Zum Hauptinhalt springen
Passwork LogoPasswork LogoSecurity champion course

Was ist ein Security Champion

Sie kennen das Muster wahrscheinlich. Ein Entwickler committet einen AWS-Schlüssel auf GitHub. Jemand klickt auf einen Phishing-Link. Ein ehemaliger Mitarbeiter hat drei Monate nach seinem Abgang noch immer Admin-Zugriff. Der Staging-Server wurde seit 2022 nicht mehr gepatcht.

Alle wissen, dass diese Dinge ein Problem sind. Niemand hat Zeit, sie zu beheben. Der CTO ist mit dem Produkt beschäftigt. Die Team Leads stecken bis zum Hals in Sprints. Und einen Sicherheitsspezialisten einstellen? Das ist ein sechsstelliges Gehalt, das Sie nicht haben.

Genau hier kommt das Security-Champion-Modell ins Spiel. Sie nehmen jemanden, der bereits im Team ist – einen Entwickler, der sich für Sicherheit interessiert, einen DevOps-Ingenieur, der es leid ist, Chaos zu beseitigen, einen Sysadmin, dem Schwachstellen immer wieder auffallen – und Sie geben dieser Person die Erlaubnis und die Zeit, tatsächlich etwas dagegen zu tun.

Keine Vollzeitstelle im Sicherheitsbereich. Nur ein paar Stunden pro Woche, mit klar definiertem Umfang und Rückendeckung des Managements. Das reicht, um die größten Lücken zu schließen und Gewohnheiten zu etablieren, die sich langfristig bewähren.

Anzeichen dafür, dass Ihr Unternehmen einen Security Champion braucht

Sie brauchen wahrscheinlich einen, wenn Ihnen folgendes bekannt vorkommt:

  • Niemand weiß, welche SaaS-Tools das Unternehmen tatsächlich nutzt
  • Ehemalige Mitarbeiter haben möglicherweise noch Zugriff auf Produktionssysteme
  • Secrets leben in Slack-Nachrichten, geteilten Dokumenten oder .env-Dateien in Repositories
  • Die letzte Sicherheitsdiskussion war „Wir sollten da wirklich etwas tun"
  • Sie haben einen Auftrag verloren, weil Sie den Sicherheitsfragebogen eines Lieferanten nicht ausfüllen konnten
  • Alle benutzen dasselbe Passwort für den gemeinsamen Admin-Account
  • Backups existieren, aber niemand hat getestet, ob sie sich tatsächlich wiederherstellen lassen

Wenn Sie drei oder mehr davon erkannt haben, laufen Sie auf Glück. Ein Security Champion kann das ändern.

Was ein Security Champion tatsächlich ist

Ein Security Champion ist ein technischer Mitarbeiter, der Sicherheit als zusätzliche Verantwortung übernimmt. Nicht als Hauptaufgabe – sondern als Erweiterung davon. Er verbringt ein paar Stunden pro Woche mit Sicherheitsaufgaben, fungiert als erste Anlaufstelle für Sicherheitsfragen und hilft dem Team, bessere Gewohnheiten zu entwickeln.

Das entscheidende Wort ist „praktisch". Champions sind keine Sicherheitsexperten, die akademische Richtlinien verfassen. Sie sind Ingenieure, die das Produkt verstehen, den Arbeitsablauf des Teams kennen und Änderungen umsetzen können, die tatsächlich übernommen werden.

Was sie tun:

  • Schnelle Fixes umsetzen: MFA überall, Secrets aus dem Code, Zugriffsüberprüfungen
  • Risiken in Pull Requests und Infrastrukturänderungen erkennen
  • Sicherheitsanforderungen in Aufgaben übersetzen, die Entwickler verstehen
  • Kurze Schulungen durchführen (15 Minuten, nicht 2 Stunden)
  • Richtlinien schreiben, die Menschen tatsächlich lesen (eine Seite, nicht zwanzig)
  • Wissen, wann eskaliert werden muss und wann Dinge selbst erledigt werden können

Was sie nicht tun:

  • Die Verantwortung für die gesamte Sicherheit im Unternehmen übernehmen
  • Ein Sicherheitsteam oder einen Berater für komplexe Probleme ersetzen
  • Penetrationstests oder formelle Audits durchführen
  • Compliance-Entscheidungen alleine treffen
  • Jede Schwachstelle persönlich beheben

Die Rolle funktioniert, weil sie begrenzt ist. Ein Champion, der versucht, alles zu tun, brennt innerhalb von Monaten aus. Ein Champion mit klar definiertem Umfang kann die Arbeit jahrelang aufrechterhalten.

Warum KMU häufiger angegriffen werden – nicht seltener

Es gibt die hartnäckige Überzeugung, dass Angreifer sich auf große Ziele konzentrieren. Banken, Einzelhändler, Behörden. Warum sollte sich jemand mit einem 30-köpfigen Startup abgeben?

