Karriereentwicklung und nächste Schritte
Sie haben Sicherheitsprogramme aufgebaut, Entwickler geschult, Risiken verwaltet und Sicherheit in Ihrer Organisation verankert. Was kommt jetzt? Die Fähigkeiten, die Sie als Security Champion entwickelt haben, öffnen Türen zu verschiedenen Karrierewegen in der Sicherheitsbranche – und darüber hinaus.
Dieses Kapitel hilft Ihnen, Ihre nächsten Schritte zu planen – ob Sie in Ihrer aktuellen Rolle bleiben und Ihre Kenntnisse vertiefen, in eine dedizierte Sicherheitsposition wechseln oder Ihr Security-Know-how in der technischen Führung einsetzen möchten.
Was Sie gelernt haben
Als Security Champion haben Sie eine seltene Kombination entwickelt:
| Kompetenzbereich | Was Sie gelernt haben |
|---|---|
| Technische Sicherheit | Schwachstellenbewertung, sicheres Programmieren, Bedrohungsmodellierung |
| Risikomanagement | Risikobewertung, Priorisierung, Kommunikation mit dem Management |
| Compliance | Frameworks, Audits, Dokumentation |
| Führung | Einfluss ohne formale Autorität, Programmaufbau, Schulung anderer |
| Kommunikation | Sicherheit für Entwickler und Führungskräfte verständlich erklären |
| Projektmanagement | Initiativen leiten, Fortschritt messen, Stakeholder-Management |
Diese Kombination aus technischer Tiefe und betriebswirtschaftlichem Verständnis ist wertvoll – und selten.
Karriereoptionen
Weg 1: Bleiben und vertiefen
Als Security Champion weitermachen und die Expertise vertiefen.
Wie es aussieht:
- In der aktuellen Rolle bleiben (Entwicklung, DevOps usw.)
- Security Champion macht 20–40 % Ihrer Arbeit aus
- Zum gefragten Sicherheitsexperten in Ihrer Organisation werden
- Möglicherweise Entwicklung zum „Staff Engineer mit Sicherheitsschwerpunkt"
Für wen es geeignet ist:
- Sie lieben Ihr aktuelles Fachgebiet (Entwicklung, Infrastruktur)
- Sicherheit interessiert Sie, ist aber nicht Ihre einzige Leidenschaft
- Sie bevorzugen Breite gegenüber Tiefe
Zu entwickelnde Fähigkeiten:
- Fortgeschrittene Bedrohungsmodellierung
- Sicherheitsarchitekturmuster
- Mentoring anderer Champions
- Sicherheitsstrategie auf Unternehmensebene
Zertifizierungen: GWAPT, GWEB, CEH (praxisorientiert, kein Management-Fokus)
Weg 2: Application Security (AppSec)
Wechsel in eine dedizierte Application-Security-Rolle.
Was die Rolle umfasst:
- Sicherheitsüberprüfung von Anwendungen und Code
- Sicherheit in den SDLC einbauen
- Entwicklerschulung und -befähigung
- Verwaltung von AppSec-Tools (SAST, DAST, SCA)
- Bug-Bounty und Schwachstellenmanagement
Berufsbezeichnungen:
- Application Security Engineer
- Product Security Engineer
- Security Software Engineer
- AppSec Analyst
Zu entwickelnde Fähigkeiten:
- Tiefe Expertise in OWASP-Schwachstellen
- Kenntnisse in mehreren Sprachen für Code-Reviews
- Entwicklung von Automatisierung und Tooling
- Bedrohungsmodellierungsmethoden (STRIDE, PASTA)
- Bug-Bounty-Triage
Zertifizierungen:
- OSCP (Offensive Security Certified Professional)
- GWAPT (GIAC Web Application Penetration Tester)
- BSCP (Burp Suite Certified Practitioner)
- CASE (Certified Application Security Engineer)
Ressourcen:
- PortSwigger Web Security Academy — Kostenlos, umfassend
- OWASP Testing Guide
- HackTheBox — Übungsumgebung
- PentesterLab — Schrittweiser Lernpfad
Weg 3: Cloud Security
Spezialisierung auf die Absicherung von Cloud-Infrastruktur.
