Ein Informationssicherheitsteam aufbauen
Sie waren der Security Champion. Sie haben Programme aufgebaut, Kontrollen implementiert und Sicherheit in Ihrer Organisation verankert. Aber wenn das Unternehmen wächst, kann eine Person nicht alles erledigen. Irgendwann muss Sicherheit zu einer Funktion werden — mit dedizierten Mitarbeitern, formellen Prozessen und einer Führungsperson auf Leitungsebene.
Dieses Kapitel behandelt, wie Sicherheitsteams strukturiert sind, wann und wie man eines aufbaut — und entscheidend: wie Security Champions auch dann noch ins Bild passen, wenn eine formelle Sicherheitsorganisation besteht.
Die natürlichen Grenzen des Security Champions
Seien wir ehrlich darüber, was ein Security Champion kann und nicht kann:
Was Security Champions gut können
| Fähigkeit | Warum es funktioniert |
|---|---|
| Sicherheit im eigenen Team | Tiefer Kontext, bestehende Beziehungen |
| Code- und Architekturüberprüfung | Kennen die Codebasis und den Stack |
| Entwicklerschulung | Sprechen ihre Sprache |
| First Responder bei Vorfällen | Bereits vor Ort, kennt die Systeme |
| Botschafter der Sicherheitskultur | Von Gleichgestellten vertraut |
Was Security Champions allein nicht abdecken können
| Lücke | Warum es schwierig ist |
|---|---|
| Unternehmensweite Strategie | Erfordert Führungsautorität |
| Compliance-Programme | Vollzeitaufwand, Spezialwissen |
| Incident-Response-Führung | Benötigt dedizierte Verfügbarkeit |
| Drittanbieter-Risiko | Zeitaufwändig, spezialisiert |
| Sicherheitsarchitektur | Umfasst alle Teams und Systeme |
| Bedrohungsintelligenz | Kontinuierliches Monitoring erforderlich |
| Audit-Management | Monate dedizierter Arbeit |
Das Kernproblem: Ein Security Champion hat einen Hauptjob (Entwickler, DevOps usw.). Sicherheit macht 10–30 % seiner Zeit aus. Aber der Sicherheitsbedarf wächst schneller, als dieser Prozentsatz abdecken kann.
Der Übergangspunkt
Sie brauchen wahrscheinlich dediziertes Sicherheitspersonal, wenn:
| Signal | Was es bedeutet |
|---|---|
| Sicherheitsarbeit übersteigt 50 % der Champion-Zeit | Aufteilung nicht nachhaltig |
| Mehrere Champions, aber keine Koordination | Zentrale Führung nötig |
| Compliance-Anforderungen entstehen (SOC 2, ISO) | Vollzeitaufwand erforderlich |
| Unternehmen >100 Mitarbeiter | Angriffsfläche zu groß für Teilzeit |
| Enterprise-Kunden fordern Sicherheit | Geschäftskritische Funktion |
| Erster wesentlicher Sicherheitsvorfall | Abdeckungslücken aufgedeckt |
| Investor/Vorstand fragt nach Sicherheit | Führungsverantwortung erforderlich |
Struktur von Sicherheitsteams verstehen
Sicherheitsrollen erklärt
| Rolle | Fokus | Berichtet an | Gehaltsbereich (USA) |
|---|---|---|---|
| CISO | Strategie, Risiko, Executive-Reporting | CEO/CTO/CFO | 250.000–500.000 $+ |
| VP/Director of Security | Sicherheitsprogramm-Führung | CISO oder CTO | 180.000–300.000 $ |
| Security Manager | Teammanagement, Betrieb | Director/CISO | 140.000–200.000 $ |
| Security Engineer | Technische Implementierung, Tools | Manager/Director | 120.000–180.000 $ |
| AppSec Engineer | Anwendungssicherheit, Code-Review | Manager/Director | 130.000–190.000 $ |
| Cloud Security Engineer | Cloud-Infrastruktursicherheit | Manager/Director | 140.000–200.000 $ |
| GRC Analyst | Compliance, Richtlinien, Risiko | Manager/Director | 90.000–140.000 $ |
| SOC Analyst | Monitoring, Vorfallserkennung | Manager/SOC Lead | 70.000–110.000 $ |
| Security Analyst | Allgemeiner Sicherheitsbetrieb | Manager | 80.000–120.000 $ |
Domänen des Sicherheitsteams
Eine typische Sicherheitsorganisation unter einem CISO hat drei Funktionsdomänen:
Security Engineering — AppSec, Cloud-Sicherheit, Infrastruktursicherheit, DevSecOps, Sicherheits-Tooling
Security Operations — SOC/Monitoring, Incident Response, Bedrohungsintelligenz, Schwachstellenmanagement
Governance, Risk & Compliance — Richtlinien, Compliance, Risikomanagement, Lieferantensicherheit, Audit
Teamgröße nach Unternehmensphase
| Unternehmensgröße | Typisches Sicherheitsteam | Hinweise |
|---|---|---|
| Unter 50 Mitarbeiter | 0 (Security Champions) | Teilzeitabdeckung |
| 50–100 | 0–1 (erste Einstellung oder Fractional) | Übergangspunkt |
| 100–250 | 1–2 | Erste dedizierte Person |
| 250–500 | 2–5 | Kleines Team, breite Rollen |
| 500–1000 | 5–10 | Spezialisierte Rollen entstehen |
| 1000–5000 | 10–25 | Mehrere Unterteams |
| 5000+ | 25–100+ | Vollständige Abteilungen |
Die Branche spielt eine Rolle: Fintech, Gesundheitswesen und Regierungsauftragnehmer brauchen früher mehr Sicherheit. B2C-Unternehmen mit wenig sensiblen Daten können länger schlanker bleiben.
