Zum Hauptinhalt springen

"Bei Cyber befassen wir uns nicht nur mit Technik, sondern auch mit dem Faktor Mensch."

Nach fünfjähriger Pause ist Clemens wieder zurück bei Deloitte – heute erzählt er von seinem Wiedereinstieg und weist auf die Bedeutsamkeit des Bereichs Cyber hin.

Hallo, ich bin Clemens und Senior Manager im Bereich Cyber & Strategic Risk innerhalb von Risk Advisory.
In meinem Blog berichte ich euch über meine spannenden Tätigkeiten im Team und meinen bisherigen Karriereweg, bei dem Deloitte eine wichtige Rolle gespielt hat. 

Hallo Clemens. Du bist im Bereich Cyber & Strategic Risk innerhalb von Risk Advisory tätig. Was sind dort konkret deine Aufgaben?
Ich bin im Bereich der Beratung des öffentlichen Sektors tätig. Hier konzentriere ich mich auf unsere große Bundesverwaltung mit ihren vielen Ministerien und nachgeordneten Behörden. Die Digitalisierung schreitet auch hier konstant voran und ein hohes Informationssicherheitsniveau ist ganz wesentlich für deren Erfolg.

Regierungen müssen durch die disruptive geopolitische Landschaft navigieren. Gleichzeitig steigt die Komplexität der technischen Architekturen, Geschäftsprozesse und Anwendungen. Ein Beispiel ist das durch die Pandemie und das Remote-Working beschleunigte Aufbrechen des klassischen Sicherheitsperimeters, bei der sich Organisationen und Behörden hinter ihren Firewalls verschanzen wie in einer Burg. Innerhalb des Perimeters wird den Akteur:innen vertraut, außerhalb nicht. Benötigt werden inzwischen aber moderne Ansätze, mit denen man einzelne Datenzugriffe risikobasiert verifiziert, ob nun von innen oder von außen. Schließlich fahren Mitarbeiter:innen immer seltener in die Burg der gesicherten Bürogebäude mit der dortigen IT-Infrastruktur und arbeiten stattdessen aus der Ferne. Dieser Sicherheitsansatz des Zero Trust ist nur ein Beispiel neben vielen anderen. Cyber-Projekte sind oft abwechslungsreich und herausfordernd. Selbst im Kerngeschäft wie der Modernisierung der Sicherheitskonzepte der Kundenbehörden sind die jeweiligen Herausforderungen unterschiedlich. Von daher bin ich froh, dass neben der Projektsteuerung auch die Projektarbeit zu meinen Aufgaben gehört.

Um Projekte im öffentlichen Sektor überhaupt erst zu gewinnen, sind wir mit teilweise sehr komplexen Ausschreibungsverfahren konfrontiert. Ein weiterer Teil meiner Aufgaben ist es, Ausschreibungen zu evaluieren, entsprechende Kolleg:innen für die Projektteams zu suchen, an den eigentlichen Angeboten und zugehörigen Konzepten zu arbeiten oder in Abstimmung mit anderen Deloitte-Teams oder Unterauftragnehmer:innen die bestmögliche Lösung für das Angebot und den Kunden zu suchen.

Wie bist du ursprünglich zu Deloitte gekommen und in welchem Bereich warst du damals tätig?
Ich war schon immer an Technik interessiert und daran, wie diese genau funktioniert. Wenn man sie gut verstanden hat, ist es auch sehr spannend, zu betrachten, welche Angriffswege es gibt und was Schutzziele wie Vertraulichkeit, Verfügbarkeit und Integrität negativ beeinflussen kann. Aus diesem Grund habe ich Informatik studiert und Sicherheitstechnologien erforscht, implementiert und experimentell evaluiert.

Zu Deloitte bin ich im Jahr 2014 gestoßen – ganz klassisch über eine Bewerbung. Angesprochen hat mich hier das vielseitige Aufgabenspektrum und die Möglichkeit, für große Unternehmen an Cyber-Projekten zu arbeiten. Nach sehr angenehmen Gesprächen landete ich im damaligen Bereich Enterprise Risk Services. Dieser ging dann nach Umstrukturierungen in der heutigen Risk Advisory auf, in der ich auch aktuell wieder arbeite.

