Die Kombination aus IT-Sicherheit und dem Öffentlichen Sektor sind für Julian Bonin, IT-Security Consultant bei msg, ein Perfect Match. Warum das so ist und was ihn an seinem Job begeistert, erklärt er im Interview. Außerdem räumt er mit falschen Vorstellungen über sein Aufgabenfeld auf und berichtet, wie sein Einstieg als Trainee bei msg ablief.
Was reizt dich an der Kombination aus IT-Sicherheit und Public Sector?
Mein Interesse an IT-Sicherheit wurde durch eine Statistik-Vorlesung mit dem Titel „Seitenkanalangriffe gegen IT-Systeme“ während meines Wirtschaftsmathematikstudiums an der Technischen Universität Darmstadt geweckt. Das war ein so spannendes Thema, dass ich mich weiter in diese Richtung spezialisiert habe. Für mich stand dann auch schnell fest, dass ich nach meinem Masterabschluss gerne im IT-Security-Umfeld arbeiten möchte. Allerdings habe ich nicht gezielt nach Stellen im Public Sector gesucht.
Inzwischen bin ich aber sehr glücklich als IT-Security Consultant bei msg im Public Sector zu arbeiten. Denn in meinem Job tue ich auch etwas Gutes für die Gesellschaft, da alle Bürger Berührungspunkte zur öffentlichen Verwaltung haben. Außerdem finde ich es spannend, dass gerade bei der Digitalisierung der öffentlichen Verwaltung einiges in Bewegung ist und ich das mitgestalten kann.
Nach deinem Masterabschluss bist du vor dreieinhalb Jahren als IT-Security Consultant bei msg eingestiegen. Was hat dich an msg überzeugt?
Im Bewerbungsgespräch hatte ich direkt das Gefühl, dass msg sehr fair mit seinen Mitarbeitern umgeht. Die Rahmenbedingungen beispielsweise hinsichtlich Überstundenregelung, Gleitzeit oder Gehaltsmodell haben bei mir einen überzeugenden Eindruck hinterlassen. Ein weiterer Grund war das Traineeprogramm PROFESSIONAL START von msg.
Wie ist das Traineeprogramm von msg aufgebaut? Was ist daran besonders?
Die Trainees kommen aus verschiedenen Geschäftsbereichen von msg und durchlaufen das Programm, das sich über 18 Monate erstreckt, gemeinsam. Es gliedert sich in zwei Phasen: Der erste Teil dauert zwei Monate und ist eine reine Trainingsphase. In dieser Zeit habe ich diverse Schulungen an verschiedenen msg-Standorten besucht. So bin ich viel herumgekommen und konnte die msg-Welt kennenlernen. In dieser ersten Phase haben wir außerdem eine Case Study gemacht. Ich musste mit meinen Trainee-Kollegen gemeinsam eine Handy-App programmieren. Der krönende Abschluss war die Ergebnispräsentation vor zahlreichen Führungskräften.
Und wie läuft die zweite Phase des Traineeprogramms ab?
Ab diesem Zeitpunkt wurde ich in die normale Projektarbeit eingebunden und von erfahrenen Kollegen eingearbeitet. Zusätzlich hatte ich noch ein Budget von 100 Credit Points, die ich für weitere Schulungen einsetzen konnte. Aus einem speziellen Schulungskatalog konnte ich mir die Fortbildungen und Trainings individuell zusammenstellen, die ich in den restlichen 16 Monaten des Traineeprogramms besuchen wollte. Die Bandbreite der Schulungen reicht von Soft Skills-Trainings bis hin zu fachlichen Schulungen speziell für den Bereich Public Sector.
Was hast du aus dem Traineeprogramm persönlich mitgenommen?
Die Kontakte, die man zu anderen Trainees knüpft, sind für mich der wichtigste Aspekt. In der intensiven Schulungszeit der ersten Phase haben wir fast die ganze Woche miteinander verbracht – das schweißt bis heute zusammen. Außerdem haben die vielfältigen Inhalte meine Weiterentwicklung unterstützt, in fachlicher und persönlicher Hinsicht. Besonders in Erinnerung geblieben ist mir die Schulung zum Thema Auftragsklärung. Diese Inhalte wende ich bis heute in meinem Job an.
