Die Aussichten für Sicherheitsexperten sind gut: Die Zahl derer, die auf diesem Feld arbeiten, soll weltweit von heute 1,3 Millionen auf fast 2,2 Millionen im Jahr 2008 steigen. So lauten zumindest die Prognosen von IDC und der Zertifizierungsorganisation ISC-2. In der gemeinsamen "Global Workforce Study", an der rund 5500 Entscheidungsträger aus der Wirtschaft teilnahmen, beurteilen die Security-Profis sowohl ihre Berufsaussichten als auch ihre Verdienstchancen als gut bis sehr gut. Auch mit den Fortbildungsmöglichkeiten sind die Befragten zufrieden: Sie erhalten im Durchschnitt zehn Tage pro Jahr für Zusatztrainings genehmigt. 27 Prozent rechnen für 2005 sogar mit mehr Fortbildung. Mehr als 50 Prozent der Sicherheitsfachleute verdienen eigenen Angaben zufolge im Jahr 80000 Euro und mehr.

Nach Ansicht von Peter Berlich, Security-Manager bei IBM in der Schweiz und Mitglied im europäischen Advisory Board von ISC-2 ist die Rolle des IT-Sicherheitsbeauftragten wichtiger geworden: "In vielen Unternehmen ist diese Funktion mittlerweile in der Umgebung der Geschäftsleitung etabliert." Das liege zum einen an dem stärkeren regulatorischen Druck, den die Kreditvergabe-Richtlinien Basel II bewirkt hätten und zum anderen am US-amerikanischen Sarbanes-Oxley Act, der eine genaue Einhaltung und Überwachung der Sicherheitsmaßnahmen für die meisten größeren Unternehmen notwendig mache. Berlich: "Gleichzeitig hat sich das Risiko-Management als Führungsmethode in den Unternehmen etabliert. Hier geht es nicht mehr um Risikovermeidung, sondern um Risikoabwägung." Kein Unternehmen könne seine operativen Risiken managen, ohne der IT- und Informationssicherheit besondere Aufmerksamkeit zu schenken.

Aus dem IT-Sicherheitsexperten, der bislang komplexe technische Einzelmaßnahmen überwacht und eingeführt habe, ist laut Berlich der Informationssicherheits-Manager geworden, der sich am geschäftlichen Bedarf und nicht an der technischen Machbarkeit orientiert. Um diese Anforderungen erfüllen zu können, müssten die Sicherheitsexperten hervorragend qualifiziert sein. Berlich: "Die Zeiten, in denen derjenige die Security betreute, der gerade Lust und Laune oder nichts anderes zu tun hatte, sind endgültig vorbei. Zudem sind gerade in Deutschland akademische Qualifikationen in der IT gefragt."

Laut der Studie sehen 30 Prozent der befragten Unternehmen eine Berufszertifizierung als sehr wichtiges Einstellungs- und Karrierekriterium an. International haben sich Zertifikate wie der Certified Information Systems Security Professional (CISSP) von ISC-2 und der Certified Information Systems Auditor (Cisa) etabliert. In Deutschland begann im vergangenen Jahr die Ausbildung zum Teletrust Information Security Professional (TISP). Daneben haben für Berlich auch herstellerspezifische Zertifikate wie der Cisco Certified Security Professional (CCSP) oder Microsoft Certified Systems Engineer Security (MCSE) im technischen Bereich eine Berechtigung. Der Security-Manager erwartet, dass es bei den Zertifizierungsangeboten künftig noch mehr Wettbewerb geben wird.