Damals hatte ich mit der Finanzdienstleistungsbranche noch einen anderen Sektor-Schwerpunkt. Für eine Bank habe ich beispielsweise mit meinem Team IT-Security-Audits für eine hohe Anzahl von Rechtsberatungsdienstleistern durchgeführt. Dies war wegen der internationalen Arbeit mit dem Scope einer mir weniger bekannten Branche sehr interessant.

Nach fünfjähriger Pause bist du im Juli 2022 zu Deloitte zurückgekehrt. Was hast du in der Zwischenzeit gemacht?
Ich bin dem Thema Cyber treu geblieben und war beim Bundesamt für Sicherheit in der Informationstechnik (BSI), der Cyber-Sicherheitsbehörde des Bundes.

Dort beriet ich in Projekten der Bundesverwaltung sowohl auf strategischer als auch operativer Ebene, insbesondere beim Großprojekt IT-Konsolidierung Bund. Die IT des Bundes wird hier gebündelt und standardisiert. Bei der damit einhergehenden Risikoaggregation auf wenige Rechenzentren, Netze, Betriebsplattformen und Dienste – z.B. Bundesclient oder E-Akte – ist deren Absicherung von hoher Bedeutung. Dabei durfte ich Arbeiten des BSI fachbereichsübergreifend koordinieren, vertrat das BSI in verschiedenen Arbeitsgruppen und wirkte an Erarbeitung und Bewertung zahlreicher Dokumente auf unterschiedlichsten Abstraktionsniveaus mit.

Ein Schwerpunkt war meine Arbeit als Vertreter des BSI im Informationssicherheitsmanagementteam zur Erarbeitung und Umsetzung der Informationssicherheitsrichtlinie der IT-Konsolidierung Bund. Für den komplexen Verbund aus (Netz-)Dienstleistern, Kundenbehörden, BSI und zugehörigen Ministerien waren neue Vorgaben und Prozesse der Zusammenarbeit nötig. Beispielsweise müssen Risikoinformationen der diversen Stakeholder identifiziert, koordiniert, gesammelt und ausgewertet sowie auf der passenden Ebene zielgruppengerecht einer Entscheidung zugeführt werden.

Bei Cyber befassen wir uns nicht nur mit Technik, sondern auch mit dem Faktor Mensch.

Welche deiner Erfahrungen beim BSI sind jetzt für deine Arbeit im Bereich Cyber & Strategic Risk besonders wertvoll?
Das BSI ist eine fachlich arbeitende Behörde mit vielen sehr kompetenten Cyber-Expert:innen. Oft übte ich eine Brückenfunktion zwischen den Fachreferaten des BSI und externen Stakeholdern aus. So konnte ich in viele interessante Themen Einblicke gewinnen, von Geheimschutz bis Lagezentrumsarbeit. Da die IT-Konsolidierung des Bundes ein so zentrales Vorhaben ist, konnte ich Gremienarbeit, Abstimmungen, Entscheidungsfindungsprozesse und die Arbeitsweise der Verwaltung von innen heraus kennenlernen. Vor meiner Zeit beim BSI wusste ich auf jeden Fall nicht, was ein „Sprechzettel“ ist oder wie ein „Vermerk“ genutzt wird. Diese Erfahrungen sind, neben der geschärften fachlichen Expertise, auch für meine Arbeit bei Deloitte für den öffentlichen Sektor hilfreich.

Prägend waren weiterhin die Bedeutung und der potenzielle Mehrwert der Projekte für Staat und Gesellschaft. Beispielsweise war ich an der sicherheitstechnischen Prüfung und Bewertung des Gesamtsystems der "Corona-Warn-App" im Frühjahr 2020, zu Beginn der Pandemie, beteiligt. Meine besondere Wertschätzung für den öffentlichen Sektor und dessen wichtige Funktion habe ich während meiner Zeit beim BSI entdeckt.

