Vorstellungsgespräch als Cyber Security Spezialist: Diese 10 Fragen können Sie erwarten

Sie möchten im Bereich Informationssicherheit bzw. IT Security arbeiten? Eine sehr gute Wahl! Sicherlich werden Sie recht schnell einen Job finden. Warum? Die Bedrohungslage nimmt von Tag zu Tag zu. Besonders Unternehmen befinden sich in einer Art “Cyberwar”. Ihre Systeme werden von Hobby-Hackern und professionellen Angreifern - den sogenannten Cybergangstern oder Cyberkriminellen - attackiert.

Ein Großteil der deutschen Unternehmen waren schon Opfer von Cyberangriffen, manche Firmen traf es bereits mehrfach. Bei ihnen hat man die Arbeitsrechner gesperrt, Produktionsanlagen stillgelegt und/oder geheime Daten gestohlen. Der Schaden für eine erfolgreiche IT Kompromittierung geht je nach Intensität in die Zehntausende oder schlimmstenfalls in die Millionen Euro. Darin eingerechnet sind meist gar nicht periphere Kosten wie Reputations- oder Image-Schäden.
 

Als Experte für Cyber Security unterstützen Sie Organisationen und Unternehmen dabei, die IT Infrastrukturen präventiv oder reaktiv abzusichern - je nachdem, worauf Sie sich fokussieren. Den Cyber Security Spezialisten gibt es ja eigentlich nicht. In den letzten Jahren entstanden zahlreiche Job-Titel.

So verkleinern Sie als Profi für Systemhärtung die Angriffsflächen durch spezielle Konfigurationen, als Penetration Tester suchen Sie gezielt nach Schwachstellen und nach einer erfolgreichen Attacken kommen Sie als IT Forensiker zum Einsatz. Dementsprechend ist es schwer zu verallgemeinern, wie ein typisches Vorstellungsgespräch für einen Job im Bereich Cyber Security abläuft.

Nichtsdestotrotz bieten wir Ihnen hier ein paar typische Fragen, die Ihnen bei einer Bewerbung gestellt werden könnten. Und wir erläutern Ihnen, welche Intention jeweils dahintersteckt.

“Warum interessieren Sie sich für einen Job im Bereich der Cyber Security?”

Sind Sie per Zufall in der IT Security gelandet oder verfolgen Sie einen Karriereplan? Ist das Absichern von Systemlandschaften eine Passion von Ihnen oder führen Sie einfach nur einen Job aus? Diese und ähnliche Fragen stellt sich ein Recruiter. Er möchte wissen, was Ihr Antrieb ist und ob Sie damit in das Unternehmen passen.

Stellen Sie deshalb klar dar, was Sie antreibt. Vielleicht mögen Sie es, mit den Hackern eine Art Katz-und-Maus-Spiel zu spielen, aus dem Sie als Sieger hervorgehen möchten? Oder Sie finden den analytischen Part Ihres Jobs spannend, da er Ihre mathematischen Kompetenzen herausfordert? Oder lockt Sie nur das gute Gehalt? Werden Sie sich vor dem Gespräch über Ihre Motive klar und überlegen Sie sich, wie Sie sie darstellen.
 

“Welche Fachgebiete der IT Security beherrschen Sie besonders gut?”

Jedes Unternehmen möchte wissen, was Sie genau können und wo Sie sich am besten einsetzen lassen. Nicht anders sieht es im Bereich der Cyber Security aus. Personalverantwortlichen wie auch IT Leitern ist klar, dass kaum ein Bewerber alle Aspekte der immer komplexer werdenden Informationssicherheit abdecken kann.

Das bedeutet für Sie: Sie brauchen sich nicht als “Tausendsassa” darstellen oder gar Skills erfinden. Sagen Sie ganz konkret, in welchem Fachgebiet Sie sich bestens auskennen und welche peripheren Themen Sie beherrschen. Und nennen Sie ebenso ganz konkret die IT Security Bereiche, in denen Sie sich gar nicht auskennen.
 

“Wie würden Sie Ihrem Großvater Ihren Job erklären?”

Bei dieser Frage geht es nicht wirklich darum, wie Sie einem Familienmitglied Ihren Beruf erläutern. Vielmehr möchte der Fragesteller zum einen wissen, ob Sie ein klares Bild von Ihrem Job-Profil haben. 

Zum anderen zielt die Frage darauf ab, ob Sie komplizierte Themen und Zusammenhänge möglichst einfach und verständlich erklären können. Gelingt Ihnen das nicht, zeigen Sie Defizite in der Kommunikation. Eine gute Kommunikation ist aber in Ihrem Bereich sehr wichtig, besonders wenn Sie Maßnahmen gegen Cyberangriffe der Chefetage oder Kunden erklären müssen.
 

“Was bedeutet für Sie Informationssicherheit?”

Diese Frage ist im Gegensatz zur vorherigen deutlich spezifischer. Der Fragesteller möchte damit herausfinden, ob Sie die drei Grundsätze der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit von Informationen) kennen und auch kurz und prägnant erläutern können.

Sollten Ihnen die Grundsätze gar nicht oder nur teilweise geläufig sein, zeigt das, dass Sie Ihren Job nur oberflächlich oder zu fokussiert angehen. Doch die IT Security ist ein Bestandteil der weiter gefassten Informationssicherheit. Um Ihre Position ausfüllen zu können, müssen Sie nicht nur Ihren Fachbereich, sondern auch das “Big Picture” kennen.
 

