Christoph Gruber, Head of IT Security bei UNIQA: Purpose-getriebene Security, Subject-Matter-Experts und eine Kultur, die Expertise vor Etikette stellt

Was wir aus der Session mitgenommen haben

In unserer Session „Christoph Gruber, Head of IT Security bei UNIQA“ bekamen wir einen direkten Einblick, wie Security bei UNIQA Insurance Group AG geführt, organisiert und gelebt wird. Gruber beschreibt ein dynamisches Team von rund 40 Mitarbeiter:innen, strukturiert in drei Gruppen und darüber hinaus entlang sogenannter Expertise Fields. Die Leitfigur in diesen Feldern: Subject Matter Experts (SMEs), die Themen nicht nur fachlich, sondern auch prozessual und technisch prägen – und die einen Service für die gesamte UNIQA bereitstellen.

Zentraler Kompass ist dabei „Leading by Purpose“. Der Zweck ist klar formuliert: die Daten und die Infrastruktur von UNIQA und deren Kund:innen zu schützen. Was uns besonders aufgefallen ist: Security wird hier als unternehmensweiter Service verstanden – mit eigenem Technologie-Footprint, aber ebenso stark in der Beratungsrolle gegenüber Softwareentwicklung, Testing, IT-Operations und Rechenzentrums-Providern. Diese Kombination aus Ownership, Beratung und messbarem Nachweis („Reports je nach Konsument in die richtigen Kanäle bringen“) macht die Arbeit im Team greifbar, wirkungsorientiert und sichtbar.

Teamstruktur: Drei Gruppen, Expertise Fields und echte Ownership

Christoph Gruber beschreibt die Organisation als dreistufige Architektur:

• Drei Gruppen bilden die strukturelle Basis.
• Innerhalb dieser Gruppen organisieren sich Teams nach Expertise Fields („Subject Matter Experts“).
• Diese SMEs tragen die inhaltliche, prozessuale und technische Verantwortung für ihr Gebiet – und liefern einen konzernweiten Service.

Konkrete Felder, die Gruber nennt:

• Vulnerability Management (mit „eineinhalb“ Expert:innen – also eine FTE plus Teilkapazität)
• Software Development (im Sinne von Security-bezogenen Kompetenzen)
• Infrastruktur
• Netzwerk

Die Formulierung „jeder Experte ist aufgerufen, sein Feld für sich selbst zu gestalten“ ist deutlich: Hier geht es nicht um reine Ausführung, sondern um Gestaltung. SMEs setzen Standards, definieren Prozesse, wählen Tools und etablieren Service-Qualität – und zwar so, dass sie für die „ganze UNIQA“ Wert stiften. Diese Verantwortung ist zugleich Entwicklungspfad: Wer ein Feld prägt, wächst automatisch in Wirkung und Seniorität.

SMEs plus Juniors: Mentoring als Organisationsprinzip

Neben den SME-Rollen ist eine klare Nachwuchsförderung sichtbar. Gruber erklärt, dass ein Subject Matter Expert einen Junior an seiner Seite haben kann – oder sich ein Junior zwischen zwei SMEs aufteilt. Die Idee dahinter: Expertise weitergeben, kontinuierlich nachbesetzen, Wissen im Team verbreitbar machen. Mentoring ist damit nicht add-on, sondern Grundprinzip der Arbeitsweise.

Recruiting, interne Mobilität und der Transfer von Blickwinkeln

„Was mir sehr wichtig ist, ist der Recruiting-Prozess“, sagt Gruber – und stellt klar, dass er sich stark auf seine Kolleg:innen aus dem People Management stützt. Auffällig: Viele neue Kolleg:innen wechseln intern horizontal in die Security – aus IT Operations, aus der Softwareentwicklung oder anderen Bereichen. Die Motivation beschreibt er pragmatisch: Neugier und die Entdeckung, dass Security ein spannendes Feld ist.

Diese interne Mobilität ist mehr als ein Recruiting-Kanal. Sie ist Wissens- und Kulturtransfer in beide Richtungen:

• Neue Kolleg:innen bringen operatives oder entwicklungsnahes Know-how mit.
• Das Security-Team gibt die spezifische „Security-Sicht“ auf Themen weiter.

Gruber formuliert es als klaren Nutzen: Expertise wandert ins Security-Team und entfaltet dort unmittelbar Wirkung. Gleichzeitig wird die Security-Haltung an die Quereinsteiger:innen weitergegeben – und damit im Unternehmen verbreitet. Genau hier liegt ein Anreiz für Talente: Wer aus der Entwicklung oder dem Betrieb kommt, kann sein Wissen einbringen und gleichzeitig professionell in Security wachsen.