Wie können wir uns deinen Wiedereinstieg bei Deloitte konkret vorstellen?
Ich wurde über LinkedIn von einer Personalagentur kontaktiert. Anknüpfungspunkt war also nicht, wie man vielleicht denken könnte, ein alter Kontakt. Bei meinem darauffolgenden Gespräch mit Deloitte war dann aber schon eine ehemalige Kollegin dabei. In insgesamt zwei Interviews haben wir dann geschaut, ob es für beide Seiten zusammenpasst. Hier war mir als Vater von zwei Kindern im Kita-Alter unter anderem die Vereinbarkeit von Familie und Beruf wichtig. Durch die Pandemie hat sich hier einiges verändert und man ist als Berater:in nicht mehr so viel vor Ort beim Kunden wie früher.

Schlussendlich haben mich die Rahmenbedingungen zu Deloitte zurückgezogen. Ausschlaggebend war auch, dass der expandierende Cyber-Bereich immer mehr den Fokus auf den öffentlichen Sektor legt. Die Entscheidung ist mir aber nicht ganz leichtgefallen, denn beim BSI hat es mir gut gefallen. Aber ich bin überzeugt, dass man auch in der externen Beratung viel Gutes für Staat und Gesellschaft bewegen kann.

Ich wurde dann herzlich zurückempfangen und habe in den ersten Wochen neue und alte Kolleg:innen wiedergetroffen. Hier war schön, dass das auch bei Team-Events wieder möglich war! Ansonsten musste ich ein paar neue Systeme und Abläufe erlernen, da sich in den letzten fünf Jahren einiges bewegt hat. Zum Glück muss man nun Reisekostenabrechnungen nicht mehr per Post verschicken. 😉 Vieles habe ich aber auch wiedererkannt, was den Wiedereinstieg erleichtert und beschleunigt hat.

Was schätzt du an Deloitte als Arbeitgeber besonders?
Gleich geblieben ist die tolle und kollegiale Deloitte-Kultur. Das ist wichtig – Arbeit und Umfeld sollten Spaß machen, was zum Glück der Fall ist. Einzigartig ist darüber hinaus der Zugriff auf das globale Deloitte-Netzwerk. Mit über 400.000 Kolleg:innen hat man für fachliche Themen internationale Ansprechpartner:innen und Unterlagen. Für viele Fragestellungen finden sich Kolleg:innen, die etwas Vergleichbares schon mal für Kunden oder interne Projekte realisiert haben. Und zur Fortbildung finden sich viele gute Kurse online, die ich gerne zwischendurch nutze. Außerdem schätze ich das eigenverantwortliche Arbeiten und dass ich Beruf und Familie gut vereinbaren kann. So kann ich beispielsweise fast immer die Kinder in der Früh in die Kita bringen.

Gibt es etwas, was du Bewerber:innen, die in dein Team einsteigen wollen, empfehlen würdest?
Gute Basis ist ein ehrliches Interesse am Thema Cyber und am öffentlichen Sektor sowie eine hohe Lernbereitschaft. Bei Cyber dreht sich die Welt der Anforderungen, Technologien, Prozesse und Bedrohungen vielleicht noch schneller als in anderen Bereichen. Das Thema hat unglaublich viele Facetten. Wir befassen uns nicht nur mit der Technik, sondern der Faktor Mensch spielt ebenfalls eine ganz wesentliche Rolle für uns.

Ganz allgemein, auch im Freundeskreis oder in der Familie, würde ich Cyber immer als interessante und zukunftssichere Karrieremöglichkeit empfehlen. Es gibt nicht viele derartige Bereiche, die von so hoher Bedeutung und mit so vielen Karrieremöglichkeiten verbunden sind. Cyber ist einfach unglaublich interessant und wir freuen uns immer über Bewerbungen und Austausch.