Ob sich das Studium lohnt, hängt natürlich vom individuellen Fall ab. Ich versuche die Fragestellung von der anderen Seite anzugehen. Für wen lohnt es sich nicht? Für alle, die einen CISSP, CISM, CISA, TISP usw. besitzen und keinen Master als weiteren Abschluss benötigen. Es ist ganz klar, auch ein aufbauendes Studium richtet sich nicht an Professionals. Im Umkehrschluss kann es sich für alle lohnen, die nach einem Diplom oder Bachelor noch einen Master machen möchten und eine formale Qualifikation im Bereich Security Management  anstreben.

Dennoch muss man klar sagen, dass man im Sicherheitsumfeld Berufserfahrung benötigt. Ein Abschluss kann helfen, muss aber nicht. Ich halte es für unwahrscheinlich, dass ein Absolvent des Studiums Security Management ohne mindestens ein paar Jahre Berufserfahrung in die Position eines CISOs mit Verantwortung kommt. Ausnahmen bestätigen sicherlich die Regel. Und es gibt immer noch genug Unternehmen in Deutschland, bei denen „Studierte“ höher angesehen werden als „Praktiker“. Für realistischer halte ich eher eine fachliche Mitarbeit in einer größeren Security-Abteilung. Aber auch für einen tieferen Einstieg in den Bereich IT-Security wie z.B. Penetration Testing kann das Studium sinnvoll sein. Man sollte dann eben seine Semesterarbeiten, die Projektarbeit und die Master-Thesis geschickt wählen.

Ich selbst trug bereits zu meinem Beginn des Studiums die Verantwortung für den Bereich Security & PCI-Compliance bei einem internationalen Internet Payment Service Provider in Frankfurt. Fachlich hat mir das Studium dennoch weitergeholfen und ich würde es nochmal machen. Einzig negativ ist der mit einem Studium verbundene extrem hohe Aufwand. Dagegen ist die Vorbereitung für die CISSP-Prüfung ein Witz. Den persönlichen Aufwand sollte man am besten vor der Immatrikulation abschätzen. Einen Master gibt es weder ohne großen Aufwand noch umsonst. Wer neben einer Vollzeitstelle einen Master of Science in Security Management anstrebt, kann seiner Freizeit für einige Zeit lebe wohl sagen. Lohnen kann es sich natürlich trotzdem ;-).