Ruhr-Uni-Bochum
HGI

Interview mit ITS-Alumni Kevin Kloft

Im Interview spricht er über seine Studienzeit, den Weg zum ersten Job und seine aktuellen Tätigkeitsschwerpunkte.

Foto Kevin Kloft

Copyright: carmasec

Kevin Kloft ist Absolvent der RUB und arbeitet heute als Security Solutions Architect bei der Beratungsboutique für Cybersicherheit carmasec in Köln.

Erzähl mal von deiner Studienzeit: Warum hast du dich für das Studium an der RUB entschieden? Welche Themen haben dich besonders interessiert? Wem würdest du das Studium heute empfehlen?
Für die RUB habe ich mich entschieden, weil sie als beste Universität Europas für das Studium der IT-Sicherheit gilt. Auch die Themenauswahl hat mich damals zu meiner Entscheidung bewogen: Von Netzwerksicherheit bis hin zu Kryptografie enthält der Studienplan eine sehr gute Auswahl an fachlichen Schwerpunkten, auf die ich heute in meinem Job häufig zurückgreife.

Während des Studiums haben mich insbesondere die Themen Network Security und Systemsicherheit interessiert – zwei Fachbereiche, in denen sich heute auch mein Arbeitsalltag bewegt. Grundsätzlich würde ich das Studium jedem empfehlen, der Interesse an Informationssicherheit und IT-Security hat. Die große Bandbreite an Security-Themen erschließt Absolventen viele mögliche Berufszweige, in deren Richtung sie sich nach dem Studium orientieren können.

Was würdest du heutigen RUB-Studierenden bezüglich der Themenwahl bei ihrer Abschlussarbeit mit auf den Weg geben?
Mein erster und wichtigster Tipp ist: Nehmt euch bei der Auswahl eurer Abschlussthemen Zeit und startet mit der Suche nicht erst auf den letzten Drücker. Ich habe meinen eigenen Rat damals nicht befolgt und musste mich für ein Thema im Bereich Hardware-Security entscheiden. Das war ok, andere Themen hätten mir aber deutlich mehr Spaß gemacht.

Das ist auch mein zweiter Tipp: Sucht euch einen Bereich, der euch wirklich interessiert. Eventuell entwickelt ihr sogar eine eigene Idee für ein Projekt oder eine Arbeit.

Dann – und das ist mein dritter Tipp – macht euch auf die Suche nach einer Partnerfirma, die eure Abschlussarbeit betreut und begleitet. So arbeitet ihr direkt an einem Projekt mit Praxisbezug, knüpft erste Kontakte in die Industrie und habt die Chance, auch abseits eures Themas in die Berufswelt hineinzuschnuppern.

Was waren deine ersten Schritte nach dem Abschluss? Nach welchen Kriterien hast du deinen ersten Job ausgewählt?
Mein erster Schritt war die Wahl meiner Wunsch-Stadt: Köln. Ich wusste bereits im Studium relativ genau, dass ich in die IT Security-Beratung mit technischem Schwerpunkt gehen wollte, also habe ich mich in Köln und Umgebung nach entsprechenden Stellen umgesehen und mich beworben. Da IT Security-Experten aktuell überall gesucht werden, kann diese Vorgehensweise nach wie vor gut funktionieren.

Ich habe mich heute auf die Themen Cloud und Container Security sowie DevSecOps spezialisiert. Aufgrund des Studiums kann ich mit diesen Schwerpunkten umgehen, ohne mich weiter einarbeiten zu müssen.

Du arbeitest als Security Solutions Architect bei carmasec. Was genau machst du da?
Ich bin IT Security-Berater und werde damit zu großen Teilen direkt in Kundenprojekten eingesetzt. In 50 Prozent meiner Zeit bin ich im direkten Kund*innenkontakt, plane Projekte und schule Mitarbeitende. Die restliche Zeit verbringe ich mit der Umsetzung von Projekten, der Lösung von Herausforderungen und meiner eigenen Weiterbildung.

