Security Engineers einstellen: CTF-Leistung als Signal nutzen
So stellen Sie Security Engineers ein, ohne sich auf Zertifikate zu verlassen: Setzen Sie eine praktische CTF-Aufgabe als strukturierte, per Rubrik bewertete Phase im Einstellungsprozess ein.
Ernest Bursa
Wer Security Engineers einstellen will, ohne sich auf Zertifikate zu verlassen, baut eine kalibrierte praktische Aufgabe ein, eine CTF-artige Arbeitsprobe, und zwar als strukturierte, per Rubrik bewertete Phase in der Pipeline. Halten Sie das Ergebnis jeder Kandidatin und jedes Kandidaten als vergleichbares Signal fest und prüfen Sie es anschließend gegen echte Praxisleistung ab, etwa aus Ihrem Disclosure-Programm. So messen Sie die Fähigkeit direkt, statt einem Papierzertifikat als Stellvertreter dafür zu vertrauen.
Das ist im Kern das ganze Argument. Ein Zertifikat sagt Ihnen, dass jemand an einem bestimmten Tag eine Prüfung bestanden hat. Eine praktische Aufgabe zeigt Ihnen, ob die Person tatsächlich eine Schwachstelle findet, sie ausnutzt und den Befund unter Zeitdruck sauber dokumentiert, und genau das ist der Job. Dieser Leitfaden geht den gesamten Prozess durch: warum Zertifikate ein schwaches Signal sind, wie Sie eine Aufgabe entwerfen, die zu Ihrer Rolle passt, wie Sie sie in eine strukturierte Pipeline einbetten, wie Sie sie wie eine Arbeitsprobe bewerten und wie Sie den Kreis zu den Security-Forschern schließen, die ihr Können bereits an Ihren echten Systemen bewiesen haben.
Das Problem beim Security-Recruiting: zu viele Zertifikate, zu wenig Signal
Das Kernproblem beim Security-Recruiting ist kein Mangel an Köpfen, sondern ein Mangel an nachweisbarem Können, und Zertifikate trennen die beiden nicht mehr. Sie schreiben eine Stelle für eine Security-Engineer-Position aus und bekommen eine Flut von Lebensläufen, vollgepackt mit Abkürzungen, die sich nicht sinnvoll vergleichen lassen.
Die Daten stützen diese veränderte Sichtweise. Die ISC2 2024 Cybersecurity Workforce Study schätzte die weltweite Lücke auf 4,8 Millionen benötigte Fachkräfte, ein Anstieg von 19 % gegenüber dem Vorjahr, womit rund 47 % der Nachfrage unerfüllt blieben. (Hinweis: Diese Zahl von 4,8 Mio. ist die Schätzung für 2024 und wird in der Sekundärberichterstattung häufig fälschlich als 2025 ausgegeben.) Die Studie für 2025 verzichtete bewusst darauf, eine einzelne Lückenzahl zu veröffentlichen, und änderte die Formulierung grundlegend: 59 % der Befragten meldeten kritischen oder erheblichen Kompetenzbedarf, gegenüber 44 % im Jahr 2024, und 95 % meldeten mindestens einen Kompetenzbedarf.
Liest man beide Studien zusammen, ist die Botschaft eindeutig. Das Gespräch hat sich von „Wir finden nicht genug Leute” zu „Wir finden nicht genug Leute, die die Arbeit nachweislich erledigen können” verschoben. Und genau diese Lücke soll ein kompetenzorientiertes Signal schließen. Wenn 95 % der Teams einen Kompetenzbedarf melden, ist das Screening-Problem ein Messproblem, und ein Lebenslauf voller Zertifikate ist ein schlechtes Messinstrument.
Warum Zertifikate ein schwacher Stellvertreter sind (und wo sie trotzdem helfen)
Ein Zertifikat ist eine einmalige, oft im Multiple-Choice-Verfahren abgelegte Wissensbescheinigung. Eine praktische Aufgabe ist der Live-Beweis angewandten Könnens mit sofortigem Bestanden-oder-nicht-Feedback. Das sind zwei verschiedene Dinge, und wer sie vermengt, landet bei guten Prüfungsabsolventen, die am echten Ziel erstarren.