Hier ist der Grund: Sie gehen nicht gezielt auf Sie ein. Sie scannen das gesamte Internet.

Automatisierte Tools laufen rund um die Uhr und suchen nach offenen Ports, bekannten Schwachstellen und geleakten Anmeldedaten. Sie prüfen keine Unternehmensgröße. Sie interessieren sich nicht für den Umsatz. Sie nutzen einfach aus, was sie finden.

Und wenn sie etwas finden, sind kleine Unternehmen leichter zu kompromittieren:

Keine Überwachung. Große Unternehmen haben Security Operations Center, die auf verdächtige Aktivitäten achten. Sie schauen sich Ihre Logs wahrscheinlich überhaupt nicht an.

Schwache Authentifizierung. Konzerne haben obligatorische MFA, SSO und Passwort-Richtlinien. Sie haben einen gemeinsamen Google-Account mit einem Passwort, das jemand 2019 gesetzt hat.

Kein Incident Response. Wenn etwas schiefläuft, haben Konzerne Playbooks. Sie haben Panik.

Trotzdem wertvolle Daten. Kundendatenbanken, API-Schlüssel, Cloud-Zugangsdaten, GitHub-Tokens – all das ist verkäuflich. Ihre 500 Kunden sind für jemanden Geld wert.

Die unbequeme Realität: Kleine Unternehmen sind nicht zu klein, um Ziele zu sein. Sie sind die bevorzugten Ziele, weil sie leichter anzugreifen sind.

Was sich ändert, wenn Sie einen Security Champion haben

Beschreiben wir zwei Versionen desselben Unternehmens.

Ohne Champion: Ein Entwickler committet AWS-Zugangsdaten. Drei Tage lang fällt es niemandem auf – bis die 12.000-Dollar-Rechnung eintrifft. Panik. Manuelle Bereinigung. Niemand weiß, ob der Angreifer sonst noch etwas getan hat. Danach keine Prozessänderungen – alle sind zu sehr mit dem nächsten Sprint beschäftigt.

Mit Champion: git-secrets läuft bei jedem Commit und blockiert den Push. Der Entwickler erhält eine hilfreiche Fehlermeldung, die erklärt, was passiert ist. Der Champion hat bereits ein Dokument zur Rotation von Zugangsdaten verfasst. Vorfall vermieden. Kein Drama.

Oder denken Sie an Sicherheitsfragebögen von Kunden. Ohne Champion sind diese beängstigend. Hat das Unternehmen MFA? Wer weiß. Zugriffsüberprüfungsprozess? Den sollten wir wahrscheinlich haben. Incident Response Plan? Ich schreibe schnell etwas...

Mit einem Champion haben Sie Antworten. Keine perfekten Antworten – niemand erwartet ISO 27001 von einem 40-köpfigen Unternehmen – aber ehrliche Antworten, die durch echte Praktiken untermauert sind. Sie gewinnen Aufträge, die Sie sonst verloren hätten.

Echte Beispiele

Der Weckruf für 8.300 Dollar

Ein 12-köpfiges Startup. Ein Entwickler hatte versehentlich AWS-Schlüssel in ein öffentliches Repository gepusht. Das Unternehmen hatte kein Secret Scanning, keine Alarme, nichts.

Innerhalb von 24 Stunden fand jemand die Schlüssel und startete EC2-Instanzen für Krypto-Mining. Die Rechnung: 8.300 Dollar.

Nach dem Vorfall meldete sich der sicherheitsbewussteste Entwickler des Unternehmens freiwillig als Champion. Erste Woche: git-secrets überall installiert, GitHub-MFA verpflichtend, Schlüsselrotation dokumentiert. Gesamtkosten: null Dollar und etwa 6 Stunden Arbeit.

Zwei Jahre später hatte das Unternehmen keinen einzigen Zugangsdaten-Leak mehr.

Der verlorene Auftrag

Eine 35-köpfige Agentur bewarb sich um einen Auftrag im Wert von 50.000 Dollar pro Jahr bei einem Enterprise-Kunden. Der Sicherheitsfragebogen stellte grundlegende Fragen: Verwenden Sie MFA? Haben Sie einen Zugriffsüberprüfungsprozess? Testen Sie Backups?

Die ehrlichen Antworten waren: Nein, nein und nein.

Sie verloren den Auftrag. Der Kunde entschied sich für einen Mitbewerber, der mit Ja antworten konnte.

Der Senior-Entwickler der Agentur übernahm die Champion-Rolle. Zwei Wochen konzentrierte Arbeit: MFA auf allen kritischen Systemen, vierteljährlicher Zugriffsüberprüfungskalender, Backup-Tests dokumentiert. Den nächsten vergleichbaren Auftrag gewannen sie.