Die erste Sicherheitseinstellung
Die wichtigste Entscheidung. Treffen Sie sie richtig.
Wann die erste Einstellung gemacht werden soll
Stellen Sie dediziertes Sicherheitspersonal ein, wenn mindestens 3 dieser Punkte zutreffen:
- Sicherheitsarbeit übersteigt 40 % der Zeit eines Champions
- Sie haben oder brauchen SOC 2/ISO 27001
- Enterprise-Kunden verlangen ein formelles Sicherheitsprogramm
- Unternehmen überschreitet 100 Mitarbeiter
- Sie hatten einen Sicherheitsvorfall, der die Teilzeitkapazität überfordert hat
- Die Unternehmensführung fragt nach Sicherheitsverantwortung
Profil für die erste Sicherheitseinstellung
Ihre erste Einstellung sollte ein Generalist sein, kein Spezialist.
Ideales Profil:
- 5–10 Jahre Erfahrung (nicht Junior, nicht zu Senior)
- Breite Fähigkeiten: kann Richtlinien schreiben UND Tools konfigurieren
- Hat Programme aufgebaut (idealerweise in ähnlich großem Unternehmen)
- Starker Kommunikator (arbeitet mit allen Teams zusammen)
- Komfortabel mit Unklarheit (noch kein ausgereiftes Programm)
- Technisch genug, um Respekt der Entwickler zu verdienen
- Geschäftsorientiert genug, um mit Führungskräften zu sprechen
Titel-Optionen:
- Security Lead
- Head of Security
- Director of Security (kleines Unternehmen)
- Security Manager
Vermeiden: „CISO" zu früh (außer wenn der Vorstand es verlangt), oder zu spezialisierte Titel.
Was die erste Einstellung tun sollte
Erste 90 Tage:
| Zeitraum | Fokus |
|---|---|
| Tage 1–30 | Bewerten: Alle treffen, Stack verstehen, Lücken identifizieren |
| Tage 31–60 | Priorisieren: Sicherheits-Roadmap erstellen, Quick Wins |
| Tage 61–90 | Ausführen: Höchst priorisierte Punkte implementieren |
Ergebnisse im ersten Jahr:
- Sicherheits-Roadmap mit Geschäftsausrichtung
- Kernrichtlinien dokumentiert
- Incident-Response-Fähigkeit
- Security-Champions-Programm formalisiert
- Grundlegende Kennzahlen und Reporting
- Compliance-Fortschritt (falls zutreffend)
Erste Einstellung: Intern aufbauen vs. extern einstellen
| Option | Vorteile | Nachteile |
|---|---|---|
| Security Champion befördern | Kennt das Unternehmen, vertraut | Möglicherweise mangelnde Tiefe, Karriereerwartungen |
| Extern einstellen | Frische Perspektive, breitere Erfahrung | Einarbeitungszeit, Kulturpassungsrisiko |
| Fractional CISO | Experte auf Abruf, niedrigere Kosten | Teilzeit, weniger eingebettet |
| vCISO + Berater | Zugang zu Expertise, skalierbar | Nicht intern, keine Loyalität |
Empfehlung: Wenn ein Security Champion erheblich gewachsen ist und die Rolle möchte, befördern Sie ihn mit Trainingsunterstützung. Andernfalls extern einstellen und Champions als eingebettete Ressourcen behalten.
Das Sicherheitsteam skalieren
Einstellungsreihenfolge
Die meisten Unternehmen folgen diesem Muster:
Stufe 1 — Eine Person (Generalist). Security Lead, der alles macht: technische Kontrollen, Richtlinien, Compliance, Incident Response. Breite vor Tiefe.
Stufe 2 — Zwei Personen. Security Lead (Strategie + Technik) + GRC Analyst (Compliance + Richtlinien). Aufteilung in Technik und Governance.
Stufe 3 — Drei Personen. Head of Security (Strategie + Führung) + Security Engineer (Technik) + GRC Analyst (Compliance). Dediziertes Eigentum pro Domäne.
Stufe 4 — Spezialisiertes Team (5+). Director oder VP of Security führt: Security Engineer (Infrastruktur), AppSec Engineer (Produktsicherheit), GRC Analyst (Compliance), Security Analyst (Betrieb).
