Cybersicherheit ist keine Geheimwissenschaft und vieles, was Unternehmen für ausreichend halten, schützt im Ernstfall nicht. Aber kein Grund zur Panik: Wer Threat-Informed Defense konsequent anwendet, ist auf der sicheren Seite.

Roundtable | 24.Juli 2025 | 11:00 Uhr | Online (60 Min.)

Deine Sicherheitsstrategie ist nur so stark wie dein Wissen über den Gegner. Wer verstehen will, wie Angreifer wirklich vorgehen und wo das eigene Unternehmen angreifbar ist bekommt beim carmasec Roundtable genau das: wertvolle Insights, keine Buzzwords und die 10 häufigsten Schwachstellen.

Sichere dir echtes Angreiferwissen und Quick-Wins für deinen Security-Alltag.

Das erwartet dich:

• Ein anderer Blick auf deine IT-Security und wie man Budgets zielführender einsetzen kann
• Wie man Cybersecurity Maßnahmen besser und realitätsnäher priorisiert
• Kompakte Impulse von Ethical Hackern & Security-Expert:innen
• Strategie- und Praxis-Tipps zu Angreifer-Taktiken, Schwachstellenpriorisierung und Verteidigungslogik
• Quick-Wins zur Verbesserung deiner Sicherheitslage, sofort umsetzbar für dich und dein Team
• Offene Diskussionsrunde mit anderen IT- und Security-Profis aus verschiedenen Branchen

Jetzt registrieren

Für wen ist das Event gemacht?

Für alle, die Cybersecurity nicht nur verwalten, sondern gestalten möchten. Egal, ob du strategisch entscheidest oder tief in der Technik steckst – wenn du Verantwortung für Sicherheit trägst und wissen willst, was im Ernstfall wirklich schützt, bist du hier richtig.

Warum du dich jetzt anmelden solltest?

Um den intensiven Austausch und die besondere Atmosphäre zu gewährleisten, ist die Teilnehmerzahl begrenzt. Registriere dich jetzt und sichere dir einen der limitierten Plätze für diesen exklusiven Roundtable.

Jetzt registrieren

Know how aus der Praxis
Unsere Expert:innen, Pascal Waffenschmitt und Timm Börgers, geben dir konkrete Beispiele, Tipps und hilfreiche Learnings aus dem Alltag der Angreifenden.

Content Snacks für deine Cybersecurity
Keine langen Slides, kein Monolog, sondern klare Antworten auf echte Fragen.

Netzwerk erweitern & mitdenken
Tausche dich mit IT- und Security-Expert:innen aus verschiedenen Branchen aus. Wenn du willst, lernst du beim offenen Austausch neue Perspektiven kennen oder bleibst fokussiert im Deep Dive.

Passwörter sind bis heute die am weitesten verbreitete Methode zum Schutz digitaler Zugänge. Doch in der heutigen Zeit werden sie zunehmend zur Schwachstelle: Phishing, Datenlecks, Brute-Force-Angriffe und die Wiederverwendung von Passwörtern lassen herkömmliche Authentifizierungssysteme immer mehr zum Sicherheitsrisiko werden.

Passwörter stellen zudem eine organisatorische Belastung dar – von den wiederkehrenden IT-Support-Anfragen bis hin zur Durchsetzung komplexer Passwort-Richtlinien und dem aufwändigen Einsatz von Passwortmanagern.

Mehr Sicherheit, mehr Komfort: Deshalb sind Passkeys die bessere Wahl für dein Unternehmen

Passkeys gewinnen als sichere und komfortable Alternative zu klassischen Passwörtern zunehmend an Popularität. Sie werden von großen Technologieplattformen wie Google, Apple und Microsoft aktiv unterstützt und auch immer mehr SaaS-Lösungen und Business-Tools integrieren Passkeys nativ in ihre Anwendungen. Prognosen gehen davon aus, dass Passkeys in den nächsten Jahren zum Standard in der Authentifizierung werden.

Was sind Passkeys und wie funktionieren sie?