Am deutlichsten zeigt sich der Gegensatz in der altbekannten Debatte OSCP gegen CISSP. Laut dem Vergleich von DestCert ist CISSP eine computeradaptive, wissensbasierte Prüfung über acht Domänen mit rund drei Stunden Dauer, gut geeignet für Führungs- und Architektur-Rollen. OSCP ist eine 24-stündige Praxisprüfung ganz ohne Multiple Choice, bei der Sie tatsächlich Maschinen kompromittieren und dokumentieren müssen, was Sie getan haben. Praktiker werten Praxisprüfungen (OSCP, GIAC-Practicals, CPTS, PNPT) durchweg als stärkeren Beleg für die Fähigkeit, den Job zu machen, als reine Wissensabfrage-Zertifikate.
Das heißt also nicht „Zertifikate sind wertlos”. Sie haben ihren Platz:
- Wissens- und Architektur-Zertifikate (CISSP, CISM) signalisieren Breite und Engagement, nützlich für Führungs- und Governance-Rollen.
- Compliance-getriebene Rollen verlangen mitunter bestimmte Zertifikate, um ein Rahmenwerk oder eine Kundenanforderung zu erfüllen.
- Praxis-Zertifikate (OSCP, CPTS) sind echte, bessere Signale, weil sie selbst praktische Aufgaben sind.
Der Punkt ist enger gefasst und nützlicher: Hören Sie auf, ein Zertifikat als Ersatz dafür zu nehmen, die Fähigkeit zu messen, die Sie tatsächlich brauchen. Ein Zertifikat kann ein Tiebreaker oder eine Mindesthürde sein. Es sollte nicht das sein, was darüber entscheidet, wer weiterkommt.
Werden CTFs wirklich als Einstellungssignal genutzt, oder ist das Wunschdenken?
Beides, und die Recruiting-Geschichte reicht weit zurück. Capture the Flag entstand 1996 als Wettbewerbsformat auf der DEF CON 4 und ist fast ebenso lange ein Ort der Talentsuche. Die NSA rekrutiert laut Berichterstattung von CNN seit mindestens 2012 offen beim CTF der DEF CON.
Das kommerzielle Tooling hat nachgezogen. Hack The Box verkauft Talent Search, womit Arbeitgeber Kandidaten nach Rang filtern und gebrandete verwundbare VMs einreichen können, um Fähigkeiten direkt zu bewerten. CyberTalents bewirbt CTFs ausdrücklich als Recruiting-Mechanismus und argumentiert, dass Lebensläufe und Interviews „subjektiv sind und auf individuellen Auslegungen und Vorurteilen beruhen”, während CTFs „klare Erfolgskriterien” haben.
Es gibt auch Belege von Management-Seite. Hack The Box’ 2023 Cyber Attack Readiness Report (982 Unternehmensteams, 5.117 Fachkräfte sowie eine Befragung von 803 Personen) ergab, dass über 70 % der Cybersecurity-Manager CTF-artige Wettbewerbe als hochwirksam einstufen, um das Engagement zu steigern und die Kompetenzentwicklung zu messen. (Eine verbreitete Paraphrase behauptet, CTFs seien „der wirksamste Weg, Mitarbeitende zu halten und Burnout zu reduzieren”, was die Quelle verfälscht. Die belegte Aussage betrifft Engagement und Kompetenzmessung.)
Das Spitzenfeld bestätigt das Prinzip: Universitätsteams wie Carnegie Mellons Plaid Parliament of Pwning und Shellphish der UCSB sind direkte Pipelines in Top-Karrieren der Security-Branche. CTF-Leistung ist ein anerkanntes Einstellungssignal. Die Frage ist, wie man es operationalisiert, ohne sich auf einen Leaderboard-Screenshot zu verlassen.
Die Aufgabe entwerfen: auf die Rolle kalibrieren, nicht aufs Leaderboard
Der größte einzelne Fehler ist, einen generischen CTF-Score als Einstellungssignal zu behandeln. Ob jemand ein obskures Krypto-Rätsel im Tempo löst, sagt nichts darüber aus, ob die Person eine Rails-App auf Injection-Lücken prüfen oder einen Incident managen kann. Kalibrieren Sie die Aufgabe auf den echten Job.
Aufgabe und Rolle aufeinander abstimmen
Bauen Sie die Arbeitsprobe rund um das, was die Neueinstellung Tag für Tag tun wird:
- AppSec Engineer: eine bewusst verwundbare Web-App mit einer Handvoll realistischer Lücken (Auth-Bypass, IDOR, Injection) zum Finden, Ausnutzen und Dokumentieren.
