfung hätte stattfinden sollen. Verschoben, weil Sie noch mit dem CVE-Fallout beschäftigt sind.

Freitag: Jemand meldet einen möglichen Einbruch. Den ganzen Tag mit der Untersuchung verbringen. Abendessen mit Freunden verpassen.

Was lief falsch? Alles wurde als dringend behandelt und alles landete bei einer Person.

Die Lösung:

  • Konsequent triage. Nicht jedes Sicherheitsproblem ist sofort dringend. Die meisten können einen oder zwei Tage warten.
  • Umsetzung delegieren. Sie haben den CVE gefunden – gut. Das Team patcht ihn. Das ist ihre Aufgabe.
  • Überraschenden Fristen widerstehen. Eine Sicherheitsbewertung für das Meeting von morgen? Das hätte eine Woche Vorlauf gebraucht.
  • Das Wichtige einplanen. Die Zugriffsüberprüfung kommt in den Kalender. Sie findet statt, auch wenn Brände brennen.

Das Rollenprofil mit Ihrem Team aufbauen

Erstellen Sie Ihre Rollendefinition nicht alleine. Sie brauchen die Zustimmung der Menschen, die mit Ihnen arbeiten werden.

Hier ist ein einfacher Prozess, der funktioniert:

Schritt 1: Aufführen, was nicht funktioniert (15 Minuten)

Beantworten Sie mit Ihrem Team Lead oder CTO:

  • Wo haben wir offensichtliche Sicherheitslücken?
  • Welche Sicherheitsaufgaben werden immer wieder aufgeschoben?
  • Welche Fragen kann niemand beantworten?

Schreiben Sie alles auf. Filtern Sie noch nicht.

Schritt 2: In drei Eimer aufteilen (10 Minuten)

EimerBedeutung
Champion erledigtUnkompliziert, wiederkehrend, erfordert keine tiefe Expertise
Champion koordiniertMehrere Personen beteiligt, Champion hält es am Laufen
Braucht externe HilfeZu komplex, zu spezialisiert oder zu risikoreich

Seien Sie ehrlich. Die meisten Champions versuchen, zu viel in die ersten beiden Eimer zu stecken.

Schritt 3: Aufgaben für das erste Quartal auswählen (10 Minuten)

Wählen Sie 5–7 Dinge aus den ersten beiden Eimern. Das sind Ihre Champion-Verantwortlichkeiten für die nächsten drei Monate.

Alles andere? Explizit nicht im Umfang. Schreiben Sie es auf.

Schritt 4: Abzeichnen lassen

Schicken Sie die Liste an Ihren Vorgesetzten oder CTO. Holen Sie ein schriftliches „Ja, das ist der Umfang."

Jetzt haben Sie etwas, auf das Sie verweisen können, wenn Anfragen eingehen, die nicht passen.

Artefakt: Ihr Rollendefinitionsdokument

Hier ist eine Vorlage zum Ausfüllen:

Security-Champion-Rollendefinition

Name: [Ihr Name]

Team: [Ihr Team]

Zeitaufwand: [X] Stunden pro Woche

Berichtend an: [Vorgesetzter/CTO]

Hauptverantwortlichkeiten (dieses Quartal):

  1. [Konkrete Aufgabe]
  2. [Konkrete Aufgabe]
  3. [Konkrete Aufgabe]
  4. [Konkrete Aufgabe]
  5. [Konkrete Aufgabe]

Koordinationsverantwortlichkeiten:

  • [Was Sie verfolgen, aber nicht selbst erledigen]
  • [Woran Sie andere erinnern]

Explizit nicht im Umfang:

  • [Was Sie nicht tun]
  • [Was externe Hilfe braucht]

Benötigte Unterstützung:

  • [Zugriff/Tools/Zeit/Befugnisse, die Sie brauchen]

Überprüfungsdatum: [Datum für die nächste Umfangsüberprüfung]

So sieht Erfolg aus

Nach drei Monaten mit klaren Rollengrenzen sollten Sie Folgendes sehen:

  • Sicherheitsaufgaben werden ohne Krisenmode erledigt
  • Das Team erledigt mehr Sicherheitsarbeit selbst (weil Sie es geschult haben)
  • Weniger „Champion, können Sie das übernehmen?"-Anfragen für Dinge außerhalb Ihres Umfangs
  • Das Management versteht, was Sie tun und was nicht
  • Sie haben noch Energie für Ihren eigentlichen Job

Das Ziel ist keine perfekte Sicherheit. Das Ziel ist nachhaltiger Fortschritt. Das erfordert Grenzen.

Fazit

Die Security-Champion-Rolle scheitert, wenn sie zu „die gesamte Sicherheit erledigen" wird. Sie funktioniert, wenn sie zu „dem Team helfen, Sicherheit gemeinsam umzusetzen" wird.

Ihre Aufgabe ist es, klare Grenzen zu definieren, die Zustimmung des Managements zu erhalten und diese Grenzen zu verteidigen, wenn Scope Creep beginnt. Das Rollendefinitionsdokument ist Ihr Werkzeug. Nutzen Sie es.

Nächstes Kapitel: Wie diese Rolle Ihre Karriere beschleunigt – und welche Wege sie eröffnet.

© 2014–2025 «Passwork»
Unternehmen
Über unsDatenschutzrichtlinieISO 27001-ZertifikatVersionshinweiseRoadmapBlog
Browser-Erweiterung
Google ChromeMozilla FirefoxMicrosoft EdgeApple Safari
Mobile Anwendung
App StoreGoogle Play
Für Unternehmen
TeamsKleine UnternehmenUnternehmen und KonzerneEnterpriseOn-Premise-LösungPasswort-FreigabetoolSecret Management
Hilfe
BenutzerhandbuchTechnische DokumentationHilfezentrum