Passkeys basieren auf der Public-Key-Kryptografie. Die Technologie ist erprobt und bietet ein hohes Maß an Sicherheit. Anstelle eines Passworts wird ein digitales Schlüsselpaar verwendet:

1. Der private Schlüssel wird sicher auf dem Gerät des Nutzers gespeichert.
2. Der öffentliche Schlüssel verbleibt beim Dienstanbieter.

Bei der Anmeldung erzeugt der Dienstanbieter eine kryptografische Challenge, die mit dem privaten Schlüssel signiert wird. Der öffentliche Schlüssel überprüft die Signatur und gewährt bei Übereinstimmung den Zugriff.

Warum sind Passkeys sicherer als herkömmliche Passwörter?

• Keine zentrale Speicherung: Passkeys eliminieren das Risiko von Datenlecks, da sensible Informationen wie Passwörter nicht in zentralen Datenbanken gespeichert werden müssen.
• Phishing-Resistenz: Selbst wenn Nutzer auf gefälschte Webseiten gelangen, können Passkeys nicht abgefangen oder missbraucht werden.
• Schutz vor Man-in-the-Middle-Angriffen: Die kryptografische Signatur verhindert, dass sich Angreifer zwischen Nutzer und Dienstanbieter schalten können.

Warum sind Passkeys benutzerfreundlicher?

• Kein Passwort merken oder eingeben: Passkeys eliminieren die Notwendigkeit, sich komplexe Passwörter zu merken oder manuell einzugeben, da die Authentifizierung automatisch über das Gerät erfolgt.
• Schnelle und einfache Anmeldung: Die Anmeldung erfolgt über eine biometrische Bestätigung (Gesichtserkennung, Fingerabdruck) oder eine einfache PIN, wodurch der Anmeldevorgang deutlich beschleunigt wird.
• Automatische Synchronisierung: Passkeys werden sicher auf dem Gerät gespeichert und können über vertrauenswürdige Cloud-Dienste plattformübergreifend synchronisiert werden, so dass sie jederzeit verfügbar sind.

Passkeys und Compliance

• DSGVO-Konformität: Passkeys unterstützen Unternehmen bei der Einhaltung der DSGVO, da keine persönlichen Passwörter gespeichert werden.
• Einhaltung von Sicherheitsstandards: Durch den Einsatz von Passkeys werden Standards wie ISO 27001 in den Bereichen Authentifizierung und Zugangskontrolle unterstützt.
• Branchenspezifische Vorteile: Besonders Branchen mit hohen Sicherheitsanforderungen wie der Finanzsektor oder das Gesundheitswesen profitieren von den Sicherheitsvorteilen der Passkeys.

Indem du auf Passkeys wechselst, kannst du Sicherheitsrisiken reduzieren, Kosten senken und den Arbeitsalltag deiner Kolleg:innen vereinfachen.

Du möchtest wissen, wie Passkeys deine IT-Sicherheit verbessern können?

Lass uns drüber sprechen!

Wie kannst du Passkeys erfolgreich in dein Unternehmen integrieren?

Die Einführung von Passkeys erfordert eine durchdachte Strategie, um technische Hürden zu überwinden und die Nutzerakzeptanz zu fördern. Wichtige Aspekte sind dabei:

Technische Integration:
Ältere Systeme unterstützen oft keine passwortlose Authentifizierung. Hier können Middleware-Systeme helfen, Passkeys in bestehende IT-Umgebungen einzubinden. Langfristig empfiehlt sich der Aufbau einer FIDO2-kompatiblen Infrastruktur.

Interoperabilität:
Passkeys müssen auf unterschiedlichen Geräten und Plattformen nahtlos funktionieren. Standards wie FIDO2 und die Unterstützung großer Anbieter erleichtern die Umsetzung.

Nutzerakzeptanz:
Viele Nutzer empfinden den neuen Login-Prozess anfangs als „zu einfach“ und unsicher. Hier hilft eine klare Kommunikation und Aufklärung über die Vorteile von Passkeys, z.B. in Form von regelmäßigen Schulungen.

Backup-Lösungen:
Passkeys sind oft gerätegebunden – Dein Unternehmen sollte hierfür Alternativen bereitstellen. Möglichkeiten hierfür sind Zweitgeräte, Recovery-Codes oder Cloud-Synchronisierung.