- Penetration Tester: eine OSCP-artige Box oder ein kleines Netzwerk, das durchgängig zu kompromittieren ist, mit dokumentierter Angriffskette.
- Detection- oder Incident-Response-Engineer: ein Log-Datensatz oder ein kompromittierter Host, bei dem die Aufgabe darin besteht, den Zeitablauf des Angriffs zu rekonstruieren.
- Rollen mit Schwerpunkt sicheres Coden: ein echter Pull Request mit eingebauten Schwachstellen zum Prüfen.
Knüpfen Sie die Ziele an einen anerkannten Standard. Die NICCS-Leitlinie der CISA zur Bewertung von Cybersecurity-Talenten empfiehlt für hochtechnische Rollen wie Incident Response, sicheres Coden und Penetrationstests eine praktische Evaluierung, die an das NICE Framework geknüpft ist. Wenn Sie jedes Aufgabenziel einer NICE-Arbeitsrolle zuordnen, bleibt die Bewertung belastbar und zielgenau.
Auf Fairness und mögliche Benachteiligung achten
Ein zeitlich begrenzter Wettbewerb belohnt Menschen, die die freie Zeit haben, auf Übungsplattformen zu schleifen. Behandeln Sie das als echtes Risiko, nicht als Feature. Halten Sie das Zeitfenster vernünftig (ein paar fokussierte Stunden, keine schlaflosen 24), bieten Sie flexible Terminplanung an und gewichten Sie die Dokumentation und die Begründung ebenso stark wie die reine Erfassung der Flag. Wie eine Kandidatin ihr Denken erklärt, ist oft das bessere Job-Signal als die Geschwindigkeit, mit der sie die Box geknackt hat, und es trägt über Erfahrungsstufen hinweg besser. Am wichtigsten: Machen Sie die Aufgabe zu einer strukturierten Phase mit klarer Rubrik, niemals zur alleinigen Hürde.
Einbettung in eine strukturierte Pipeline
Ein CTF wird erst dann zu einem verlässlichen Einstellungssignal, wenn er innerhalb eines strukturierten Prozesses mit definierten Prüfern und fester Rubrik läuft, genauso wie Sie eine Code-Aufgabe durchführen würden. Für sich allein ist er nur ein Wettbewerb. Innerhalb einer Pipeline ist er eine objektive, vergleichbare Phase.
Bilden Sie die praktische Aufgabe auf einer üblichen strukturierten Pipeline ab:
- Bewerbungsformular, um die Grunddaten zu erfassen und die Rollen-Passung zu bestätigen.
- Praktische Aufgabe (die CTF-artige Arbeitsprobe) als Phase nach Art einer Code-Aufgabe, mit zugewiesenen Prüfern, definiertem Geltungsbereich und einer Auszahlung für die investierte Zeit.
- Teambewertung, bei der die Prüfer die Dokumentation unabhängig voneinander anhand der Rubrik bewerten, bevor sie sich austauschen.
- Live-Interview, um die Begründung hinter der Einreichung zu hinterfragen und Zusammenarbeit, Kommunikation und Urteilsvermögen abzudecken.
- Angebot.
Die praktische Aufgabe lässt sich sauber auf eine Code-Aufgaben-Phase abbilden, kein neues Konzept nötig, nur eine Arbeitsprobe mit Security-Note. Genau so modelliert Kit das: eine Prozessvorlage für Security Engineers, in der der CTF eine Code-Aufgaben-Phase mit Prüfern, konfigurierbarem Geltungsbereich und einer Auszahlung für die Zeit der Kandidaten ist. Die Struktur ist der entscheidende Punkt. Dieselbe Phase, dieselbe Rubrik, dieselben Prüfer für jede Bewerbung machen aus einem cleveren Rätsel eine nachvollziehbare Einstellungsentscheidung.
Wie eine Arbeitsprobe bewerten, nicht wie ein Leaderboard
Ein Leaderboard sagt Ihnen, wer als Erster fertig war. Eine Arbeitsprobe sagt Ihnen, wer gut im Job ist. Bewerten Sie die Aufgabe nach einer Rubrik, nicht nach der Stoppuhr, und lassen Sie mehrere Prüfer unabhängig benoten, bevor sie ihre Einschätzungen abgleichen.
Eine praxistaugliche Rubrik für eine Security-Arbeitsprobe bewertet jede Person nach:
- Korrektheit: Haben sie die vorgesehenen Probleme tatsächlich gefunden und ausgenutzt?