Was die Rolle umfasst:
- Absicherung von AWS/GCP/Azure-Umgebungen
- Identity und Access Management im großen Maßstab
- Sicherheit von Infrastructure as Code
- Container- und Kubernetes-Sicherheit
- Cloud-native Sicherheits-Tools
Berufsbezeichnungen:
- Cloud Security Engineer
- Cloud Security Architect
- Infrastructure Security Engineer
- DevSecOps Engineer
Zu entwickelnde Fähigkeiten:
- Tiefes Wissen über mindestens eine große Cloud-Plattform (AWS/GCP/Azure)
- Infrastructure as Code (Terraform, CloudFormation)
- Sicherheit der Container-Orchestrierung (Kubernetes)
- Cloud-native Sicherheitsdienste (GuardDuty, Security Hub usw.)
- Zero-Trust-Architektur
Zertifizierungen:
- AWS Security Specialty
- GCP Professional Cloud Security Engineer
- Azure Security Engineer Associate
- CKS (Certified Kubernetes Security Specialist)
- CCSP (Certified Cloud Security Professional)
Ressourcen:
- AWS Security Documentation
- GCP Security Best Practices
- Kubernetes Security
- Kostenloses Kontingent der Cloud-Anbieter zum Üben
Weg 4: Security-Architektur
Sicherheit für Systeme und Organisationen entwerfen.
Was die Rolle umfasst:
- Entwurf sicherer Systemarchitekturen
- Sicherheitsstandards und -muster
- Bewertung und Auswahl von Sicherheitstechnologien
- Entwicklungsteams bei sicherem Design beraten
- Sicherheitsstrategie im Unternehmen
Berufsbezeichnungen:
- Security Architect
- Principal Security Engineer
- Security Solutions Architect
- Enterprise Security Architect
Zu entwickelnde Fähigkeiten:
- Systemdesign und Architektur
- Unternehmens-Sicherheits-Frameworks
- Netzwerksicherheitsdesign
- Identity-Architektur
- Sicherheitsökonomie und ROI
Zertifizierungen:
- SABSA (Sherwood Applied Business Security Architecture)
- TOGAF (The Open Group Architecture Framework)
- CISSP (Certified Information Systems Security Professional)
- Cloud-Architekturzertifizierungen
Weg: Dieser Weg wird typischerweise nach 5–10 Jahren in der Sicherheits- oder Entwicklungsbranche erreicht. Eine solide Grundlage in Entwicklung oder Infrastruktur ist erforderlich.
Weg 5: Governance, Risk und Compliance (GRC)
Schwerpunkt auf Sicherheitsmanagement und Compliance.
Was die Rolle umfasst:
- Risikobewertung und -management
- Compliance mit Standards (SOC 2, ISO 27001, PCI DSS)
- Richtlinienentwicklung und -pflege
- Audit-Management
- Drittanbieter-Risikomanagement
Berufsbezeichnungen:
- GRC Analyst
- Security Compliance Manager
- Risk Manager
- Security Program Manager
- IT Auditor
Zu entwickelnde Fähigkeiten:
- Tiefes Wissen über Compliance-Frameworks
- Audit-Vorbereitung und -Reaktion
- Risikoquantifizierung
- Richtlinienentwicklung
- Lieferantenbewertung
Zertifizierungen:
- CISA (Certified Information Systems Auditor)
- CRISC (Certified in Risk and Information Systems Control)
- CGEIT (Certified in Governance of Enterprise IT)
- CISM (Certified Information Security Manager)
Für wen es geeignet ist:
- Sie mögen Prozesse und Dokumentation
- Kommunikation und Organisation sind Ihre Stärken
- Weniger praktisch-technische Arbeit
Weg 6: Security-Führung
Sicherheitsteams leiten oder CISO werden.