Eine Hybridlösung aus Passkeys und klassischen Authentifizierungsverfahren kann den Übergang erleichtern und die Sicherheit schrittweise erhöhen.

Unser Fazit: Passkeys sind ein strategischer Vorteil für dein Unternehmen

Passkeys bieten Unternehmen klare strategische Vorteile in der modernen Authentifizierung:

1. Höhere Sicherheit & Compliance: Passkeys minimieren Cyberrisiken, erleichtern die Einhaltung von Compliance-Vorgaben und schützen Unternehmen vor Cyber-Bedrohungen.
2. Kostensenkung & Effizienz: Weniger Passwort-Resets entlasten den IT-Support, sparen Kosten und steigern die Produktivität, da Mitarbeitende nicht durch vergessene Passwörter ausgebremst werden.
3. Einfache Implementierung ohne zusätzliche Kosten: Passkeys funktionieren mit vorhandener Hardware wie Laptops und Smartphones, so dass keine teuren Hardware- oder Software-Token benötigt werden.

Für IT-Leiter und CISOs ist die Einführung von Passkeys eine strategische Entscheidung, um das Unternehmen langfristig abzusichern. Sie reduzieren Angriffsflächen, verbessern die Benutzerfreundlichkeit und sorgen für eine zukunftssichere Authentifizierungsstrategie.

Ausblick: Die Zukunft ist passwortfrei

Die Entwicklung geht eindeutig in Richtung einer durchgängigen, passwortlosen Identifikation. Unternehmen, die frühzeitig auf Passkeys setzen, profitieren von erhöhter Sicherheit, reduzierten IT-Kosten und einer verbesserten Nutzerfahrung. Passwortlose Accounts werden bald Standard sein – und Passkeys sind der Schlüssel zu dieser Zukunft.

Wie sieht die Passkeys-Strategie für dein Unternehmen aus?

Möchtest du mehr über Passkey und die Integration in deine Systeme wissen?

Lass uns über Deine Anforderungen sprechen.

Ein Abend, bei dem der offene Austausch im Mittelpunkt steht.
Am 26. Juni 2025 treffen sich in Köln Menschen aus der IT Security mit unterschiedlichen Hintergründen. Was sie verbindet, ist die geteilte Überzeugung, voneinander zu lernen, Themen offen zu besprechen und persönliche Kontakte zu vertiefen.

Tauche ein in die Welt der Cybersicherheit und werde Teil einer wachsenden Community.
Beim nächsten friends of carmasec Event erwarten dich anregende Gespräche, neue Denkanstöße und viele Gelegenheiten, dich mit anderen zu vernetzen – in einer offenen und persönlichen Atmosphäre..

Ablauf:

Ablauf:

18:00 Uhr: Treffen und Networking in unseren Büroräumen
18:45 Uhr: Gemeinsamer Wechsel in ein Restaurant (Details folgen)
19:00 Uhr: Abendessen und Austausch in entspannter Atmosphäre

Was erwartet dich bei unseren Events?

Unsere Treffen sind die perfekte Gelegenheit, um:

• Dich mit Cyber Security-Expert:innen und Gleichgesinnten auszutauschen.
• Neue Perspektiven und Impulse für Deine Arbeit zu gewinnen.
• Wertvolle Kontakte in einer Community zu knüpfen, die bereits über 100 Mitglieder zählt.

Sicherheit, die funktioniert – Strategien, Best Practices und Fehler, die du vermeiden solltest

Die Cloud bietet viele Chancen – wenn man sie sicher nutzt. Ohne klare Regeln und Schutzmaßnahmen entstehen Sicherheitslücken, hohe Kosten oder Datenverluste.

In unserer Webinarreihe erfährst du, wie du die AWS Cloud von Grund auf sicher aufbaust, typische Fehler vermeidest und deine Cloud-Strategie nachhaltig absicherst.

AWS Cloud Security Essentials Teil 2:
Compliance & Cloud Governance

Datum: 19.03.2025
Uhrzeit: 11:00 – 11:45 Uhr
Speaker: Senior Security Consultant Dominik Sturm

Wie sorgst du in Deiner AWS Cloud für Governance und Compliance?