Onboarding als Kultur: Das Buddy-Konzept

Gruber vermeidet den Begriff „Prozess“ – und spricht bewusst von Kultur: Jeder neue Mitarbeitende bekommt einen Buddy zur Seite gestellt, zumeist eine seniorere Person mit mehr Team- oder Security-Erfahrung. Die Ziele sind klar:

• Mindset-Transfer: Was bedeutet der Security-Blick bei UNIQA konkret?
• Prozess-Orientierung: Welche internen Abläufe sind wichtig und warum?
• Soziales Navigieren: Sich im Team leichter zurechtfinden.

Dieser Ansatz ist gleichzeitig pragmatisch und menschlich. Denn, so Gruber:

Das Buddy-Modell schafft Anschlussfähigkeit, reduziert Reibungsverluste in den ersten Wochen und beschleunigt die produktive Wirksamkeit. Für Bewerber:innen ist das ein starkes Signal: Der Einstieg ist begleitet, das Team denkt an die Lernkurve – und Seniorität zeigt sich im Fördern.

Eine „kulturell agnostische“ Engineering-Kultur

Kaum ein Satz bleibt so im Gedächtnis wie dieser:

Das ist mehr als ein lockeres Detail. Es verankert, woran Leistung gemessen wird: an Expertise und Beitrag zum Purpose – nicht am Stil, nicht an der Etikette. In der Praxis heißt das:

• Heterogenität ist Normalität – vom Auftritt bis zur Persönlichkeit.
• Einheit stiftet der gemeinsame Zweck: Schutz der Daten und Infrastruktur.
• Unterschiedliche Erfahrungshintergründe sind willkommen, solange sie in die Security-Wirkung einzahlen.

Für Engineering-Talente ist das bedeutsam. Es begünstigt ein Umfeld, in dem man so sein kann, wie man ist – solange die Arbeit wirkt und der gemeinsame Fokus gewahrt bleibt.

Leading by Purpose: Der Auftrag ist klar und messbar

Gruber fasst den Daseinszweck präzise zusammen:

Dieser Zweck ist zugleich Fokus und Maßstab. Die Security-Funktion arbeitet mit Fokus Österreich, aber in einer internationalen Reichweite – denn in Wien werden internationale Services betrieben, für die die Security in seiner Verantwortung liegt. Damit entsteht einer der stärksten Anreize für Security-Profis: lokale Verankerung plus internationaler Scope.

Purpose trifft Messbarkeit

Security ist bei UNIQA nicht nur Absichtserklärung. Gruber betont die Bedeutung von Reports – zugeschnitten auf verschiedene Adressaten – um „beweisen zu können, dass wir sicher sind und das nicht nur ein Bauchgefühl ist“. Aus Engineering-Sicht bedeutet das:

• Standards und Maßnahmen werden datenbasiert belegt.
• Ergebnisse erreichen ihren jeweiligen „Konsumenten“ im passenden Format.
• Security ist nicht nur „hinter den Kulissen“ wirksam, sondern wird sichtbar.

Technologie- und Aufgabenportfolio: Definieren, beraten, absichern, berichten

UNIQA Security definiert die eigene Technologie für Security-Zwecke selbst. Gruber nennt exemplarisch:

• Schutz vor Schadcode
• Logfile-Analyse „in einem CM“
• Firewalls steuern und managen
• Reports generieren

Diese Eigenverantwortung erstreckt sich über Infrastruktur, Prozesse und Tooling – mit dem Ziel, einen verlässlichen Security-Service zu erbringen. Gleichzeitig versteht sich das Team als Berater und Enabler für die weiteren IT-Funktionen:

• Infrastruktur-Kolleg:innen werden unterstützt und angeleitet, ihre Arbeit sicherer zu machen.
• In der Softwareentwicklung, im Testing und im IT-Operations-Bereich wird die Security-Perspektive eingebracht.
• Rechenzentrums-Provider werden gesteuert und in eine nachvollziehbare Reporting-Landschaft eingebettet.

Das Bild ist eindeutig: UNIQA Security arbeitet end-to-end – von der technischen Implementierung über die Prozessberatung bis hin zum Erklärungsteil gegenüber internen und externen Stakeholdern. Wer Security nicht nur „bauen“, sondern auch „erklären“ und „nachweisen“ will, findet hier ein passendes Spielfeld.