Was die Rolle umfasst:
- Aufbau und Verwaltung von Sicherheitsteams
- Sicherheitsstrategie und Budget
- Kommunikation mit der Geschäftsführung
- Berichterstattung an den Vorstand (CISO)
- Leitung der Incident Response
Berufsbezeichnungen:
- Security Manager
- Director of Security
- Head of Security
- VP of Security
- CISO (Chief Information Security Officer)
Zu entwickelnde Fähigkeiten:
- Personalführung
- Budgetplanung und -begründung
- Kommunikation mit der Geschäftsführung
- Business-Alignment
- Krisenmanagement
Zertifizierungen:
- CISSP (grundlegend)
- CISM (Management-orientiert)
- MBA (für geschäftliche Glaubwürdigkeit)
- Programme für Führungskräfteweiterbildung
Weg: Erfordert typischerweise 10+ Jahre in der Sicherheitsbranche mit wachsender Führungsverantwortung. Viele CISOs haben Hintergründe in Entwicklung, Prüfwesen oder Beratung.
Weg 7: Security-Beratung
Als Berater mehrere Organisationen unterstützen.
Was die Rolle umfasst:
- Sicherheitsbewertungen und Audits
- Aufbau von Sicherheitsprogrammen für Kunden
- Penetrationstests (bei technischem Schwerpunkt)
- Compliance-Beratung
- Unterstützung bei der Incident Response
Berufsbezeichnungen:
- Security Consultant
- Principal Consultant
- Managing Consultant
- Practice Director
Vorteile:
- Vielfalt an Umgebungen und Herausforderungen
- Höheres Verdienstpotenzial (besonders als Selbstständiger)
- Breite Erfahrungssammlung
Nachteile:
- Reisen und Kundenanforderungen
- Druck durch Geschäftsentwicklung
- Weniger Tiefe in einer einzelnen Organisation
Weg: Big 4 (Deloitte, PwC, EY, KPMG), spezialisierte Sicherheitsfirmen oder selbstständige Praxis. Ein starkes Netzwerk und guter Ruf sind wichtig.
Zertifizierungen: Was sich lohnt
Nicht alle Zertifizierungen sind gleich. Hier ein praktischer Leitfaden:
Einstieg bis mittleres Niveau
| Zertifizierung | Schwerpunkt | Schwierigkeit | Wert | Kosten |
|---|---|---|---|---|
| CompTIA Security+ | Breite Sicherheitsgrundlagen | Mittel | Guter Einstiegspunkt | 392 $ |
| CEH | Grundlagen des Ethical Hacking | Mittel | Bekannt, aber veraltet | 1.199 $ |
| CySA+ | Sicherheitsanalyse | Mittel | Wachsende Anerkennung | 392 $ |
| AWS Security Specialty | AWS-Sicherheit | Mittel | Hoch bei AWS-Nutzung | 300 $ |
Mittleres bis Senior-Niveau
| Zertifizierung | Schwerpunkt | Schwierigkeit | Wert | Kosten |
|---|---|---|---|---|
| OSCP | Penetrationstests | Schwer | Hoch angesehen, praxisorientiert | 1.599 $ |
| CISSP | Breites Sicherheitsmanagement | Schwer | Industriestandard für Führung | 749 $ |
| CISM | Sicherheitsmanagement | Mittel | Wertvoll für Manager | 575 $+ |
| CCSP | Cloud-Sicherheit | Mittel | Wachsende Bedeutung | 599 $ |
| GIAC-Zertifizierungen | Verschiedene Spezialisierungen | Schwer | Hoch angesehen | 2.499–8.000 $+ |
Was wirklich zählt
-
Erfahrung schlägt Zertifizierungen. Ein Portfolio echter Arbeit ist wichtiger als Buchstaben hinter dem Namen.
-
CISSP ist der MBA der Sicherheitsbranche. Es öffnet Türen für Führungsrollen, macht Sie aber nicht technisch.
-
OSCP beweist, dass Sie hacken können. Respektiert, weil es eine praktische Prüfung ist, kein Multiple-Choice.
-
GIAC-Zertifizierungen sind teuer, aber tiefgehend. Die Schulung ist wertvoll; die Zertifizierung bestätigt die Schulung.
-
Cloud-Zertifizierungen werden immer wichtiger. AWS/GCP/Azure-Sicherheitsspezialisierungen sind die Investition wert.
-
Sammeln Sie keine Zertifizierungen. 3 bedeutungsvolle Zertifizierungen schlagen 10 Einstiegszertifizierungen.
Lernstrategie für Zertifizierungen
- Konzentrieren Sie sich auf eine auf einmal. Fokus schlägt Verzettelung.