Viele Unternehmen denken: „Die Cloud Service Provider kümmern sich um Sicherheit, ich muss nichts tun.“ Doch ohne klare Prozesse und Regeln kann es schnell kritisch werden.

In diesem Webinar erfährst du:

• Welche Compliance-Vorgaben du auch in der Cloud beachten musst
• Wie du den für dein Unternehmen passenden Cloud Dienstleister findest
• Wie du dein Unternehmen vor Datenverlust schützt
• Warum Backups und eine Exit-Strategie wichtig sind

Dein Mehrwert:

Wir zeigen, wie du Verantwortlichkeiten klärst und vermeidest, dass dir Sicherheitsrisiken oder rechtliche Probleme später auf die Füße fallen.

Sicherheit, die funktioniert – Strategien, Best Practices und Fehler, die du vermeiden solltest

Die Cloud bietet viele Chancen – wenn man sie sicher nutzt. Ohne klare Regeln und Schutzmaßnahmen entstehen Sicherheitslücken, hohe Kosten oder Datenverluste.

In unserer Webinarreihe erfährst du, wie Du die AWS Cloud von Grund auf sicher aufbaust, typische Fehler vermeidest und deine Cloud-Strategie nachhaltig absicherst.

AWS Cloud Security Essentials Teil 1:
Wie baue ich eine sichere AWS-Umgebung auf?

Datum: 05.03.2025
Uhrzeit: 11:00 – 11:45 Uhr
Speaker: Information Security Consultant Robin Südkamp

Viele Unternehmen nutzen AWS, ohne sich Gedanken über Sicherheit zu machen. In diesem Webinar erklären wir, was eine Landing Zone ist, wie du Managed Services integrierst und mit welchen Tools du eine stabile, sichere Cloud Umgebung aufbaust.

Das nimmst du mit:

• Wie eine klare Cloud-Architektur aussieht
• Welche Sicherheitsmechanismen du von Anfang an brauchst
• Wie du Security Tools richtig einrichtest

Dein Mehrwert:

Lerne Strategien und Tools kennen, mit denen du deine AWS Cloud von Anfang an sicher gestaltest.

Sicherheit, die funktioniert – Strategien, Best Practices und Fehler, die du vermeiden solltest

Die Cloud bietet viele Chancen – wenn man sie sicher nutzt. Ohne klare Regeln und Schutzmaßnahmen entstehen Sicherheitslücken, hohe Kosten oder Datenverluste.

In unserer Webinarreihe erfährst du, wie du die AWS Cloud von Grund auf sicher aufbaust, typische Fehler vermeidest und deine Cloud-Strategie nachhaltig absicherst.

AWS Cloud Security Essentials Teil 3:
Risks, Fuckups & Best Practices

Datum: 02.04.2025
Uhrzeit: 11:00 – 11:45 Uhr
Speaker: Senior Security Consultant Patrick Brooks

Welche Fehler können in der AWS-Cloud passieren – und wie kannst du sie verhindern?

Viele Unternehmen stolpern über die gleichen Probleme:

• Zu viele Berechtigungen → Ungewollte Sicherheitslücken
• Falsch konfigurierte Dienste → Teure Überraschungen
• Unklare Verantwortlichkeiten → Sicherheitsrisiken

Dein Mehrwert:

Wir zeigen dir anhand realer Fälle, was in der AWS Cloud schiefgehen kann – und wie du es von Anfang an besser machst.
Mit Hilfe einer Live Demo und unseren Best Practices weißt du, wie du deine AWS-Umgebung absicherst und typische Fehler vermeidest.

Das Jahr 2025 beginnt mit einer der bedeutendsten Änderungen im Bereich Cybersicherheit: Die EU-Richtlinie NIS 2 steht kurz vor der Einführung – und sie bringt eine Menge Pflichten für Unternehmen mit sich. Was bedeutet das für dich? Ganz einfach: Es ist höchste Zeit, zu handeln!

Dir fehlt der Überblick? Unser 15-minütiges LinkedIn Live am 05.02.2025 liefert dir die Orientierung, die du jetzt brauchst. Dominik Sturm, Senior Security Consultant bei carmasec, präsentiert dir den aktuellen Stand der EU-Richtlinie und zeigt dir, wie du sie effizient in deinem Unternehmen umsetzen kannst.

