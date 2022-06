Kriminelle Angriffe auf die digitale Infrastruktur kosten die deutsche Wirtschaft jährlich Hunderte Milliarden Euro – doch Experten für IT-Sicherheit sind rar. Das ist eine enorme Chance.

Oldenburg Mehr als zehn Millionen Pakete werden täglich in Deutschland verschickt, und für fast jedes bekommt der Empfänger heute eine E-Mail. Wer auf die Sendungsnummer klickt, kann im besten Fall live verfolgen, wo sein Paket gerade ist. Im schlimmsten Fall verliert er die Kontrolle über sein IT-System - und jede Menge Geld.

Immer häufiger fälschen Internetkriminelle Mails von Onlineversendern, Banken oder eben Paketdiensten. Ein leichtfertiger Klick auf den beigefügten Link, und der Nutzer lädt sich eine Schadsoftware herunter, die Passwörter ausspioniert, Spam-Nachrichten verschickt oder sämtliche Daten verschlüsselt und nur gegen Zahlung von Lösegeld wieder freigibt.

Cyberangriffe kosten die deutsche Wirtschaft 220 Milliarden Euro jährlich, so der Branchenverband Bitkom. Tendenz stark steigend. 144 Millionen neue Schadprogrammvarianten registrierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) allein im vergangenen Jahr.

Mangel an Experten für Cybersecurity groß

Viele Unternehmen sind gegen diese Gefahr nicht gewappnet - auch weil die Fachkräfte fehlen. Entsprechend hoch ist der Marktwert von IT-Sicherheitsexperten. Alexander Lawall, Professor für Cybersecurity an der Internationalen Hochschule IU mit Sitz in Erfurt, sieht einen harten Wettbewerb um die begehrten Köpfe. „Die Firmen versuchen, schon in den ersten Semestern mit den Studierenden in Kontakt zu kommen.“ Gute Leute könnten sich den Arbeitsplatz aussuchen.

96.000 Stellen für IT-Experten blieben laut Bitkom im vergangenen Jahr in Deutschland unbesetzt. Im Bereich IT-Sicherheit sei der Mangel besonders groß, sagt Lawall. Denn nicht jeder Informatiker mache nach dem Hauptstudium den zusätzlichen Schritt und lasse sich zum Sicherheitsexperten ausbilden. Dabei sei das „einer der bestbezahlten Jobs in der IT“, so der Professor, der an der IU die Bachelor- und Masterstudiengänge für Cybersecurity leitet.

Experten für IT-Sicherheit für jedes Unternehmen ein Muss

Hauptgrund für den Boom am Arbeitsmarkt ist die drastische Zunahme der Internetkriminalität. „Kein Unternehmen und keine Behörde ist mehr vor Cyberangriffen sicher“, sagt Sebastian Artz, Bitkom-Bereichsleiter für Cyber- und Informationssicherheit. Der Trend zum Homeoffice hat das Problem verschärft. Zu Beginn der Coronapandemie standen in vielen Firmen nicht genügend Rechner zur Verfügung, manche Angestellte nutzen zum Teil bis heute private Geräte. „Das geht mit Sicherheitsrisiken einher, die von Kriminellen antizipiert und ausgenutzt werden“, sagt Artz. Experten für Cybersecurity seien für jedes Unternehmen ein Muss - entweder als externe Dienstleister oder eigene Mitarbeiter mit entsprechenden Fachkenntnissen.

Staatlich anerkannte Zertifikate für IT-Sicherheit Amtlich geprüft Das Bundesamt für Sicherheit in der Informationstechnik (BSI) vergibt Zertifikate für Cybersecurity-Experten. Die Schulung erfolgt über private Anbieter, die Anerkennung muss beim Amt beantragt werden. Grundschutzberater ... unterstützen Behörden und Unternehmen bei der Entwicklung und Einführung von IT-Sicherheitskonzepten. Voraussetzung ist eine Basisschulung mit anschließender Prüfung, danach kann die Zertifizierung erworben werden. Vorfallexperten ... helfen Bürgern sowie kleineren Unternehmen, wenn diese einen sogenannten IT-Sicherheitsvorfall haben, also Opfer eines Cyberangriffs werden. Sie ermitteln Ursachen, dämmen Schäden ein und stellen Systeme wieder her. IS-Revisoren ... sind für die IT-Sicherheit von Bundesbehörden zuständig. Sie helfen bei Erstellung und Umsetzung von Sicherheitskonzepten und führen regelmäßig Überprüfungen durch. Voraussetzung für dieses Zertifikat ist die Anstellung bei einem zertifizierten IT-Sicherheitsdienstleister. Penetrationstester ... simulieren Cyberangriffe auf IT-Systeme und helfen dadurch, Schwachstellen aufzudecken und Sicherheitslücken zu schließen. Zulassungsvoraussetzungen sind der Nachweis von Berufserfahrung sowie die Anstellung bei einem zertifizierten Dienstleister.

Das muss nicht zwingend eine Neueinstellung bedeuten: Prüfkonzerne wie Tüv und Dekra bieten berufliche Weiterbildung in digitaler Gefahrenabwehr ebenso an wie Industrie- und Handelskammern. Ein umfassendes IT-Fachwissen und mehrjährige Berufserfahrung werden aber in der Regel vorausgesetzt. Ähnlich sieht es bei Zertifikatslehrgängen wie dem Certified Information Systems Security Professional (CISSP) aus. Auf die umfangreichen Prüfungen können sich Interessenten sowohl mithilfe externer Schulungen als auch im Selbststudium vorbereiten.