- Nutzen Sie offizielle Schulungen. Besonders für GIAC (im Prüfungsgebühr enthalten).
- Übungsklausuren sind wichtig. Besonders für CISSP, OSCP.
- Lerngruppen helfen. Finden Sie andere, die sich auf dieselbe Zertifizierung vorbereiten.
- Arbeitgeberförderung. Viele Unternehmen zahlen für relevante Zertifizierungen.
Ihr Sicherheitsnetzwerk aufbauen
Kontakte beschleunigen Karrieren. So bauen Sie Ihr Netzwerk auf:
Online-Communities
| Community | Schwerpunkt | Link |
|---|---|---|
| OWASP | Anwendungssicherheit | owasp.org |
| ISC2 Community | Breite Sicherheitsthemen | community.isc2.org |
| Reddit r/netsec | Neuigkeiten und Diskussion | reddit.com/r/netsec |
| Security Twitter/X | Echtzeit-Diskussion | Sicherheitsforschern folgen |
| Discord-Server | Verschiedene (HackTheBox usw.) | Community-spezifisch |
| Lokale ISSA/ISACA-Kapitel | Berufsverbände | issa.org, isaca.org |
Konferenzen
| Konferenz | Schwerpunkt | Größe | Kosten |
|---|---|---|---|
| DEF CON | Hacking, Forschung | Groß | Günstig (~300–400 $ bar) |
| Black Hat | Unternehmenssicherheit | Groß | Teuer (2.500 $+) |
| BSides | Lokale Sicherheitscommunity | Klein–mittel | Günstig (oft kostenlos–50 $) |
| RSA Conference | Branche/Anbieter | Groß | Teuer (2.500 $+) |
| OWASP AppSec | Anwendungssicherheit | Mittel | Moderat |
| fwd:cloudsec | Cloud-Sicherheit | Mittel | Moderat |
Bestes Preis-Leistungs-Verhältnis für Networking: BSides-Veranstaltungen (lokal, erschwinglich, community-orientiert).
Sichtbarkeit aufbauen
Über Sicherheit schreiben:
- Blog-Beiträge über das Gelernte
- Zu OWASP-Projekten beitragen
- Für den Unternehmensblog schreiben
Über Sicherheit sprechen:
- Lokale Meetups (niedrige Einstiegshürde)
- BSides CFPs (wettbewerbsfähig, aber erreichbar)
- Interne Unternehmensvorträge (Übungsgelände)
Zu Open Source beitragen:
- Sicherheits-Tools
- Verbesserungen der Dokumentation
- Bug-Berichte und Fixes
In sozialen Medien teilen:
- LinkedIn-Artikel und Beiträge
- Twitter/X-Threads (falls Sie sich auf der Plattform wohlfühlen)
- Fragen auf Reddit oder Stack Overflow beantworten
Persönlicher Entwicklungsplan
Erstellen Sie eine Roadmap für Ihr Wachstum:
## Persönlicher Sicherheits-Entwicklungsplan
Name: [Ihr Name]
Current role: [Role]
Target: [Where you want to be in 2-3 years]
Date created: [Date]
Review date: [Date + 6 months]
### Current state
**Technical skills:**
- Strong: [List]
- Developing: [List]
- Gaps: [List]
**Certifications:**
- Held: [List]
- In progress: [List]
**Experience:**
- Years in security: [#]
- Key accomplishments: [List]
### Goals
**12-month goals:**
1. [Goal 1 with measurable outcome]
2. [Goal 2 with measurable outcome]
3. [Goal 3 with measurable outcome]
**24-month goals:**
1. [Goal 1]
2. [Goal 2]
### Action plan
**Q1:**
- [ ] [Action item]
- [ ] [Action item]
- [ ] Milestone: [What success looks like]
**Q2:**
- [ ] [Action item]
- [ ] [Action item]
- [ ] Milestone: [What success looks like]
**Q3:**
- [ ] [Action item]
- [ ] [Action item]
- [ ] Milestone: [What success looks like]
**Q4:**
- [ ] [Action item]
- [ ] [Action item]
- [ ] Milestone: [What success looks like]
### Resources needed
- Budget: $[amount] for certifications/training
- Time: [hours/week] for study/projects
- Support: [mentor, manager sponsorship, etc.]