Warum du bei unserem Webinar dabei sein solltest

Wir wissen, dass deine Zeit wertvoll ist. Deswegen ist dieses LinkedIn Live kurz, knackig und direkt auf den Punkt gebracht:

• Was steht im Gesetz? Der aktuelle Stand der NIS 2-Umsetzung und was wirklich relevant ist.
• Bist du betroffen? Erfahre, welche Unternehmen unter die Regelung fallen und was das konkret bedeutet.
• Weniger Aufwand, mehr Wirkung: Tipps, wie du auf bestehende Sicherheitsmaßnahmen wie dein ISMS oder ISO 27001-Zertifizierungen clever aufsetzt, um effizient NIS 2-compliant zu werden.
• Fragen zur Umsetzung? Du kannst deine Herausforderungen live schildern und bekommst Antworten direkt vom Experten.
• Keine Kosten! Das Webinar ist zudem kostenfrei – du kannst dich ohne Verpflichtungen und unnötigen Aufwand einfach auf LinkedIn dazuschalten.

Dein Experte: Senior Security Consultant Dominik Sturm

Save the Date

• Datum: 05.02.2025
• Uhrzeit: 11:00 Uhr
• Dauer: 15 Minuten

Hast du bereits Fragen zur NIS 2? Schreib sie in die Kommentare unseres LinkedIn-Events oder stelle sie direkt live. Dominik wird sich die Zeit nehmen, deine Fragen während des Events persönlich zu beantworten.

Betreiber kritischer Infrastrukturen (KRITIS) müssen Informationssicherheit strukturiert umsetzen. Wir wurden von einem führenden Lebensmittelversorger, der als kritische Infrastruktur gilt, beauftragt, die Implementierung der KRITIS-Anforderungen zu begleiten.
Diese Case Study beleuchtet den Weg des Unternehmens von den ersten Schritten bis zur finalen Umsetzung der KRITIS-Anforderungen.

Deshalb legten sie den Fokus zunächst auf die Erfüllung des KRITIS-Anforderungskatalogs und dem Nachweis der KRITIS-Fähigkeit. Eine mögliche Zertifizierung nach ISO 27001 wurde für die Zukunft aber nicht ausgeschlossen. Ein Vorteil von KRITIS: Die Anforderungen sind im Vergleich zu anderen IT Security Frameworks wie die ISO 27001 oder der BSI IT-Grundschutz weniger umfangreich und können daher schneller umgesetzt werden. Gleichzeitig stellt die KRITIS-Fähigkeit einen wesentlichen Schritt in Richtung einer ISO 27001-Zertifizierung dar.

Die Herausforderung

Unsere Kollegen stellten sich dabei zwei großen Herausforderungen:

• Die Erstellung und Dokumentation der für das ISMS notwendigen Unterlagen
• Die Definition und Umsetzung von notwendigen Prozessen

Die Mitarbeitenden unseres Kunden hatten häufig wenig Zeit und kein ausreichendes Gesamtverständnis für die Beschreibung und Umsetzung der Prozesse. Dies betraf neben der im Fokus stehenden IT-Abteilung auch verschiedene andere Organisationsbereiche wie z.B. das Facility Management, Personal und den Einkauf.

Zudem gibt es im Unternehmen einen kritischen Fachkräftemangel, der den Projektfortschritt beeinträchtigen konnte. Unsere Kollegen, die zunächst nur beratend tätig sein sollten, wurden daher mit konkreten Aufgaben in das Projekt eingebunden, um das Unternehmen auch operativ zu unterstützen.

So haben wir die KRITIS-Anforderungen umgesetzt

Aufbau des ISMS und Dokumentation:

Unsere Berater haben gemeinsam mit dem Unternehmen ein ISMS aufgebaut und alle notwendigen Dokumentationen erstellt, abgestimmt und nach Freigabe für die Kommunikation im Unternehmen gesorgt. Dabei definierten wir die notwendigen Leitlinien und Richtlinien, um die Anforderungen des KRITIS-Katalogs zu erfüllen.

