Von der Bürokauffrau zur Cybersecurity-Expertin: Kira Groß-Bölting zeigt, wie der Quereinstieg in die Informationssicherheit gelingt.
IT-Sicherheit ist ein Zukunftsjob und das Ruhrgebiet bietet beste Chancen. Kira Groß-Bölting ist ein gutes Beispiel dafür: von der Bürokauffrau zur Deputy Head of CSIRT bei G DATA in Bochum. Im CSIRT geht es um Incident Response, Krisenmanagement bei Ransomware und IT-Forensik. Alles Aufgaben mit direktem Impact. Gefragt sind analytisches Denken, klare Kommunikation und Stressresistenz. Die Region ist Hotspot für diese Art der Zukunftsjobs: starke Arbeitgeber in Bochum, Essen und Dortmund, zentrale Lage und eine ehrliche Kultur. Dazu bietet die Ruhr-Universität Bochum erstklassige IT-Security- und Forensik-Studiengänge. Fazit: Wer in Cybersecurity durchstarten will – auch im Quereinstieg – findet im Ruhrpott optimale Bedingungen.
Kira, du bist als Deputy Head of CSIRT bei G Data tätig. Wie sah dein Werdegang aus und was hat dich zur Cybersicherheit geführt?
Mein Werdegang ist tatsächlich ziemlich verrückt! Ursprünglich hatte ich nämlich überhaupt nichts mit Cybersecurity zu tun. Nach meiner Ausbildung zur Bürokauffrau, bin ich vor neun Jahren bei G Data als Teamassistenz gestartet. Meine Leidenschaft für IT-Sicherheit hat sich dann erst entwickelt.
Damals haben wir eine Notfallhotline für Unternehmen eingerichtet, die einer Cyberattacke zum Opfer gefallen sind. Die Anrufe bei dieser Hotline sind bei mir als Teamassistenz eingegangen. Ich habe die Sorgen und Nöte der Kunden gehört und irgendwann hat es mich wahnsinnig frustriert, nicht mehr tun zu können, als Namen und Telefonnummern aufzunehmen. Die Kunden brauchten dringend Hilfe, und ich wollte helfen.
Das war die Motivation, mich intensiv mit dem Thema zu beschäftigen. Ich habe meinem Team wirklich jede Frage gestellt, die mir in den Kopf kam. Und das Tolle war: Niemand hat mich ausgelacht. Alle hatten Lust, mich abzuholen und mitzunehmen.
Wie entwickelte sich deine Karriere weiter?
Von der Teamassistenz bin ich zuerst ins Service Management für Incident Response und Security Monitoring gewechselt. Vor ungefähr drei Jahren bin ich dann, nach strukturellen Veränderungen des Computer Security Incident Response Team – kurz CSIRT – stellvertretende Teamleiterin geworden.
Neben der Teamleitung übernehme ich auch das Incident Management, also das Krisenmanagement in IT-Sicherheitsvorfällen. Wir sind tatsächlich auf großrahmige Vorfälle spezialisiert. Das bedeutet für uns: netzwerkweite Ausfälle bis hin zum kompletten Stillstand von Unternehmen. Diese Situationen begegnen uns nicht nur ein- oder zweimal im Jahr, sondern das ist unsere tägliche Arbeit.
CSIRT steht für Computer Security Incident Response Team und bezeichnet ein spezialisiertes Team, das IT-Sicherheitsvorfälle behandelt. CSIRTs koordinieren die Reaktion auf Cyberattacken, führen forensische Analysen durch und unterstützen bei der Wiederherstellung der IT-Systeme. Die von einem CSIRT angebotenen Dienste unterschieden sich je nach Unternehmen. Sie arbeiten sowohl präventiv als auch reaktiv und sind oft rund um die Uhr erreichbar.
Wie unterscheiden sich kleine und große Vorfälle?
Das ist relativ einfach zu unterscheiden: Ein kleiner Vorfall beeinträchtigt die Handlungs- und Betriebsfähigkeit des Unternehmens kaum oder gar nicht. Das kann eine Schwachstelle in der eingesetzten Software sein, ein schwaches Passwort auf einem Webserver oder die klassische Phishing-E-Mail, die geklickt wurde. Der Vorfall ist lokal begrenzt, auf einen Server oder einen Computer.
Ein großer Vorfall dagegen legt das Unternehmen komplett lahm, macht es handlungs- und betriebsunfähig. Oft handelt es sich dabei um Ransomware – das ist schädliche Software, auch Malware genannt. Dabei werden Server als auch Computer verschlüsselt, anschließend erfolgt eine Lösegeldforderung für die Entschlüsselung. Kurz gesagt: digitale Erpressung.