### Tracking
| Date | Review notes | Adjustments made |
|------|--------------|------------------|
| | | |
Häufige Karrierefehler
-
Titel über Fähigkeiten stellen. „Security Architect" bei einem kleinen Unternehmen kann weniger bedeuten als „Security Engineer" bei einem Tech-Konzern. Konzentrieren Sie sich darauf, was Sie lernen werden.
-
Zertifizierungen horten. Jede verfügbare Zertifizierung zu machen, verwässert den Fokus. Wählen Sie diejenigen, die für Ihre Zielrolle wichtig sind.
-
Soft Skills ignorieren. Technische Tiefe ohne Kommunikationsfähigkeiten begrenzt das Karrierewachstum. Die besten Sicherheitsführungskräfte können mit Entwicklern und Führungskräften gleichermaßen sprechen.
-
Zu lange an einem Ort bleiben. 5+ Jahre in der gleichen Rolle ohne Wachstum signalisiert Stagnation. Entweder intern wachsen oder wechseln.
-
Zu schnell wechseln. Alle 6 Monate den Job zu wechseln macht keinen guten Eindruck. Bleiben Sie 2–3 Jahre, um Impact zu demonstrieren.
-
Das Netzwerk vernachlässigen. Jobs und Chancen kommen oft über Kontakte. Investieren Sie in Beziehungen.
-
Erfolge nicht dokumentieren. Wenn die Zeit für eine Beförderung kommt, können Sie sich nicht mehr an Ihre Leistungen erinnern. Führen Sie ein laufendes Protokoll.
-
Auf eine Beförderung warten. Machen Sie die Arbeit, die Sie wollen, und erhalten Sie dann den Titel. Warten Sie nicht auf Erlaubnis.
Wechsel in eine Security-Rolle
Wenn Sie vom Security Champion (Teilzeit) in die Sicherheitsbranche (Vollzeit) wechseln möchten:
Interner Wechsel
Vorteile:
- Bekannte Größe
- Bestehende Beziehungen
- Kenntnis des Unternehmens
Vorgehen:
- Interesse gegenüber Ihrem Vorgesetzten und der Sicherheitsleitung (falls vorhanden) ausdrücken
- Ihre Sicherheitsleistungen dokumentieren
- Eine Rolle oder erweiterte Verantwortlichkeiten vorschlagen
- Formales Budget/Headcount genehmigen lassen
- Verantwortlichkeiten schrittweise übergehen
Pitch: „Ich habe [X] Monate/Jahre als Sicherheitsansprechpartner unseres Unternehmens fungiert. Ich habe [Leistungen auflisten]. Ich würde das gerne in eine dedizierte Sicherheitsrolle formalisieren. Hier ist, worauf ich mich konzentrieren würde: [Prioritäten]. Hier ist der Impact: [erwartete Ergebnisse]."
Externer Wechsel
Wann extern suchen:
- Kein Raum für internes Wachstum
- Wunsch, einem dedizierten Sicherheitsteam beizutreten
- Andere Unternehmenskultur/Größenordnung gesucht
- Vergütung entspricht nicht dem Markt
Wie Sie sich positionieren:
- Mit Security-Champion-Erfahrung führen
- Impact quantifizieren (verhinderte Schwachstellen, aufgebaute Programme)
- Breite zeigen (technisch + Programmmanagement)
- Relevante Zertifizierungen/Schulungen hervorheben
Lebenslauf-Fokus:
## Security Experience
**Security Champion** | [Company] | [Dates]
- Built security review program covering 100% of production deployments
- Identified and remediated 47 vulnerabilities before production
- Developed and delivered secure coding training for 30 developers
- Led SOC 2 Type II certification effort (achieved in 6 months)
- Reduced critical vulnerability MTTR from 14 days to 3 days
**Key Projects:**
- Implemented SAST/DAST in CI/CD pipeline
- Designed and deployed secrets management solution
- Conducted threat modeling for 5 major product features
Vorbereitung auf Vorstellungsgespräche
Technische Bereiche zum Auffrischen:
- OWASP Top 10 (ausführlich)
- Bedrohungsmodellierung (bereit sein, am Whiteboard zu arbeiten)
- Sicherheitsaspekte Ihres Technologie-Stacks
- Aktuelle hochkarätige Schwachstellen
Verhaltensfragen vorbereiten:
- „Erzählen Sie mir von einer Situation, in der Sie ein unsicheres Design abgelehnt haben"
- „Wie balancieren Sie Sicherheit mit der Entwicklerproduktivität?"