Zusammenarbeit als Service: Security für die gesamte UNIQA

Gruber spricht explizit vom „Service an die ganze UNIQA“. Daraus folgt ein besonderes Verständnis von Zusammenarbeit:

• Security ist Teil der Wertschöpfung aller IT-Funktionen.
• Die dazugehörige Arbeit ist sowohl proaktiv (Standards setzen, Tools definieren) als auch reaktiv (Beratung, Unterstützung, Steuerung von Providern).
• Ergebnisse werden in passender Form aufbereitet – je nachdem, wer sie konsumiert.

Wichtig: Dieses Service-Verständnis macht Security anschlussfähig. Statt mit erhobenem Zeigefinger aufzutreten, agiert das Team als Partner. Für Tech-Talente, die Wirkung im Unternehmen suchen, ist das attraktiv: Man gestaltet nicht nur die Security-Landschaft, sondern hilft anderen, ihren Beitrag dazu sichtbar und effizient zu leisten.

Entwicklungspfade: Vom Quereinstieg zum Field Lead

Aus dem Zusammenspiel von SMEs, Juniors und interner Mobilität ergibt sich ein klarer Entwicklungspfad:

1. Einstieg über ein bestehendes Skillset (z. B. aus IT Operations oder Entwicklung), ergänzt um Security-Mindset im Onboarding.
2. Vertiefung in einem Expertise Field, begleitet durch einen Buddy und enge Zusammenarbeit mit SMEs.
3. Ausbau von Ownership: Prozesse, Tooling und Service-Qualität im Fachgebiet mitprägen.

Der Weg ist nicht starr. Wer Verantwortung übernimmt, Standards setzt und Wissen teilt, kann spürbar Wirkung entfalten – und damit die Richtung des eigenen Feldes prägen. Das ist insbesondere für erfahrene Engineers interessant, die Gestaltungsspielräume suchen, ohne dazu formale Hierarchien zu benötigen.

Was Gruber von Kandidat:innen erwartet – und was UNIQA bietet

Aus der Session lassen sich klare Signale ableiten, ohne in Spekulation zu verfallen:

• Neugier und Lernbereitschaft: Viele kommen horizontale Wege in die Security – weil sie „draufkommen, dass Security ein spannendes Feld“ ist.
• Verantwortungslust: SMEs „gestalten ihr Feld“ – das erfordert Initiative statt Passivität.
• Service- und Beratungskompetenz: Security wirkt durch die Kolleg:innen in Entwicklung, Testing, Operations – wer erklären und überzeugen kann, bringt die Security voran.
• Teamorientierung: Mentoring (Juniors/SMEs) und Buddy-Konzept verlangen Bereitschaft, Wissen zu teilen – und anzunehmen.

Was UNIQA Security im Gegenzug bietet, wird im Gesagten klar:

• Ownership: eigene Technologie, eigene Prozesse, eigenes Reporting – mit Wirkung konzernweit.
• Vielfältige Aufgaben: von Engineering (Schadcode-Schutz, Log-Analyse im CM, Firewalls) über Beratung bis hin zur Providersteuerung.
• Sichtbarkeit: Reports für unterschiedliche Konsument:innen machen Erfolge messbar und präsent.
• Kulturfit durch Vielfalt: „kulturell agnostisch“ und Expertise-zentriert – vom Krawattenträger bis zu kurzen Hosen und Birkenstock.
• Begleitetes Wachstum: Buddy-Konzept, SME-Mentoring und interner Wissenstransfer ermöglichen ein planvolles Hineinwachsen in Security.
• Internationaler Kontext: Fokus Österreich plus internationale Services in Wien.

Wie der Security-Alltag gedacht ist: Wirksam, anschlussfähig, nachweisbar

Aus den Bausteinen der Session formt sich ein klares Bild des Arbeitsalltags:

• Wirksam: Maßnahmen definieren, implementieren und verbessern – von Firewalls bis Log-Analyse – mit echtem Einfluss auf die Sicherheit der gesamten Organisation.
• Anschlussfähig: Kolleg:innen befähigen, Security-Anforderungen in Entwicklung, Testing und Betrieb pragmatisch umzusetzen; Provider steuern.
• Nachweisbar: Ergebnisse so berichten, dass sie verstanden, genutzt und weitergetragen werden – „damit wir auch beweisen können, dass wir sicher sind und das nicht nur ein Bauchgefühl ist“.

Diese Trias hebt den Reiz der Rolle hervor: Sie vereint Engineering, Beratung und Kommunikation – und bringt Security aus dem Maschinenraum in die unternehmensweite Verantwortung.