Beratung und Prozessimplementierung:

Till Bormann übernahm als kommissarischer Informationssicherheitsbeauftragter (ISB) und Projektleiter für die KRITIS-Nachweisführung die Verantwortung für die Umsetzung des ISMS. Er bereitete das Unternehmen auf das anstehende Assessment vor und führte simulierte Prüfungen durch, um die Mitarbeitenden zu schulen und Unsicherheiten auszuräumen.

Dokumentation und Unterstützung der IT-Mitarbeitenden:

Dennis Miara verantwortete die Dokumentation der Prozesse. Er half den IT-Mitarbeitenden, den Kontext der Anforderungen besser zu verstehen, Pain Points zu identifizieren und die notwendigen Anpassungen vorzunehmen. Zudem haben unsere Kollegen das IT-Betriebshandbuch (BHB) von Grund auf neu gestaltet und umfassend ergänzt. Insbesondere wurden wesentliche Verbesserungspotenziale der Informationstechnik identifiziert und für die anstehende Prüfung vorbereitet.

Aktive Einbindung und Wissenstransfer:

Ein wesentlicher Bestandteil unserer Arbeit war die aktive Einbindung der Mitarbeitenden in den Umsetzungsprozess. Durch kontinuierliche Beratung und Schulung konnten wir das Verständnis für die Relevanz der einzelnen Aktivitäten und Anforderungen verbessern. Zudem führten unsere Kollegen Workshops zu übergreifenden Themen wie beispielsweise Risikomanagement oder Incident Management durch.

Erfolge und Ausblick

Durch die enge Zusammenarbeit und unsere operative Unterstützung konnten wir unseren Kunden erfolgreich zur KRITIS-Fähigkeit führen. Die Einführung des ISMS und die Erfüllung des KRITIS-Anforderungskatalogs bilden nun eine solide Grundlage für die spätere ISO 27001-Zertifizierung oder die Umsetzung weiterer regulatorische Vorgaben wie NIS-2, das KRITIS-Dachgesetz oder andere Resilienz-Anforderungen.

Lessons Learned

Zeitmanagement:

Die Einführung eines ISMS benötigt Zeit und Ressourcen. Die frühzeitige Einbindung, das Coaching sowie die konsequente Zielausrichtung mit der notwendigen Priorisierung der Mitarbeitenden sind entscheidend für den Erfolg.

Fachkräftemangel:

Der Einsatz von externen Expert:innen kann kritische Engpässe überbrücken und den Wissenstransfer sicherstellen. Mittelfristig ist es für Unternehmen sinnvoll, mit Hilfe unserer Consultants interne Ansprechpartner:innen zu schulen und aufzubauen.

Prozesse und Dokumentation:

Zur Erfüllung der KRITIS-Anforderungen sind klar definierte Prozesse und eine umfassende Dokumentation unerlässlich. Dieser Punkt stellt häufig eine besondere Herausforderung dar, da im Unternehmen neben der Zeit auch nicht selten auch das Verständnis für die Prozessbeschreibung fehlt.

Fazit

Der Weg von „Zero to Hero“ in der IT-Sicherheit erfordert von Unternehmen eine sorgfältige Planung, umfassende Dokumentation, kontinuierliche Projektunterstützung und konsequente Arbeit an der Umsetzung sowie die aktive Einbindung der Mitarbeiter. Unser Ansatz, die KRITIS-Anforderungen als Vorstufe zur ISO 27001-Zertifizierung zu nutzen, hat sich bewährt und bietet eine praktikable Lösung für Unternehmen, die ihre IT-Sicherheitsmaßnahmen effizient und zielgerichtet umsetzen wollen.

Suchst du Informationen zur Umsetzung von KRITIS oder dem Aufbau eines ISMS in deinem Unternehmen?

Hier findest du eine Übersicht über unsere Leistungen im Bereich IT-GRC

Unser Team besteht aus vielen unterschiedlichen Charakteren mit spannenden Karrierewegen. Heute stellen wir Euch unsere Kollegin Stefanie Koß vor. Im Interview sprachen wir mit dem Multitalent über ihren Karriereweg, den Wechsel aus der Wissenschaft in die Beratung und fragten, was sie antreibt.