Stufe 5 — Vollständige Abteilung (10+). CISO führt drei Manager: Security Engineering Manager (AppSec, Cloud Security, DevSecOps Engineers) · Security Operations Manager (SOC Analysts, Incident Responder) · GRC Manager (Compliance Analysts, Risk Analysts).
Entscheidung zur zweiten Einstellung
Ihre zweite Einstellung hängt von Ihrer größten Lücke ab:
| Wenn Ihre Lücke ist... | Zweite Einstellung sollte sein... |
|---|---|
| Compliance-Druck | GRC Analyst |
| Technische Schulden | Security Engineer |
| Produktsicherheit | AppSec Engineer |
| Cloud-Komplexität | Cloud Security Engineer |
| Vorfalls-Überlastung | Security Analyst |
Wann man einen CISO einstellt
Die CISO-Frage: Brauchen Sie einen?
Sie brauchen einen CISO, wenn:
- Vorstand/Investoren Executive-Verantwortlichkeit verlangen
- Sicherheitsbudget 500.000 $ übersteigt
- Regulatorische Anforderungen es verlangen
- Unternehmen >500 Mitarbeiter
- Sicherheitsteam >5 Personen
- Sie in einer stark regulierten Branche tätig sind
CISO-Alternativen:
- VP/Director of Security — Berichtet an CTO, deckt Sicherheitsführung ohne C-Level ab
- Fractional CISO — Teilzeit-Executive (2–4 Tage/Monat), kostet 5.000–15.000 $/Monat
- Virtual CISO (vCISO) — Beratungsfirma bietet CISO-Dienste auf Abruf
Realitätscheck: Viele Unternehmen mit 100–500 Mitarbeitern haben einen „Head of Security" oder „Director of Security", der CISO-Arbeit macht, ohne Titel oder C-Suite-Vergütung.
Prozesse des Sicherheitsteams
Kernprozesse, die jedes Team braucht
| Prozess | Verantwortlicher | Frequenz |
|---|---|---|
| Risikobewertung | CISO/Security Lead | Jährlich + bei größeren Änderungen |
| Schwachstellenmanagement | Security Engineering | Kontinuierlich |
| Zugangsüberprüfungen | GRC + Teamleiter | Quartalsweise |
| Incident Response | Security Operations | Bei Bedarf |
| Security-Awareness-Schulung | GRC | Jährlich + neue Mitarbeiter |
| Lieferantensicherheitsbewertung | GRC | Pro neuem Lieferanten + jährlich |
| Richtlinienüberprüfung | GRC | Jährlich |
| Penetrationstests | Security Engineering | Jährlich + bei größeren Releases |
| Auditvorbereitung | GRC | Pro Audit-Zyklus |
| Sicherheitskennzahlen-Review | CISO | Monatlich/Quartalsweise |
Betriebsmodell
Wie Sicherheitsarbeit fließt:
Strategische Ebene — CISO. Jährliche Sicherheitsplanung, Risikobereitschaftsdefinition, Budgetzuweisung, Vorstandsberichterstattung. Setzt die Richtung und trägt die Verantwortung.
Taktische Ebene — Security Engineering, SecOps, GRC. Drei Funktionsteams führen die Strategie aus:
- Security Engineering — Tool-Einsatz, Architekturüberprüfung, DevSecOps
- Security Operations — Monitoring, Incident Response, Threat Hunting
- GRC — Compliance, Richtlinienmanagement, Lieferantensicherheit
Operative Ebene — Entwicklungsteams, IT, HR. Wo Sicherheit täglich praktiziert wird. Jedes Team hat einen eingebetteten Security Champion — das Bindegewebe zwischen den Standards des Sicherheitsteams und dem, was tatsächlich gebaut und betrieben wird.
Meetings des Sicherheitsteams
| Meeting | Frequenz | Teilnehmer | Zweck |
|---|---|---|---|
| Sicherheitsteam-Standup | Täglich/2× wöchentlich | Sicherheitsteam | Koordination |
| Security Review Board | Wöchentlich | Sicherheit + Engineering-Leads | Änderungen und Risiken überprüfen |
| Champions-Sync | Monatlich | Sicherheit + alle Champions | Ausrichtung, Wissensaustausch |
| Risikoausschuss | Monatlich | Sicherheit + Führungskräfte | Risikoentscheidungen |
| Vorstandssicherheitsupdate | Quartalsweise | CISO + Vorstand | Executive-Reporting |
Security Champions in einer reifen Organisation
Hier liegt der Kernpunkt: Security Champions verschwinden nicht, wenn Sie ein Sicherheitsteam einstellen. Sie werden wichtiger.