Vermutlich geht es in deinem Job nicht darum, sich testweise in Behördensysteme zu hacken, um mögliche Schwachstellen zu identifizieren. Daher die Frage: Was sind die Aufgaben im Job eines IT-Security Consultants?
Nein, wir hacken uns nicht in Anwendungen von öffentlichen Behörden. Tatsächlich ist meine Arbeit sehr beratungsintensiv und weniger techniknah, als vermutlich viele Menschen denken. Programmieren ist eher ein kleinerer Teil meiner Arbeit. Unsere Aufgabe besteht meistens darin, ein Informationssicherheitsmanagementsystem (ISMS) beim Kunden aufzubauen oder ein Sicherheitskonzept für einen bestimmten Bereich, beispielsweise für eine Anwendung oder Plattform zu erstellen. Hierfür wenden wir Standards wie den IT-Grundschutz oder die ISO 27001 an. Neben öffentlichen Behörden gehören auch sogenannte KRITIS-Betreiber zu unseren Kunden. Das sind Unternehmen, die für die Gesellschaft kritische Dienstleistungen erbringen, wie beispielsweise Wasser- und Stromversorger. Einen Teil unserer Arbeit erledigen wir remote, aber unsere Ergebnisse präsentieren wir dem Kunden dann vor Ort. Seit der Coronakrise arbeiten wir inzwischen für die meisten Kunden ausschließlich remote.
Weitere Informationen zum Traineeprogramm von msg erhalten Sie auf der Website unter PROFESSIONAL START.
Kannst du an einem Beispiel einen Projektverlauf skizzieren?
Wir arbeiten in der Regel an mehreren Projekten parallel. Ich kann gerne einen Projektverlauf am Beispiel der Erstellung eines Sicherheitskonzepts erläutern. Zu Beginn stellt uns der Kunde die Anwendung vor, die abgesichert werden soll, und wir erläutern ihm die IT-Grundschutzmethodik. Dann wird mit dem Kunden die genaue Struktur aufgenommen. Hier werden beispielsweise folgende Fragen thematisiert: Welche Geschäftsprozesse gilt es zu schützen? Auf welchen IT-Systemen laufen die Anwendungen? Wie sind sie miteinander vernetzt?
Im Anschluss daran führen wir eine Schutzbedarfsfeststellung durch. Hier überlegen wir mit dem Kunden, wie schutzbedürftig die Daten sind, die mit der Anwendung verarbeitet werden. Im nächsten Schritt bestimmen wir die Anforderungen, die unserer Meinung nach erfüllt sein müssen, damit die Systeme ausreichend abgesichert sind. Die Erfüllung dieser Anforderungen wird dann durch Befragung der zuständigen Ansprechpartner beim Kunden geprüft. Wenn wir feststellen, dass an manchen Stellen erhöhter Schutzbedarf besteht, kann ergänzend noch eine Risikoanalyse gemacht werden. Am Ende werden die noch zu erfüllenden Maßnahmen in einen Umsetzungsplan überführt und alle Ergebnisse in einem Sicherheitskonzept dokumentiert.
Und welche Aspekte gefallen dir besonders gut an deinem Job als IT-Security Consultant bei msg?
Zum einen schätze ich es, dass ich meinen Arbeitsalltag selbst organisieren und eigenverantwortlich arbeiten kann. Einmal in der Woche habe ich ein Meeting mit meinem Chef, in dem wir uns über den Zwischenstand und die anstehenden Aufgaben abstimmen. Außerdem finde ich es spannend, wenn ich Methoden und Vorgehensweisen selbst konzipieren kann. Die Standards, die wir in den Projekten anwenden, geben einen gewissen Rahmen vor, lassen einem aber zugleich auch Freiraum. Als Mathematiker gefällt mir auch der Analyseaspekt meiner Arbeit, wie beispielsweise große IT-Strukturen zu analysieren. Positiv hervorzuheben ist auch die Zusammenarbeit mit den Kollegen. Ich habe wirklich nette Kollegen, mit denen ich vor der Coronakrise auch gerne nach der Arbeit etwas unternommen habe.
Aktuelle Einstiegsmöglichkeiten und offene Stellenangebote gibt es unter: karriere.msg.group
… und mehr Beiträge zu und über msg systems gibt es auf dem Arbeitgeberprofil!