Kannst du den Ablauf schildern, wenn ein kritischer Cyber-Vorfall bei euch gemeldet wird?
Das läuft sehr strukturiert ab. Anrufe gehen zuerst in unserem Servicecenter ein, das die Anfragen vorfiltert. Die Kolleginnen und Kollegen nehmen die wichtigsten Informationen auf: Name, Telefonnummer und ein Stichwort zum Vorfall. Dann wird der Fall zu uns ins CSIRT weitergeleitet.
Mein Teamleiter, ein Kollege aus dem Krisenmanagement oder ich rufen dann zurück und machen eine detaillierte Lageeinschätzung: Was ist passiert? Wie schlimm ist der Vorfall? Welche Ressourcen brauchen wir? Wie können wir helfen? Im Hinterkopf läuft bei mir dabei schon ab: Haben wir gerade überhaupt Zeit dafür? Ist das etwas, wo wir dem Kunden sinnvoll helfen können, oder kann er sich vielleicht sogar besser selbst helfen? Welche Unterstützung braucht er wirklich?
Wir übernehmen in einer Incident Response auch die Kommunikation mit den Strafverfolgungsbehörden und erarbeiten Wiederanlaufpläne. Das Besondere bei uns: Wir arbeiten mit einer effizienten Dreier-Konstellation. Eine Person ist der Single Point of Contact für den Kunden, das Krisenmanagement. Dann haben wir die IT-Forensik, die sich auf die technische Auswertung des Angriffs konzentriert. Und wir haben sogar ein eigenes Malware-Analyse-Labor, das weitere Erkenntnisse zu Schadsoftware liefert.
In vielen anderen Unternehmen macht oft eine Person alles gleichzeitig und bearbeitet mehrere Fälle parallel. Bei großen Fällen sind dezidierte Ressourcen nötig, sonst dauert die Vorfallbewältigung einfach zu lange.
Cyber-Angriffe entwickeln sich ständig weiter. Wie bleibt ihr auf dem neuesten Stand?
Wir gehen viel auf Konferenzen, sowohl als Vortragende als auch als Zuhörende. Das Team informiert sich aktiv, wir machen Schulungen und sind Mitglied im FIRST – das ist ein weltweiter Zusammenschluss von Incident Response Teams. Zudem arbeiten wir sehr eng mit Strafverfolgungsbehörden zusammen und bekommen dadurch einen super Informationskanal mit aktuellen Entwicklungen.
Interessant ist: Die Angriffsmethoden sind tatsächlich relativ stabil, gerade im Ransomware-Bereich. Das ist ein schnelllebiges Geschäft. Die Angreifer leben davon, schwache Infrastrukturen mit wenig Widerstand anzugreifen. Wir haben sogar schon gesehen, dass Angriffe abgebrochen wurden, weil die Verteidigungsmaßnahmen der Unternehmen so gut waren, dass der Angriff nicht mehr lukrativ genug war. Das zeigt: Gute Vorbereitung zahlt sich aus!
Ein Deputy Head of CSIRT (Computer Security Incident Response Team) leitet stellvertretend ein Team, das Cyberangriffe erkennt, untersucht und abwehrt.
Die Aufgaben umfassen:
Die wichtigsten Fähigkeiten sind:
Diese Karriereschritte & Qualifikationen sind möglich:
Das Ruhrgebiet ist ein wachsender IT-Standort. Welche Vorteile bietet die Region Fachkräften in diesem Bereich – und wie profitierst du persönlich davon?
Ich bin ein echtes Ruhrpottkind und kann mir ehrlich gesagt gar nicht vorstellen, von hier wegzugehen! Ich liebe die Mentalität der Menschen hier. Sie ist ehrlich, manchmal hart, aber genau das hilft. Auch bei der Bearbeitung von Cybervorfällen. Wir bekommen oft das Feedback von Unternehmen: „Sie sind die Ersten, die uns wirklich klar auf den Kopf sagen, was hier gerade Sache ist, womit wir rechnen und wie wir vorgehen müssen."
Und die Region selbst hat sich wirklich zur modernen Wissenschafts- und Wirtschaftsregion entwickelt. Allein die Ruhr-Universität Bochum mitten im Herzen von Bochum macht einen riesigen Unterschied! Die RUB war eine der ersten Hochschulen, die explizite IT-Security- und forensische Studiengänge angeboten hat. Die Absolventinnen und Absolventen haben eine gute Basis und können leicht in die praktische Arbeit einsteigen.
Außerdem die zentrale Lage: Von hier aus bist du superschnell in alle Richtungen unterwegs, überall in Deutschland. Und es ist immer was los! Auch die Entwicklung der ansässigen IT-Unternehmen zeigt, dass das Ruhrgebiet da einen ganzen Schritt voraus ist.
Bilder: G Data