- „Beschreiben Sie einen Sicherheitsvorfall, den Sie bearbeitet haben"
- „Wie priorisieren Sie Sicherheitsarbeit?"
Fragen, die Sie stellen sollten:
- „Wie sehen die ersten 90 Tage aus?"
- „Wie arbeitet das Sicherheitsteam mit den Entwicklungsteams zusammen?"
- „Wie ist die Beziehung des Sicherheitsteams zur Führungsebene?"
- „Was sind die größten Sicherheitsherausforderungen hier?"
Was kommt als Nächstes für Sie?
Die Rolle als Security Champion hat Sie auf mehrere Wege vorbereitet. Nehmen Sie sich Zeit zum Nachdenken:
-
Was gibt Ihnen Energie? Welche Teile der Sicherheitsarbeit begeistern Sie? Folgen Sie dieser Richtung.
-
Was ist Ihre 5-Jahres-Vision? Arbeiten Sie von dort rückwärts.
-
Wie hoch ist Ihre Risikobereitschaft? Startups vs. Großunternehmen? IC vs. Management?
-
Was ist Ihr Lernstil? Selbststudium vs. formelle Schulung? Praxisorientiert vs. konzeptuell?
-
Welche Kompromisse akzeptieren Sie? Geld vs. Lernen? Stabilität vs. Wachstum? Spezialisierung vs. Breite?
Workshop: Karriereentwicklungsplan
Teil 1: Selbsteinschätzung (1 Stunde)
- Aktuelle Fähigkeiten auflisten (technisch und Soft Skills)
- Lücken für die Zielrolle identifizieren
- Ihre Leistungen als Security Champion überprüfen
- Einschätzen, was Sie energetisiert und was Sie ermüdet
Ergebnis: Selbsteinschätzungsdokument
Teil 2: Zielrollen recherchieren (1 Stunde)
- Stellenausschreibungen für Rollen durchsuchen, die Sie interessieren
- Häufige Anforderungen notieren (Fähigkeiten, Zertifizierungen, Erfahrung)
- 3–5 Personen in diesen Rollen identifizieren (LinkedIn, Netzwerk)
- Falls möglich, Informationsgespräche anfragen
Ergebnis: Zusammenfassung der Zielrollenanforderungen
Teil 3: Entwicklungsplan erstellen (1 Stunde)
- Die Vorlage für den persönlichen Entwicklungsplan verwenden
- 12-Monats- und 24-Monats-Ziele festlegen
- Vierteljährliche Maßnahmen definieren
- Benötigte Ressourcen identifizieren
Ergebnis: Persönlicher Entwicklungsplan
Teil 4: Erste Schritte unternehmen (fortlaufend)
- Erste Maßnahme einplanen
- Jemanden über Ihre Ziele informieren (Accountability)
- Kalender-Erinnerungen für die Planüberprüfung setzen
Ergebnis: Erster Schritt unternommen, Accountability etabliert
Fazit
Sicherheit summiert sich. Jede Richtlinie, die Sie schreiben, jeder Entwickler, den Sie schulen, jeder Vorfall, den Sie sauber abschließen – all das baut sich auf. Die Organisation wird schwieriger anzugreifen. Sie werden besser in der Arbeit.
Sie haben diesen Kurs damit begonnen zu lernen, was ein Security Champion ist. Sie schließen ihn ab mit den Werkzeugen, um ein Programm zu leiten, eine Karriere aufzubauen und Entscheidungen zu treffen, die unter Druck standhalten. In welche Richtung Sie auch als Nächstes gehen – Sie starten nicht bei null.
Was kommt als Nächstes
Die Anhangabschnitte behandeln ISO 27001, SOC 2 und den Aufbau eines Sicherheitsteams – Referenzmaterial für den Moment, in dem Sie bereit sind zu skalieren. Oder kehren Sie zur Kursübersicht zurück.