Konkrete Gründe, warum sich Tech-Talente angesprochen fühlen

Aus Sicht von Entwickler:innen, Ops-Profis und angehenden Security-Spezialist:innen ergeben sich handfeste Anknüpfungspunkte:

• Du willst gestalten statt verwalten: Als SME prägst du Inhalte, Prozesse und Technik – und lieferst einen spürbaren Service an die gesamte UNIQA.
• Du lernst am Menschen, nicht am Papier: Buddy-Konzept und Mentoring sind gelebter Alltag.
• Du schätzt Vielfalt: Hier zählt die Expertise – nicht die Etikette. Kultur ist „agnostisch“, der Fokus liegt auf Wirkung.
• Du suchst Sichtbarkeit: Security-Ergebnisse werden adressatengerecht reportet – was Wirkung zeigt, wird gesehen.
• Du willst Security und Engineering verbinden: Von Schadcode-Schutz über Logfile-Analyse im „CM“ bis Firewall-Management reicht die Bandbreite.
• Du willst als Enabler wirken: In Entwicklung, Testing und Operations bringst du die Security-Sicht ein und machst andere besser.
• Du möchtest international arbeiten – ohne das Lokale zu verlieren: In Wien werden internationale Services betrieben – mit Responsibility im Security-Team.

Zitatgalerie: Die Sätze, die hängen bleiben

• „Mein Team ist sehr dynamisch. Ich habe aktuell ungefähr 40 Mitarbeiter.“
• „Wir haben diese Subject Matter Experts … jeder Experte ist aufgerufen, sein Feld für sich selbst zu gestalten.“
• „… liefern einen Service an die ganze UNIQA.“
• „Wir haben ein Buddy-Konzept … um das Mindset vermittelt zu bekommen … und sich auch im Team selbst leichter zurechtzufinden.“
• „Security-Spezialisten sind ein bisschen eigen.“
• „Ich bin auch kulturell agnostisch … weil für mich die Expertise im Zentrum steht und nicht die kulturellen Aspekte.“
• „Leading by Purpose … die Daten und die Infrastruktur … zu schützen.“
• „Wir definieren die Technologie … wie wir die Logfiles analysieren in einem CM, wie wir die Firewalls etc. steuern und managen.“
• „… je nach Konsument in die richtigen Kanäle konsumierbar berichten … damit wir auch beweisen können, dass wir sicher sind und das nicht nur ein Bauchgefühl ist.“

Fazit: Security als Service – geprägt von Purpose, Ownership und Vielfalt

Die Session mit „Christoph Gruber, Head of IT Security bei UNIQA“ zeigt eine Security-Organisation, die sich entlang von Expertise Fields organisiert, Verantwortung konsequent in die Hände von Subject Matter Experts legt und neue Kolleg:innen über Buddy- und Mentoring-Modelle zielgerichtet entwickelt. Der gemeinsame Nenner ist Purpose: der Schutz von Daten und Infrastruktur – mit österreichischem Fokus und internationaler Reichweite.

Für Tech-Talente ist das attraktiv, weil hier Engineering, Beratung und Nachweisbarkeit zusammenkommen. Man gestaltet Technologien und Prozesse, befähigt Kolleg:innen in Entwicklung, Testing und Operations – und macht die eigene Wirkung über Berichte sichtbar. Wer Security als Dienst an der ganzen Organisation versteht, findet bei UNIQA einen Ort, an dem Expertise zählt und Vielfalt willkommen ist.

• 

  

  GenAI myUNIQA

  Aleksandar Kamenica von UNIQA zeigt in seinem devjobs.at TechTalk einen Anwendungsfall für AI innerhalb des Unternehmens und wie das Team zu der Lösung gekommen ist.

  Jetzt ansehen

• 

  

  Eva-Maria Tscherne, Business Analyst bei UNIQA

  Eva-Maria Tscherne von UNIQA spricht im Interview über ihren Background wie sie zur Business Analyse gekommen ist und was ihre aktuelle Rolle beinhaltet und gibt Tipps zur Weiterentwicklung.

  Jetzt ansehen
• 

  

  Martin Fuger, Test Analyst bei UNIQA

  Martin Fuger von UNIQA erzählt im Interview darüber, wie er zur Test Analyse gekommen ist, wie dort der Tagesablauf in der Arbeit aussieht und welche Dinge seiner Ansicht nach für Neueinsteiger wichtig sind.

  Jetzt ansehen
• 

  

  Barbara Sikora, Product Owner bei UNIQA

  Barbara Sikora von UNIQA spricht im Interview über ihren Werdegang bis hin zur aktuellen Arbeit als Product Owner und gibt Tipps für Anfänger.

  Jetzt ansehen