Cybersecurity-Job mit gutem Verdienst durch IT-Fortbildungen

Einen vorgeschriebenen Ausbildungsweg für IT-Sicherheitsexperten gibt es nicht. Es gibt zahlreiche Weiterbildungsformate von privaten Anbietern, die vom mehrjährigen Studium bis zum Online-Crashkurs reichen – mal mit, mal ohne Abschlussprüfung. Informatikprofessor Lawall empfiehlt, auf jeden Fall eine Fortbildung mit abschließender Leistungskontrolle und -nachweis zu wählen: „Das bringt definitiv mehr in einer Bewerbung als nur eine reine Teilnahme ohne Prüfung.“

In der Praxis können qualitativ hochwertige Fort- und Weiterbildungen sogar ein Studium ersetzen. Eine Studie des Instituts der deutschen Wirtschaft von 2016 zeigt, dass eine Mehrheit der befragten Unternehmen die Karrierechancen von Fortbildungsabsolventen als genauso gut einschätzt wie die von Bachelorabsolventen. Demnach verdienten IT-Sicherheitskräfte ohne Hochschulabschluss sogar rund 25 Prozent mehr als der Durchschnittsakademiker.

Intensivkurse in IT-Sicherheit dauern oft nur wenige Tage, können aber leicht mehr als 2000 Euro kosten. Neben dem Komplettprogramm gibt es Einzelbausteine für diejenigen, die sich in Spezialdisziplinen wie Netzwerktechnik oder kryptografischen Verfahren fortbilden wollen. „Selbst wenn es geringe Zulassungsvoraussetzungen gibt, werden meist gute Fachkenntnisse erwartet“, sagt Lawall. „Anfänger werden aus solchen Schulungen nicht viel mitnehmen können.“

Bitkom fordert Weiterbildungsoffensive in der IT-Sicherheit

Die umfassendere Alternative ist ein Bachelor- oder Masterstudium, wie die IU es anbietet. „Das Thema ist noch relativ jung“, sagt Lawall. Er selbst ist Informatiker, über seine Promotion kam er zur IT-Sicherheit. Vergleichbare Studiengänge gibt es auch an anderen Hochschulen, etwa in Saarbrücken, Bonn oder Bochum. Inhaltlich geht es zu einem erheblichen Teil um Informatik, der Sicherheitsaspekt kommt noch hinzu. „Wir bilden in gewissem Maße Generalisten aus“, so Lawall. „Um alles zu verstehen, brauche ich ein ganz breites Wissen - nicht nur in der IT-Sicherheit, sondern generell in der Informatik.“

Die meisten Studierenden kommen Lawall zufolge direkt nach dem Abitur an die Hochschulen - oder studieren online. Doch die Zahl der Absolventen reicht bei Weitem nicht aus, die gewaltige Personallücke zu schließen. Sebastian Artz fordert daher eine Weiterbildungsoffensive: „Pragmatismus ist gefragt. Da die Fachkräfte fehlen, müssen wir neue Wege gehen und an verschiedenen Stellen ansetzen“, sagt der Bitkom-Experte. Er schlägt vor, kurzfristig Aus- und Weiterbildungsangebote für IT-Sicherheitsbeauftragte zu schaffen. „Entsprechende Schulungen dauern nur wenige Wochen und sind ein sinnvoller erster Schritt.“

Cybersecurity: Phishing-Mails von Sicherheitsfirma als Warnung

Experten halten es zudem für sinnvoll, sogenannte Awareness-Schulungen für alle Mitarbeiter anzubieten. Denn die letzte Hürde, die ein krimineller Angreifer überwinden muss, ist in der Regel der Mensch. Meist ist es ein unbedarfter Mitarbeiter, der auf den Link in einer Phishing-Mail klickt – und damit schlimmstenfalls eine Schadsoftware ins IT-System des Unternehmens schleust.

Nur im günstigsten Fall landet er auf einer Aufklärungsseite einer IT-Sicherheitsfirma wie der CSX Academy aus Oldenburg. Das Unternehmen bietet neben Cybersecurity-Schulungen auch Simulationen an, bei denen es zum Beispiel nachgebaute Mails von Paketdienstleistern an die Beschäftigten seiner Auftraggeber verschickt.

Diese sogenannten Penetrationstests werden auch von einigen Versicherern verlangt, wenn Unternehmen eine Cyberversicherung abschließen wollen. „Dabei sollen weniger als 15 Prozent der Mitarbeiter durchfallen“, sagt Vertriebschef Christoph Schultejahns. „Es sind aber fast immer mehr als 15 Prozent. Selbst in IT-Firmen.“

Wer auf eine Phishing-Mail der CSX Academy hereinfällt, bekommt eine drastische Warnung, dass er soeben die Sicherheit seines Unternehmens gefährdet hat - und fällt damit hoffentlich in Zukunft auf einen realen Angriff nicht mehr herein. „Wenn der Mensch nicht sensibilisiert ist, hilft keine Technik dieser Welt mehr“, sagt Professor Lawall. Dann heißt es hoffen – auf den Cybersecurity-Experten.