- Methodik: Ist das Vorgehen systematisch und reproduzierbar oder bloß Glück?
- Qualität der Dokumentation: Können sie Schwachstelle, Auswirkung und Fix klar genug erklären, dass ein Engineer danach handeln kann?
- Einschätzung des Schweregrads: Haben sie die Befunde treffend bewertet oder reales Risiko aufgebauscht bzw. übersehen?
- Disziplin beim Geltungsbereich: Sind sie innerhalb der Regeln des Engagements geblieben?
Weil die Aufgabe eine kalibrierte Phase mit definierten Prüfern und fester Rubrik ist, erzeugt jede Bewerbung einen vergleichbaren, nachvollziehbaren Score. Das ist die Eigenschaft „objektiv und vergleichbar”, die CTF-Verfechter versprechen, aber operationalisiert in Ihrem Einstellungssystem statt in einem Screenshot. Kit erfasst diese als strukturierte Phasen-Signale: unabhängige Prüfer-Scores, die am Datensatz der Kandidatin hängen, sodass eine Entscheidung zum Weiterführen oder Ablehnen auf der Rubrik beruht und nicht darauf, wer im Debrief am lautesten war.
Die knappen Verluste nicht verlieren: einen Security-Talentpool pflegen
Security-Talent ist knapp und teuer, daher ist eine starke Bewerberin, die diesmal nicht ganz passt, ein Aktivposten und keine Sackgasse. Genau die Kandidaten, die in Ihrer praktischen Aufgabe gut abschneiden, aber knapp gegen jemanden etwas Besseren verlieren, wollen Sie bei der nächsten Ausschreibung ganz vorne in der Reihe haben.
Die meisten Pipelines lassen diese Menschen verdampfen. Sie haben eine schwere, rollenspezifische Aufgabe gemeistert, einen echten Score erzeugt, dem Sie vertrauen, dann eine Absage-E-Mail bekommen und sind verschwunden. Angesichts der Realität am Arbeitsmarkt (95 % der Teams melden einen Kompetenzbedarf, laut ISC2 2025) ist das eine sich aufsummierende Verschwendung.
Hier zahlt sich ein Talentpool aus. Mit dem Talentpool-Tooling von Kit halten Sie praktisch starke Performer warm: Sie können Kandidaten, die ihr Können bereits an einer kalibrierten Aufgabe bewiesen haben, auflisten, durchsuchen und erneut einladen. Wenn das nächste Mal eine Security-Stelle aufgeht, starten Sie aus einer Shortlist von Menschen, deren Fähigkeit Sie schon gemessen haben, statt bei null.
Den Kreis schließen: CSIRT-Forscher rekrutieren, die an echten Bugs glänzen
Die stärkstmögliche Version eines CTF-Scores ist ein echter Befund an Ihren echten Systemen. Wer ein Vulnerability-Disclosure- oder Bug-Bounty-Programm betreibt, hat bereits einen Live-Feed mit genau dem Signal, nach dem sich Einstellungsteams sehnen: welche Forscher zuverlässig echte Schwachstellen finden und korrekt bewerten.
Hinter diesem Trichter steckt dokumentierte Karriereabsicht. Der Bugcrowd-Report „Inside the Mind of a Hacker” (Ausgabe 2019, Befragung von über 750 Forschern) ergab, dass 32 % hauptberuflich Bug-Hunter werden wollten, mehr als 20 % bei großen Tech-Unternehmen Top-Security-Engineer oder CISO werden wollten und 50 % neben einem regulären Nine-to-five Bugs jagten. (Behandeln Sie das als historische Absichtsdaten, nicht als Statistik für 2026.) Ein nennenswerter Anteil fähiger Praxis-Hacker will ausdrücklich Vollzeit-Engineering-Rollen. Der Trichter ist real.
Die Kit-eigene Variante schließt den Kreis. Ein Team, das über das CSIRT-Modul von Kit ein Disclosure-Programm betreibt, bemerkt eine Forscherin, die durchweg hochwertige, korrekt nach Schweregrad eingestufte Befunde einreicht. Statt das als Einzelfall abzutun, lädt es sie in die Pipeline für Security Engineers ein, deren praktische Aufgaben-Phase sie sehr wahrscheinlich meistert, weil sie es bereits in der Produktion bewiesen hat. Beobachtete Praxisleistung wird zum wärmstmöglichen Lead, und die strukturierte Aufgabe bestätigt schlicht, was die Befunde schon gezeigt haben.
