IT-Sicherheit in Unternehmen liegt meistens in den Händen von Datenschutzbeauftragten. Jetzt wird nach Technik zur wirkungsvollen Abwehr verlangt. Das macht IT-Sicherheitsexperten umso begehrter.

Jedes dritte Unternehmen in Deutschland beklagt in den vergangenen zwei Jahren IT-Sicherheitsvorfälle. Das hat eine repräsentative Umfrage des Computerverbands Bitkom, Berlin, ergeben. Die Reaktion darauf: 'Die deutsche Wirtschaft hat der Wirtschaftsspionage den Kampf angesagt', verkündete zum Jahresende 2014 die Nationale Initiative für Informations- und Internetsicherheit NIFIS, eine herstellerunabhängige Selbsthilfeorganisation. Nach deren Studie verstärken 81 Prozent der Unternehmen ihre Maßnahmen gegen Ausspähung.

Das beflügelt den Arbeitsmarkt IT-Sicherheit. Rainer Thome ist IT-Sicherheitsexperte. Der 27-Jährige hat in Fulda Informatik studiert, anschließend den Masterstudiengang IT-Security an der Technischen Universität Darmstadt absolviert. Mitte 2013 fing er als Penetration-Tester bei der usd AG in Neu-Isenburg an. Der Dienstleister für IT-Sicherheit hat rund 70 Mitarbeiter. Thome versucht im Auftrag von Unternehmen in deren Computersysteme einzudringen. 'Wenn mir das gelingt, teste ich, welche Möglichkeiten sich mir dort bieten.' Zuletzt prüfte er, wie sicher die Website eines Online-Shops ist, mit dem Ziel: 'Kann man Produkte ergaunern, ohne zu bezahlen?

"Sie müssen die gesamte Breite der Informatik beherrschen"

Oder auf Datenbanken zugreifen und Daten klauen wie Kreditkarteninformationen, Bankverbindungen, Lieferadressen?' Das alles war möglich, weil das Unternehmen das sichere Standardprogramm für Online-Shops für seine Bedürfnisse zwar nur minimal, aber mit maximalen Möglichkeiten für Datendiebe angepasst hat. Es brauchte neben der Bezahlmöglichkeit in Euro ein Feld zum Bezahlen mit Bonus-Nummern. In diesem Feld lag die Schwachstelle. Thome fand sie, weil er die fachlichen und persönlichen Skills hat, die Mitarbeiter in der IT-Sicherheit brauchen. 'Sie müssen die gesamte Breite der Informatik beherrschen', sagt Christian Frei (33), der Vorgesetzte von Thome und Leiter des Geschäftsbereichs Security Analysis & Pentests bei usd. Dazu gehören nicht nur allgemeine, sondern auch technische Feinheiten darüber, wie Datenbanken, Netzwerke, Betriebssysteme funktionieren.

Man muss sich mit Programmiersprachen auskennen, braucht Analysefähigkeiten, um Probleme zu erkennen, und IT-Sicherheitswissen, beispielsweise wie verschlüsselt wird. Als persönliche Skills nennt Frei genaues Arbeiten, Lernbereitschaft, um immer auf dem aktuellen Stand der Dinge zu sein und als Besonderheit für Penetration-Tester: 'Die müssen sich selbst gut motivieren können, um die Lücke zu finden. Außerdem kreativ sein, um erfolgreich außerhalb regulärer Funktionalitäten zu agieren.' Frei hat noch den Diplomstudiengang Informatik an der TU Darmstadt studiert und später die Zusatzqualifikation 'Zertifikat IT-Sicherheit' erlangt.

Angeboten wird das von CASED, einem Zusammenschluss von TU und Hochschule Darmstadt sowie dem Fraunhofer-Institut für sichere Informationstechnologie. Weitere Möglichkeiten zur Fortbildung auf dem Gebiet der Cybersicherheit bietet die Aus- und Fortbildungsinitiative Open C3S. Mehrere Hochschulen und Universitäten haben gemeinsam berufsbegleitende Online-Studiengänge entwickelt (www.open-c3s.de). 'Wir brauchen mehr solcher berufsbegleitenden Qualifizierungsmöglichkeiten', sagt Arbeitsmarktexperte Stephan Pfisterer vom IT-Verband Bitkom. Nach seinen Angaben gibt es zu wenige Hochschulen, die IT-Sicherheit als eigenes Studienfach anbieten, um den Bedarf der Wirtschaft an IT-Sicherheitsspezialisten zu decken.

IT-Sicherheit ist ein Outsourcing-Thema

Die Alternative dazu sei Weiterbildung. Pfisterer schätzt, dass es in Deutschland etwa 100 000 IT- Experten gibt, die sich mit IT-Sicherheit beschäftigen. Davon arbeiten 30 000 in IT-Anwenderunternehmen und 70 000 in der IT-Branche selbst. In den Anwenderunternehmen sind es so wenige, weil IT-Sicherheit ein Outsourcing-Thema ist, das die Unternehmen an externe Dienstleister abgeben. 'Vor der NSA-Affäre ist IT-Sicherheit ein Compliance-Thema für Datenschutzbeauftragte gewesen, die auf die Einhaltung von Vorschriften geschaut haben.'

Datenschutzbeauf tragte braucht man immer noch, aber stark zunehmend Mitarbeiter, die sich mit der technischen Abwehr und Prävention auskennen. Viele Unternehmen setzen auf den IT-Grundschutz. 'Der ist in Deutschland weit verbreitet', sagt Rene Paegelow (31), IT-Sicherheitsberater im Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn. Den IT-Grundschutz bietet das Amt kostenfrei an. 'Mit dieser Empfehlung, wie was zu tun ist, lassen sich mit geringem Aufwand viele Gefahren abwenden.' Paegelow berät Sicherheitsbeauftragte von Behörden hinsichtlich IT-Sicherheit.

Das BSI hat rund 600 Mitarbeiter, von denen zwei Drittel in der Beratung sowie Forschung und Entwicklung arbeiten. Sie sind Generalisten und zugleich Spezialisten in einem Themengebiet, beispielsweise Netzwerke oder Microsoft. Experten gehen davon aus, dass der Bedarf an IT-Sicherheitsexperten künftig deutlich steigen wird.