“Welche Security-Frameworks kennen und nutzen Sie?

Nun geht es ans Eingemachte. Ihr Gegenüber möchte konkret wissen, wie Sie arbeiten - und damit auch, wie professionell Sie vorgehen. Da die Cyber Security ein sehr weitreichendes und auch komplexes Feld ist, sollten Sie bei Ihrer täglichen Arbeit auf verschiedene Frameworks und Standards setzen. Diese ermöglichen ein strukturiertes Vorgehen.

Punkten Sie bei der Frage, indem Sie zum Beispiel NIST, ISO27001, COBIT, CIS Controls oder MITRE ATT&CK nennen. Erläutern Sie, die aus Ihrer Sicht jeweiligen Vor- und Nachteile. Und bringen Sie Beispiele, wann und wie Sie die Frameworks verwenden.
 

“Wie würden Sie als Hacker ein IT System eines Unternehmens angreifen?”

Um in der IT Security erfolgreich zu sein, müssen Sie sich in die Lage der Angreifer versetzen können. Nur wenn Sie wissen, wie ein Hacker denkt und welche Mittel ihm zur Verfügung stehen, ergreifen Sie passende Gegenmaßnahmen.

Mit der Frage wird auch überprüft, ob Sie sich mit den verschiedenen Arten von Attacken auskennen. Fachbegriffe wie Phishing, Cross Site Scripting, Denial of Service, Ransomware oder Man-in-the-Middle sollten nun aus Ihnen heraussprudeln.

Auch mit dieser Frage wird geklärt, ob Sie einen reinen Fokus auf Ihr Fachgebiet haben oder ob Sie die Informationssicherheit aus einem weiteren Blickwinkel betrachten. Klar, als Spezialist für MDR-Systeme werden Sie sicherlich diese Lösungen in den Mittelpunkt rücken und darüber ausführlich reden. Trotzdem sollten Sie ebenso andere Maßnahmen kennen.

Im Idealfall betrachten Sie das Gebiet der Cyber Security stets holistisch, nämlich nach dem Dreiklang aus Prävention, Detektion und Reaktion. Damit wissen Sie, dass Sie stets auf andere IT Security Experten angewiesen sind, um ein System dauerhaft bestmöglich zu schützen.
 

“Haben Sie schon einmal von … gehört?”

Dies ist eine klar spezifische Fachfrage, die Ihnen wahrscheinlich Ihr potentieller Vorgesetzter stellt. Er möchte damit wissen, ob Sie ein gewisses Tool, ein Framework, einen Vorfall, eine Angriffs- oder Verteidigungsmethode kennen. Beispielsweise könnte er sich nach Mimikatz, Emotet oder Print Nightmare erkundigen.

Zielt die Frage nicht direkt auf Ihr Cyber Security Fachgebiet, möchte der Fragesteller herausfinden, ob Sie die einschlägigen Medien und somit Trends in Ihrer Branche verfolgen. Das ist eminent wichtig, denn die Welt der IT Security dreht sich extrem schnell weiter. Sie haben stets up to date zu sein, um Ihren Job professionell ausführen zu können.
 

“Was war Ihre bislang schwierigste Herausforderung? Wie haben Sie sie gelöst”

Die meisten Recruiter haben ein klar strukturiertes Vorgehen in einem Bewerbungsgespräch. So wenden Sie häufig die STAR-Methode an. Das Akronym steht für Situation, Task, Action und Result. Damit soll herausgefunden werden, wie Sie arbeiten und Probleme angehen.

Ist ein IT Security Experte bei Ihrem Vorstellungsgespräch anwesend, interessiert ihn das methodische Vorgehen und ihre Lösung gleichermaßen. Durch Ihre Antworten erfährt er, ob der Eindruck, den Sie bislang vermittelt haben, stimmt oder eher nicht.
 

“Welche Veränderungen werden Ihrer Meinung nach die Cyber Security in den kommenden Jahren verändern?”

Wie sehr beschäftigen Sie sich mit der aktuellen Cyber Security Situation? Wie tief sind Sie in anderen IT Gebieten drin und verknüpfen diese mit der Informationssicherheit? Machen Sie sich Gedanken über die Zukunft Ihres Jobs? Oder haben Sie gar klare Vorstellungen davon, was auf Sie zukommt?

Diese und weitere Hintergründe stecken in der oben genannten Frage. Man möchte damit erkennen, ob und inwieweit Ihnen klar ist, dass Sie in Ihrem Beruf niemals einen Stillstand gibt. Tagtäglich kommen neue Bedrohungen auf, die Sie als IT Security Profi im Blick haben müssen.
 

Fazit: Bereiten Sie sich richtig vor!

Sie haben zwar sehr gute Job-Aussichten als Cyber Security Spezialist, trotzdem sollten Sie sich nicht unvorbereitet in ein Vorstellungsgespräch stürzen. Gehen Sie unsere IT Security Fragen durch und überlegen Sie sich die für Sie passenden Antworten. Finden Sie “schwarze Flecken”, die Sie bislang nur schwer bis gar nicht beantworten können.

Kurz gesagt: Nehmen Sie Ihre Bewerbung ernst und bereiten Sie sich professionell darauf vor. Damit erhöhen sich Ihre Chancen, dass Sie schnell und reibungslos Ihren Traumjob ergattern können.

Bilder: Adobe Stock, GDV