Generell interessierte ich mich dafür, wie Dinge funktionieren. In letzter Zeit habe ich mich mehr mit dem Küchenbau beschäftigt. Ich hatte immer mehr Ideen, wie die Küche besser nach meinen Wünschen gebaut werden könnte und wollte diese auch selbst umsetzen können. Ähnlich verhält es sich mit meinem Fahrrad, das ich gerne als Fortbewegungsmittel benutze und gelegentlich reparieren muss. Außerdem spiele ich sehr gerne Gesellschaftsspiele mit meinen Freund:innen und singe gerne im Chor.

Wie bist du zur IT-Sicherheit gekommen?

Eigentlich durch einen Zufall. Ich habe mein Informatikstudium in Aachen mit einem Master abgeschlossen. Während des Studiums habe ich mich hauptsächlich mit Themen der theoretischen Informatik beschäftigt. Meinen ersten Kontakt zur IT-Sicherheit hatte ich während eines Auslandssemesters in Edinburgh. Dort belegte ich das Fach Computer Security. Besonders begeisterten mich die vielen praktischen Übungen. Nach dem Studium nahm ich zunächst eine Stelle am Fraunhofer-Institut für Sichere Informationstechnologie an. Dort arbeitete ich unter anderem an der Weiterentwicklung und Optimierung eines Schwachstellenscanners, der mittels statischer Analyse Sicherheitslücken in Android-Apps und Java-Anwendungen findet – mein Interesse an der IT-Security war geweckt.

Was hat dich dazu bewogen in die Industrie zu gehen?

Ich wollte neue Erfahrungen sammeln, vor allem eigene Projekte entwickeln und mit unterschiedlichen Menschen zusammenarbeiten. Am Anfang wusste ich nicht genau, in welche Richtung ich gehen wollte. Ich konnte mir mehrere Möglichkeiten vorstellen: Softwareentwicklerin, etwas explizit mit IT-Sicherheit oder sogar eine Lehrtätigkeit.

Wie hast du deine Entscheidung schlussendlich getroffen?

Ich habe mich im Internet informiert und bin auf den Beruf des Consultant gestoßen. Das hat mir sofort gefallen, weil ich an verschiedenen Kundenprojekten arbeiten und unterschiedliche Branchen kennenlernen kann. Außerdem suchte ich einen Job, den ich mit meinem Interesse für IT-Sicherheit und Projektmanagement verbinden konnte.

Wieso hast du dich für die carmasec entschieden?

Bei carmasec kann ich mich nach meinen Wünschen weiterentwickeln und an verschiedenen Themen arbeiten. Als Beraterin finde ich es wichtig, dass man nicht einfach irgendeinen Kunden oder irgendein Projekt zugeteilt bekommt, sondern dass es zu einem passt und einen interessiert. Genau das bekomme ich hier geboten.

Weißt du schon, was die Zukunft für dich bereithält?

Aktuell habe ich noch keine langfristigen Pläne. Im Moment konzentriere ich mich weiterhin auf das Projektmanagement. Ich kann mir aber auch vorstellen, Abschlussarbeiten zu betreuen und möchte mich auch noch tiefer in das Informationssicherheitsmanagement einarbeiten. Generell möchte ich noch viel lernen und sehen.

Wir beschäftigen uns viel mit dem Thema Diversität und wir wissen bereits, dass Frauen in technischen Berufen unterrepräsentiert sind. Gibt es negative Erfahrungen die du machen musstest?

Bisher habe ich keine großen negativen Erfahrungen gemacht. Ich finde es aber schade, wenn veraltete Phrasen wie “die Jungs aus der IT” verwendet werden. Damit werden definitiv nicht alle Menschen angesprochen und das vermittelt ein falsches Bild. Ich habe auch schon erlebt, dass manche Leute ihren normalen Sprachgebrauch ändern, nur weil ich im Raum bin. Mein Tipp: Wenn Ihr wollt, dass sich die Personen in Eurem Umfeld mit Euch wohlfühlen, reflektiert gelegentlich Euren eigenen Sprachgebrauch.

Danke für das Interview!