Meine Themenschwerpunkte sind hierbei Cloud Security und DevSecOps. Ich sichte für meine Kund*innen vornehmlich Cloud Architekturen von großen Service Providern wie Azure, AWS und GCP und bewerte den Einsatz von Security Services. Dabei achte ich nicht nur darauf, dass Best Practices der Service Provider angewandt werden. Ich prüfe die Cloud Umgebungen und auch die Anwendung der von meinen Kunden definierten Richtlinien und Standards.

Zudem beschäftige ich mich mit der Frage, wie Cloud Architekturen vor dem Deployment auf Sicherheit geprüft werden können. Dazu baue ich automatisierte Pipelines, die den entsprechenden Infrastruktur-Code (IaC – Infrastructure as Code) auf Sicherheitsfehler überprüfen. Zudem setzen wir das Konzept “Policy as Code” (PaC) ein, um automatisiert den Code gegen die bestehenden Richtlinien zu prüfen. Besonders spannend finde ich dabei, dass auch Regeln und Richtlinien per Code abgebildet werden.

Ein dritter Schwerpunkt meiner Arbeit ist Container und Kubernetes Security: Hierbei beschäftige ich mit der Frage, wie ich meinen Workload sicher in orchestrierter Umgebung betreiben kann.

Kannst du uns ein, zwei Beispiele für typische Projekte, mit denen du dich beschäftigst, nennen?
Für einen Kunden im Bereich Digital Commerce überprüfe ich aktuell die Cloud-Architektur und Landing Zone der Organisation auf Vulnerabilities und Threats. Zudem überprüfe ich die Compliance einzelner Produktivumgebungen.

In einem anderen Projekt im Bereich Logistik haben wir eine zentrale Cloud-Plattform für die Organisation aufgebaut – inklusive Pipeline, Terraform und Security Automatisation.

Hast du heute das Gefühl, dass dein Studium dich gut auf deinen aktuellen Job vorbereitet hat? Was bringst du aus deinem Studium mit, in welchen Themenbereichen hast du dich nach dem Studium noch weitergebildet?
Ich bin heute mit meiner Entscheidung, an der RUB studiert zu haben, sehr zufrieden. Die Baseline des Studiums war sehr gut, d.h. es wurden sehr viele Grundlagen vermittelt, auf denen ich aufbauen kann. Ich habe mich heute auf die Themen Cloud und Container Security sowie DevSecOps spezialisiert. Aufgrund des Studiums kann ich mit diesen Schwerpunkten umgehen, ohne mich weiter einarbeiten zu müssen. Da mich die Themen interessieren, habe ich mich zunächst selbst weiter eingearbeitet und später noch entsprechende Zertifikate wie AWS Practitioner und Azure Administrator erworben.

Heute weiß ich, dass “Training on the Job” während oder nach dem Studium sehr wertvoll ist. Aufgrund der vielfältigen Projekte habe ich mich in den verschiedensten Bereichen und Methodiken weiterbilden können und lerne täglich dazu.

Wem würdest du deinen Job empfehlen? Was muss der- oder diejenige an Ausbildung und an Affinität mitbringen?
Der- oder diejenige sollte IT-affin sein und Spaß an technischen Herausforderungen haben. Sie oder er sollte bereit sein, täglich dazuzulernen. Dazu gehört eine große Portion Neugierde.

Über carmasec
carmasec ist eine im Jahr 2018 in Deutschland gegründete Beratungsboutique für Cybersicherheit. Als „Trusted Advisor“ im Bereich der Cyber-Resilienz bietet das Unternehmen seinen nationalen und internationalen Kund*innen professionelle Beratungsleistungen und Lösungen. Die Expertise liegt in den Themenfeldern Cloud Security, Informationssicherheit, DevSecOps, Identity & Access Management, Risikomanagement, Security Architecture, Security Awareness, Security Automation sowie Datenschutz. Das Expertenteam hat bereits über 100 Kundenprojekte in den Branchen Telekommunikation, Logistik, Finanzdienstleistungen, Gesundheitswesen und Energie erfolgreich umgesetzt.

Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.