Fallstricke, die Sie vermeiden sollten
Eine praktische Aufgabe ist ein starkes Signal, kein magisches. Achten Sie auf diese Fehlermuster:
- CTF-Können ist nicht eins zu eins Job-Können. Nischenhaftes Rätsellösen (obskure Krypto, tiefes Reversing) lässt sich nicht auf Defensive Engineering oder Incident Response übertragen. Kalibrieren Sie auf die Rolle und das NICE Framework.
- Fairness und mögliche Benachteiligung. Ein zeitlich begrenzter Wettbewerb kann Menschen mit weniger Übungszeit benachteiligen. Nutzen Sie ihn als eine strukturierte Phase mit Rubrik, niemals als alleinige Hürde.
- Die Falle der alleinigen Hürde. Eine praktische Aufgabe sagt technische Fähigkeit voraus, nicht Zusammenarbeit, Kommunikation oder Urteilsvermögen unter organisatorischem Druck. Kombinieren Sie sie mit einem strukturierten Interview.
- Statistik-Hygiene. Die Lücke von 4,8 Mio. Fachkräften ist die ISC2-Zahl von 2024, nicht von 2025. Die HTB-Manager-Statistik betrifft Engagement und Kompetenzmessung, nicht Mitarbeiterbindung oder Burnout. Zitieren Sie sorgfältig; Ihre Kandidaten prüfen das nach.
Alles zusammen: Messen Sie die Fähigkeit, vertrauen Sie nicht dem Stellvertreter
Security Engineers gut einzustellen läuft auf eine einzige Disziplin hinaus: die Fähigkeit direkt messen, statt darauf zu vertrauen, dass ein Zertifikat für sie einsteht. Setzen Sie eine kalibrierte CTF-artige Aufgabe als strukturierte Phase nach Art einer Code-Aufgabe ein. Bewerten Sie sie nach einer Rubrik mit mehreren unabhängigen Prüfern, damit das Ergebnis vergleichbar und nachvollziehbar ist. Halten Sie die starken knappen Verluste in einem Talentpool warm. Und rekrutieren Sie die Forscher, die an Ihren echten Systemen bereits glänzen, und lassen Sie die Aufgabe dann bestätigen, was ihre Befunde nahegelegt haben.
Das ist ein wiederholbarer Prozess, kein Slogan, und er adressiert direkt das Kompetenzbedarf-Problem, das die Arbeitsmarktdaten immer wieder zutage fördern. Kit gibt Ihnen den gesamten Kreislauf in einem System: eine Prozessvorlage für Security Engineers mit einer praktischen Aufgaben-Phase, rubrikbasierte Prüfer-Bewertung, einen Talentpool für die knappen Verluste und ein CSIRT-Modul, das die reale Forscherleistung in Ihre wärmste Pipeline verwandelt. Starten Sie eine kostenlose Testphase und bauen Sie die Vorlage einmal auf, um danach jedes Mal nach nachgewiesenem Können einzustellen.
Verwandte Artikel
Streit um Bug-Bounty-Auszahlungen: SLAs und Fairness in Ihrem VDP
AMD brauchte 124 Tage, um eine kritische Schwachstelle zu schließen, und verweigerte dem Forscher dann die Prämie von 10.000 $ als außerhalb des Geltungsbereichs. So betreiben Sie ein VDP mit veröffentlichten SLAs und einer transparenten, im Hauptbuch erfassten Prämienmatrix.
Bewerber-Feedback ist keine Nettigkeit. Es ist ein Umsatzhebel.
Die meisten Bewerber erfahren nie, warum sie abgelehnt wurden – und das kostet Sie Kunden, Empfehlungen und künftige Einstellungen. So geben Sie Feedback, das Ihre Marke stärkt.
Das Whiteboard-Interview ist tot: faires, KI-sicheres Recruiting
2026 hat KI Whiteboards und Take-home-Aufgaben ausgehebelt. Hier ist der Entscheidungsrahmen für faire, KI-sichere Arbeitsproben – gegründet darauf, wie Anthropic, Stripe und Linear einstellen.
Bereit, smarter einzustellen?
Kostenlos starten. Keine Kreditkarte erforderlich. Richte deine erste Hiring-Pipeline in wenigen Minuten ein.
Kostenlos starten