Warum Champions noch immer wichtig sind
Ein CISO und ein Sicherheitsteam können nicht:
- An jeder Sprint-Planung eines Teams teilnehmen
- Jeden Pull Request überprüfen
- Jede Codebasis tief kennen
- Für jede Sicherheitsfrage verfügbar sein
- Den Kontext jedes Teams verstehen
Die Mathematik funktioniert nicht:
Company: 500 employees
Engineering: 200 developers
Teams: 25 (average 8 developers each)
Security team: 5 people
If security team reviews every change:
- PRs per day: ~100
- Security team capacity: 20 reviews/day
- Result: 80% of PRs unreviewed
With Security Champions (1 per team):
- Champions: 25
- PRs per champion: 4/day
- Result: All PRs get security consideration
- Security team: Focuses on high-risk items
Die neue Champion-Rolle
Wenn ein Sicherheitsteam besteht, entwickeln sich Champions weiter:
| Vor dem Sicherheitsteam | Mit dem Sicherheitsteam |
|---|---|
| „Ich bin die einzige Sicherheitsperson" | „Ich bin die Sicherheitspräsenz in meinem Team" |
| Sicherheitsprogramme erstellen | Sicherheitsprogramme lokal ausführen |
| Richtlinien definieren | Richtlinien implementieren und anpassen |
| Incident Response leiten | First Responder, eskalieren an Team |
| Sicherheitstools auswählen | Sicherheitstools nutzen und fördern |
| An die Unternehmensführung berichten | An das Sicherheitsteam berichten |
Beziehung Champion ↔ Sicherheitsteam
Die Beziehung funktioniert in beide Richtungen.
Was das Sicherheitsteam den Champions bietet:
- Schulung und Befähigung
- Tools und Ressourcen
- Eskalationspfad für komplexe Probleme
- Richtlinienberatung und Bedrohungsintelligenz
- Spezialistenunterstützung bei Bedarf
Was Champions dem Sicherheitsteam bieten:
- Lokale Sicherheitsdurchsetzung im Team
- Risikoidentifikation nah am Code
- Erste Reaktion auf Vorfälle vor der Eskalation
- Schulungslieferung im Teamkontext
- Feedback, ob Richtlinien praktikabel sind
Wie sie verbunden bleiben: dedizierter Slack-Kanal, monatlicher Sync, Sprechstunden.
Jeder Champion kennt den Stack seines Teams tief, wird von seinen Teammitgliedern vertraut, ist der erste Ansprechpartner für Sicherheitsfragen, wendet Sicherheitspraktiken im Kontext seines Teams an und eskaliert, wenn etwas seinen Aufgabenbereich übersteigt.
Champion als „Mini-CISO"
Denken Sie an jeden Security Champion als miniaturisierten CISO für sein Team:
| CISO-Verantwortung | Champion-Äquivalent |
|---|---|
| Unternehmensweite Sicherheitsstrategie | Team-Sicherheits-Roadmap |
| Enterprise-Risikobewertung | Team-Risikobewusstsein |
| Sicherheitsrichtlinien | Richtlinienanwendung im Teamkontext |
| Sicherheitsschulung für das Unternehmen | Schulungsrelevanz für das Team |
| Executive-Reporting | Berichterstattung an Teamleitung |
| Lieferantensicherheit | Abhängigkeiten und Integrationen |
| Vorfallskommando | First Response bei Vorfällen |
| Compliance-Programm | Compliance-Ausführung im Team |
Der Unterschied: Maßstab und Autorität, nicht Substanz. Ein Champion denkt genauso über Sicherheit nach wie ein CISO — nur für einen kleineren Umfang.
Was Champions nicht wissen müssen
Als Security Champion wird nicht erwartet, dass Sie:
| Nicht Ihr Job | Wer es übernimmt |
|---|---|
| Unternehmens-Sicherheitsarchitektur gestalten | Security Architecture / CISO |
| Compliance-Audits managen | GRC-Team |
| Penetrationstests durchführen | Security Engineering (oder Auftragnehmer) |
| Sicherheitsmonitoring aufbauen | Security Operations |
| Sicherheitsklauseln in Verträgen verhandeln | Legal + GRC |
| Vor dem Vorstand präsentieren | CISO |
| Sicherheitsbudget verwalten | Sicherheitsführung |
| Unternehmensrisikobereitschaft definieren | CISO + Führungskräfte |
Ihr Job: Sicherheit in der Domäne Ihres Teams. Das reicht. Das ist wichtig.