Die Ransomware, die nicht schadete

Ein 20-köpfiges Designstudio wurde durch eine Phishing-E-Mail von Ransomware getroffen. Die Hälfte ihrer Dateien wurde verschlüsselt.

Doch ihr Champion hatte die 3-2-1-Backup-Regel umgesetzt: drei Kopien, zwei verschiedene Medien, eine extern. Und – entscheidend – sie hatten die Wiederherstellung zweimal getestet.

Die Wiederherstellung dauerte 40 Minuten. Das Unternehmen verlor weniger als einen Arbeitstag. Ohne Backups hätten sie monatelange Kundenprojekte verloren.

Mit der Geschäftsführung sprechen

Security Champions haben hier oft Schwierigkeiten. Technische Probleme fühlen sich lösbar an. Die Geschäftsführung zu überzeugen fühlt sich politisch an.

Dabei ist es einfacher, als Sie denken. Sprechen Sie nicht über Sicherheit. Sprechen Sie über Geld und Risiko.

Argumente, die funktionieren:

  • „Wir können ohne grundlegende Sicherheitsmaßnahmen keine Enterprise-Aufträge gewinnen. Hier ist ein konkretes Beispiel, bei dem wir verloren haben."
  • „Ein Zugangsdaten-Leak kostete ein ähnliches Unternehmen letztes Jahr 15.000 Dollar. Wir haben dieselbe Schwachstelle gerade jetzt."
  • „Ich kann unsere drei größten Sicherheitslücken mit 4 Stunden pro Woche schließen. Keine zusätzlichen Kosten."
  • „Kunden fragen zunehmend nach SOC 2. Wir sind nicht vorbereitet. Ich kann uns näher dran bringen."

Argumente, die nicht funktionieren:

  • „Wir sollten unsere Sicherheitslage verbessern."
  • „Best Practices empfehlen..."
  • „Andere Unternehmen machen das so."

Seien Sie konkret. Knüpfen Sie alles an Geschäftsergebnisse.

Workshop: Ihr Elevator Pitch

Bevor Sie auf die Geschäftsführung zugehen, brauchen Sie eine 60-sekündige Erklärung, warum das Unternehmen einen Security Champion braucht und warum das Sie sein sollten.

Nutzen Sie diese Struktur:

Problem: „Wir haben [konkrete Lücke], die [konkretes Risiko] schafft."

Beispiel: „Letzten Monat konnten wir grundlegende Fragen auf einem Kundensicherheitsformular nicht beantworten. Möglicherweise verlieren wir Aufträge, von denen wir nicht einmal wissen."

Lösung: „Ein Security Champion – jemand, der ein paar Stunden pro Woche mit Sicherheitsgrundlagen verbringt."

Bitte: „Ich würde das gerne übernehmen. Ich brauche [X Stunden/Woche] und Unterstützung von [Geschäftsführung/IT/wem auch immer]."

Schreiben Sie Ihre Version. Üben Sie sie laut. Messen Sie die Zeit – wenn es über 90 Sekunden dauert, kürzen Sie etwas.

Ihre Aufgabe

  1. Identifizieren Sie zwei konkrete Sicherheitslücken in Ihrem Unternehmen (nicht abstrakt – konkret)
  2. Verknüpfen Sie jede Lücke mit einem Geschäftsrisiko (Geld, Reputation, Aufträge, Zeit)
  3. Schreiben Sie Ihren 60-Sekunden-Pitch
  4. Finden Sie jemanden zum Üben, bevor Sie ihn wirklich halten

Fazit

Kleine Unternehmen brauchen keine perfekte Sicherheit. Sie brauchen jemanden, der aufmerksam ist. Jemanden, der die offensichtlichen Lücken schließt, grundlegende Prozesse aufbaut und Probleme erkennt, bevor sie zu Vorfällen werden.

Das ist die Aufgabe eines Security Champions. Es ist kein Vollzeitjob. Es ist keine Karriereumstellung. Es ist ein Entwickler oder Ops-Ingenieur, dem genug daran liegt, die Dinge zu verbessern – ein paar Stunden auf einmal.

Wenn Sie das lesen und denken „Das klingt nach etwas, das ich tun könnte" – Sie haben wahrscheinlich recht. Das nächste Kapitel beschreibt, wie die Rolle im Alltag tatsächlich aussieht und wie Sie Grenzen setzen, damit Sie nicht ausbrennen.

© 2014–2025 «Passwork»
Unternehmen
Über unsDatenschutzrichtlinieISO 27001-ZertifikatVersionshinweiseRoadmapBlog
Browser-Erweiterung
Google ChromeMozilla FirefoxMicrosoft EdgeApple Safari
Mobile Anwendung
App StoreGoogle Play
Für Unternehmen
TeamsKleine UnternehmenUnternehmen und KonzerneEnterpriseOn-Premise-LösungPasswort-FreigabetoolSecret Management
Hilfe
BenutzerhandbuchTechnische DokumentationHilfezentrum