Ein Sicherheitsteam aufbauen: 12-Monats-Roadmap
Wenn Sie der Security Champion sind, der das Wachstum plant
Phase 1: Bedarf validieren (Monat 1–2)
- Aktuellen Sicherheitsarbeitsaufwand dokumentieren
- Zeitaufwand für Sicherheit vs. Hauptjob berechnen
- Lücken identifizieren, die Sie nicht abdecken können
- Risiko der Lücken quantifizieren (Vorfälle, Compliance, Deals)
- Business Case für erste Einstellung erstellen
Phase 2: Erste Einstellung (Monat 3–5)
- Ideales Kandidatenprofil definieren
- Headcount genehmigen lassen
- Stellenbeschreibung schreiben
- Interviewen und einstellen
- Neuen Security Lead einarbeiten
- Wissen und Beziehungen übergeben
Phase 3: Programm formalisieren (Monat 6–8)
- Neuer Lead erstellt Sicherheits-Roadmap
- Security-Champions-Programm formalisieren
- Beziehung Champion ↔ Sicherheitsteam definieren
- Regelmäßige Sync-Meetings etablieren
- Eskalationsverfahren erstellen
Phase 4: Skalieren (Monat 9–12)
- Bedarf für zweite Einstellung evaluieren
- Champions führen eingebettete Arbeit weiter
- Sicherheitsteam übernimmt spezialisierte Funktionen
- Programmeffektivität messen und verbessern
- Wachstum für das nächste Jahr planen
Wenn Sie die neue Sicherheitsführungsperson sind, die Champions übernimmt
Monat 1: Zuhören und lernen
- Jeden Security Champion treffen
- Ihre Arbeit und Herausforderungen verstehen
- Identifizieren, was sie gebaut haben und was funktioniert
- Lücken im aktuellen Ansatz finden
Monat 2: Beziehung formalisieren
- Champion-Rolle klar definieren
- Kommunikationskanäle einrichten
- Regelmäßige Syncs einrichten
- Ressourcen bereitstellen, die Champions brauchen
Monat 3: Befähigen und unterstützen
- Schulung für Champions (falls erforderlich)
- Tools und Vorlagen
- Klarer Eskalationspfad
- Anerkennung und Wertschätzung
Laufend: Partnerschaft
- Champions sind Ihr Kraftmultiplikator
- In ihren Erfolg investieren
- Ihr Feedback anhören
- Ihre Erfolge feiern
Häufige Fehler beim Aufbau von Sicherheitsteams
Fehler 1: Zu früh zu senior einstellen
Das Problem: Erste Einstellung ist eine VP-Führungsperson ohne jemanden zum Führen.
Warum es scheitert: Führungskräfte möchten führen, nicht ausführen. Frühe Sicherheit braucht Macher.
Lösung: Früh spielende Trainer einstellen. Personen, die führen UND ausführen können.
Fehler 2: Zu spezialisiert einstellen
Das Problem: Erste Einstellung ist ein Pentester oder SOC Analyst.
Warum es scheitert: Sie brauchen zuerst einen Generalisten. Spezialisten kommen später.
Lösung: Die ersten 1–2 Einstellungen sollten breit sein. Nach Team >3 spezialisieren.
Fehler 3: Bestehende Champions ignorieren
Das Problem: Neues Sicherheitsteam behandelt Champions als irrelevant oder als Bedrohung.
Warum es scheitert: Champions haben Kontext, Beziehungen und Schwung. Sie zu ignorieren verschwendet diese Investition.
Lösung: Champions sind Partner. Sie in die neue Struktur integrieren.
Fehler 4: Sicherheit als Blocker
Das Problem: Sicherheitsteam sieht sich als Gatekeeper, nicht als Enabler.
Warum es scheitert: Teams umgehen Sicherheit, verbergen Probleme, ärgern sich über die Funktion.
Lösung: Sicherheit ermöglicht das Geschäft. „Wie können wir das sicher tun?" nicht „Nein."
Fehler 5: Alles zentralisieren
Das Problem: Sicherheitsteam versucht, alle Sicherheitsarbeit zentral zu erledigen.
Warum es scheitert: Skaliert nicht. Schafft Engpässe. Verliert Teamkontext.
Lösung: Sicherheitsteam liefert Rahmenbedingungen. Teams (mit Champions) führen aus.
Fehler 6: Kein Karrierepfad für Champions
Das Problem: Champions leisten wertvolle Arbeit, haben aber keine Wachstumsperspektive.
Warum es scheitert: Die besten Champions gehen oder verlieren das Engagement.
Lösung: Champions können Sicherheitsteammitglieder oder Senior Champions werden oder Anerkennung in ihrer primären Laufbahn erhalten.
Echte Geschichten: Sicherheitsteams aufbauen
Geschichte 1: Vom Champion zur Teamleitung
Unternehmen: 80-köpfiges B2B-SaaS-Unternehmen, Entwickler wurde Security Champion.
Werdegang:
- Jahr 1: Entwickler verbringt 20 % auf Sicherheit, informelle Champion-Rolle
- Jahr 2: Sicherheitsarbeit wächst auf 50 %, Unternehmen beschließt Formalisierung
- Jahr 3: Champion wird „Security Lead" (Vollzeit), stellt GRC Analyst ein
- Jahr 4: Team wächst auf 4 (Security Lead, GRC, 2 Security Engineers)
Reflexion des Champions: „Als ich zur Vollzeitsicherheit wechselte, befürchtete ich, die Verbindung zum Entwicklungsteam zu verlieren. Das Gegenteil geschah — ich wurde zur Brücke zwischen Sicherheit und Engineering. Ich überprüfe immer noch Code und nehme an Architekturdiskussionen teil, aber jetzt habe ich ein Team für Compliance und Tooling."
Was funktioniert hat:
- Schrittweiser Übergang, kein abrupter Wechsel
- Champion-Beziehungen intakt gelassen
- Komplementäre Fähigkeiten eingestellt (GRC zuerst, kein weiterer Generalist)
Geschichte 2: Externe CISO-Einstellung
Unternehmen: 150-köpfiges Fintech, keine interne Sicherheitserfahrung.
Werdegang:
- CISO direkt eingestellt (teuer, 280.000 $)
- CISO baute 3-Personen-Team im ersten Jahr auf
- Security-Champions-Programm von Grund auf erstellt
- SOC 2 Type II in 14 Monaten erreicht
Was funktioniert hat:
- CISO brachte Enterprise-Erfahrung
- Schnell Glaubwürdigkeit beim Vorstand aufgebaut
- In Champions als Kraftmultiplikator investiert
Was schwierig war:
- CISO kannte die Codebasis nicht — stark auf Champions angewiesen
- Anfangs Kulturkonflikte (Sicherheit vs. Geschwindigkeit)
- Erstes Jahr war für alle intensiv
Geschichte 3: Der Fractional-Ansatz
Unternehmen: 60-köpfiges Startup, knappes Budget.
Werdegang:
- Fractional CISO eingestellt (3 Tage/Monat, 8.000 $/Monat)
- Fractional CISO betreute 2 Security Champions
- Champions übernahmen die Ausführung, CISO lieferte die Strategie
- Nach 18 Monaten vollzeitigen Security Lead eingestellt
Was funktioniert hat:
- Niedrige Kosten bei gleichzeitiger Expertenberatung
- Champions wuchsen erheblich durch Mentoring
- Reibungsloser Übergang, als Budget Vollzeiteinstellung erlaubte
Was schwierig war:
- Fractional CISO nicht immer für dringende Probleme verfügbar
- Champions trugen schwere Last
- Koordinationsaufwand zwischen Teilzeit- und Vollzeitkräften
Sicherheitsteam-Budgetplanung
Typische Kosten nach Teamgröße
| Teamgröße | Jährliche Kosten (vollständig belastet) | Hinweise |
|---|---|---|
| 1 Person | 200.000–300.000 $ | Gehalt + Leistungen + Tools |
| 2 Personen | 350.000–500.000 $ | + Compliance-Plattform |
| 3 Personen | 500.000–700.000 $ | + Spezialisierte Tools |
| 5 Personen | 900.000–1,2 Mio. $ | + Auftragnehmer für Projekte |
| 10 Personen | 1,8–2,5 Mio. $ | Vollständige Abteilungskosten |
Budgetaufteilung
| Kategorie | % des Sicherheitsbudgets | Beispiele |
|---|---|---|
| Personal | 60–75 % | Gehälter, Leistungen |
| Tools/Plattformen | 15–25 % | SIEM, EDR, Compliance-Plattform, Scanner |
| Auftragnehmer/Berater | 5–15 % | Pentests, Audits, Fractional-Unterstützung |
| Schulung/Zertifizierungen | 2–5 % | Zertifizierungen, Konferenzen |
| Sonstiges | 2–5 % | Bug-Bounty, Versicherung |
Musterbudget: 3-Personen-Team
## Annual Security Budget (3-person team)
Personnel: $550,000
Security Lead $200,000
Security Engineer $180,000
GRC Analyst $130,000
Benefits/taxes (25%) $40,000
Tools & Platforms: $120,000
Compliance platform (Vanta) $25,000
SIEM/Logging $30,000
EDR $20,000
Vulnerability scanner $15,000
Security awareness platform $10,000
Other tools $20,000
Contractors/Consulting: $50,000
Annual pentest $25,000
SOC 2 audit $20,000
Specialized consulting $5,000
Training & Development: $15,000
Certifications $8,000
Conferences $5,000
Training subscriptions $2,000
Contingency (10%): $73,500
TOTAL: $808,500
Outsourcing vs. Insourcing
Wann intern aufbauen vs. externe Ressourcen nutzen.
Wann outsourcen
| Funktion | Outsourcen, wenn... | Optionen |
|---|---|---|
| Penetrationstests | Fast immer (Objektivität erforderlich) | Boutique-Firmen, Bug-Bounty |
| Compliance-Audits | Erforderlich (Unabhängigkeit) | CPA-Firmen |
| Incident Response | Große Vorfälle, keine interne Kapazität | IR-Retainer (Mandiant, CrowdStrike) |
| Fractional CISO | Zu früh für Vollzeiteinstellung | vCISO-Dienste |
| Sicherheitsmonitoring | Kein 24/7-SOC aufbaubar | Managed Detection (Arctic Wolf, Expel) |
| Spezialprojekte | Einmaliger Bedarf | Berater |
Wann insourcen
| Funktion | Insourcen, wenn... | Grund |
|---|---|---|
| Sicherheitsstrategie | Kernkompetenz | Benötigt Unternehmenskontext |
| Anwendungssicherheit | Tiefe Produktintegration | Benötigt Codebasiskenntnisse |
| Security Engineering | Laufender Bedarf | Tägliche Integrationsarbeit |
| Compliance-Management | Kontinuierlicher Betrieb | Vollzeit-Aufmerksamkeit |
| Sicherheitskultur | Kerngeschäft | Champions + internes Team |
Hybridmodell
Die meisten Unternehmen nutzen ein Hybridmodell:
Internal team:
• Strategy and leadership
• Day-to-day operations
• Application security
• Compliance management
External support:
• Penetration testing (quarterly)
• Audits (annual)
• Incident response (on retainer)
• Specialized projects (as needed)
• 24/7 monitoring (optional)
Einstellungsleitfaden: Stellenbeschreibungen und Interviews
Muster-Stellenbeschreibung: Erste Sicherheitseinstellung
## Security Lead
About the role:
We're looking for our first dedicated security hire to build and lead
our security program. You'll work closely with engineering, IT, and
leadership to protect our customers and company.
What you'll do:
• Build and own our security program from the ground up
• Lead compliance efforts (SOC 2, potentially ISO 27001)
• Coordinate with Security Champions across engineering teams
• Implement and manage security tools and processes
• Conduct risk assessments and drive remediation
• Develop security policies and training
• Respond to security incidents
• Report on security posture to leadership
What you bring:
• 5+ years in security (mix of technical and program work)
• Experience building security programs at a growth-stage company
• Understanding of cloud security (AWS/GCP)
• Knowledge of compliance frameworks (SOC 2, ISO 27001)
• Strong communication skills (technical and executive audiences)
• Ability to work independently and prioritize
• Bonus: Development background
What we offer:
• Opportunity to build something from scratch
• Direct impact on company security
• Path to leadership as team grows
• [Compensation, benefits, etc.]
Interview-Fragen für Sicherheitseinstellungen
Technisch:
- „Erklären Sie mir, wie Sie die Sicherheit unserer Anwendung bewerten würden."
- „Wir haben ein SOC 2-Audit in 6 Monaten. Was ist Ihr 90-Tage-Plan?"
- „Beschreiben Sie eine wesentliche Schwachstelle, die Sie gefunden haben, und wie Sie sie behoben haben."
- „Wie gehen Sie an die Bedrohungsmodellierung für ein neues Feature heran?"
Programmaufbau:
- „Erzählen Sie mir von einem Sicherheitsprogramm, das Sie aufgebaut haben. Was hat funktioniert? Was nicht?"
- „Wie priorisieren Sie Sicherheitsarbeit, wenn alles dringend erscheint?"
- „Wie erhalten Sie Buy-in von Entwicklungsteams, die Sicherheit als Blocker sehen?"
- „Beschreiben Sie Ihren Ansatz zur Arbeit mit Security Champions."
Incident Response:
- „Erzählen Sie mir von einem Sicherheitsvorfall, den Sie behandelt haben. Führen Sie mich von der Erkennung bis zur Lösung."
- „Wie balancieren Sie Geschwindigkeit vs. Gründlichkeit bei einem Vorfall?"
- „Wie entscheiden Sie, wann Sie eskalieren oder externe Ressourcen einbeziehen?"
Kultur und Kommunikation:
- „Wie machen Sie Sicherheit für Nicht-Sicherheits-Menschen zugänglich?"
- „Beschreiben Sie eine Situation, in der Sie aus Sicherheitsgründen einer Geschäftsentscheidung widersprechen mussten."
- „Wie messen Sie den Erfolg eines Sicherheitsprogramms?"
Warnsignale bei Kandidaten:
- Können Sicherheitskonzepte nicht einfach erklären
- Sprechen nur über Tools, nicht über Prozesse oder Menschen
- Keine Erfahrung mit Geschäfts-/Produktabwägungen
- „Sicherheit sagt Nein"-Haltung
- Können keine konkreten Beispiele nennen
Experteneinsichten
Zur Security-Champion-Rolle
„Die besten Sicherheitsorganisationen, die ich gesehen habe, behandeln Security Champions als erste Verteidigungslinie, nicht als Durchgangsstufe. Champions, die jahrelang in ihren Teams bleiben, sind unglaublich wertvoll — sie wissen alles über ihre Domäne und haben ein Vertrauen verdient, das kein externes Sicherheitsteam replizieren kann."
Zur ersten Einstellung
„Ich habe Unternehmen gesehen, die einen CISO eingestellt haben, als sie einen Security Engineer gebraucht hätten. Der CISO war frustriert, weil es niemanden zu führen gab und die technische Arbeit nicht erledigt wurde. Die Rolle an den tatsächlichen Bedarf anpassen."
Zur Teamstruktur
„Kopieren Sie nicht das Sicherheits-Organigramm von Google. Die haben andere Probleme in einem anderen Maßstab. Ihre Struktur sollte IHR Risiko, IHR Geschäft und IHR Ressourcen widerspiegeln. Einfach beginnen. Bei Bedarf weiterentwickeln."
Zu Champions mit einem Sicherheitsteam
„Als wir unsere erste Sicherheitsperson einstellten, befürchtete ich, dass meine Security-Champion-Arbeit irrelevant werden würde. Das Gegenteil geschah. Ich wurde der wertvollste Partner des Sicherheitsteams, weil ich unser Produkt tief kannte. Wir arbeiten zusammen, nicht im Wettbewerb."
So erklären Sie das der Unternehmensführung
Wenn Sie für die erste Sicherheitseinstellung eintreten:
„Ich habe Sicherheit in Teilzeit betrieben, aber wir haben den Punkt erreicht, wo das nicht nachhaltig ist. Sicherheitsarbeit nimmt jetzt 50 %+ meiner Zeit in Anspruch, und ich decke immer noch nicht alles ab, was wir brauchen. Eine dedizierte Sicherheitsperson wird:
- Compliance-Anstrengungen (SOC 2, ISO) leiten, zu denen ich mich nicht vollständig verpflichten kann
- Risiken reduzieren, die derzeit ungesteuert sind
- Mich dazu befreien, zu meiner Vollzeit-[Hauptrolle] zurückzukehren
- Security Champions wie mir ermöglichen, sich auf unsere Teams zu konzentrieren
Investition: Eine Senior-Einstellung (~150.000–180.000 $ vollständig belastet). ROI: Schnellere Compliance, reduziertes Risiko, entsperrte Enterprise-Deals."
Wenn Sie eine neue Sicherheitsführungsperson sind, die Champions erklärt:
„Security Champions sind unser Kraftmultiplikator. Ich kann nicht an jedem Teammeeting teilnehmen, jeden PR überprüfen oder jede Codebasis kennen. Aber mit einem Champion in jedem Team:
- Ist Sicherheit überall präsent
- Werden Probleme früher erkannt
- Haben Teams lokale Experten, denen sie vertrauen
- Konzentriert sich mein Team auf das, was nur wir tun können
Ich möchte in das Champion-Programm investieren, nicht es ersetzen."
Workshop: Sicherheitsteam-Planung
Teil 1: Aktuellen Zustand bewerten (1 Stunde)
- Alle heute stattfindenden sicherheitsbezogenen Arbeiten dokumentieren
- Wer macht es? Wie viel Zeit?
- Was bleibt liegen?
- Was sind die Risiken aktueller Lücken?
Ergebnis: Sicherheitsarbeitsaufwand-Bewertung
Teil 2: Zielzustand definieren (1 Stunde)
- Wie sieht „gute" Sicherheit in 12 Monaten aus?
- Welche Rollen würden das unterstützen?
- Was würden Champions vs. Sicherheitsteam tun?
- Wie würden sie zusammenarbeiten?
Ergebnis: Zielzustandsbeschreibung
Teil 3: Roadmap aufbauen (1 Stunde)
- Was ist das erste Einstellungsprofil?
- Wann ist der richtige Zeitpunkt?
- Was ist der Übergangsplan für aktuelle Champions?
- Was ist der Business Case?
Ergebnis: Einstellungsroadmap und Business Case
Teil 4: Champion-Programmdesign (1 Stunde)
- Wie arbeiten Champions mit dem Sicherheitsteam zusammen?
- Was wird von Champions erwartet?
- Was bekommen Champions dafür?
- Wie messen Sie den Erfolg?
Ergebnis: Champion-Programmdesign für reife Organisation
Wichtige Erkenntnisse
-
Security Champions sind kein Durchgangsstadium — sie sind ein dauerhafter Teil des Sicherheitsmodells. Auch mit einem CISO und einem vollständigen Team bleiben Champions unverzichtbar.
-
Ein Champion ist wie ein Mini-CISO für sein Team. Gleiche Denkweise, kleinerer Umfang.
-
Sie müssen nicht alles wissen. Kennen Sie Sicherheit in IHRER Domäne. Das ist wertvoll. Das reicht.
-
Das Sicherheitsteam ermöglicht, Champions führen lokal aus. Es ist eine Partnerschaft.
-
Die erste Einstellung sollte ein Generalist sein. Spezialisten kommen später.
-
Kultur ist wichtiger als Struktur. Ein kleines Team mit starken Champion-Partnerschaften schlägt ein großes Team, das das Geschäft ignoriert.
Fazit
Ein Sicherheitsteam ersetzt Security Champions nicht — es ermöglicht ihnen. Die Champions übernehmen Sicherheit lokal; das Team setzt Standards, baut Tools und übernimmt, was einzelne Teams nicht können. Diese Partnerschaft ist, wie Sicherheit skaliert.
Die Security-Champion-Rolle, mit der Sie begonnen haben, ist keine Durchgangsstufe, die Sie hinter sich lassen. Sie ist das Modell, das Sie in der gesamten Organisation replizieren.
Wie es weitergeht
Zurück zur Kursübersicht oder erkunden Sie das OWASP Security Champions Guidebook für Community-Ressourcen.