Mit der zunehmenden Digitalisierung, Internet of Things und Vernetzung von Produktionsanlagen entwickelt sich IT-Sicherheit zu einem zentralen Aufgabenfeld. "Bisher war die Produktion weitgehend autonom. Doch heute sind viele Roboter und Maschinen vernetzt und haben Internet-Zugang. Die Sicherheitsstandards sind jedoch oft noch verbesserungswürdig", warnt Bernd Eßer, Chief Security Officer der BWI Informationstechnik in Meckenheim.

Auch Lars Fink, Geschäftsführer des IT-Beratungsunternehmens Bee Security in Köln, geht davon aus, dass die Sicherheitsvorfälle drastisch zunehmen werden. Manche Angriffe auf IT-Systeme werden heute besser und schneller erkannt, meint der Unternehmer. In den vergangenen Jahren wandelte sich auch das Image der IT-Sicherheitsexperten; galten die Spezialisten lange als Verhinderer und Bedenkenträger, suchen heute viele Firmen Experten mit diesem Know-how. Fink empfiehlt, bereits bei der Softwarentwicklung an die späteren Sicherheitsanforderungen zu denken anstatt das Thema defensiv anzugehen.

"Egal, was wir präventiv für die Sicherheit tun, es ist nur bedingt steuerbar, ob Angreifer ins System einbrechen können. Wichtig ist, schnell zu erkennen, dass jemand eingebrochen ist", sagt Bernd Eßer. Absolute Sicherheit gibt es schlichtweg nicht. Inzwischen kommt es vor allem auf Schnelligkeit an. Der 53-jährige Eßer beschäftigt sich seit den 1990er Jahren mit Sicherheitskonzepten und erlebte in dieser Zeit, wie sich das eigene Berufsprofil veränderte. "Vor zehn Jahren war Schnelligkeit kein Thema. Es gab eine Risiko-Analyse, Steuerungselemente und eine Handlungsanweisung, wie man präventiv vorgehen kann. Heute arbeiten wir mit Sensoren und kontrollieren permanent alle Vorgänge."

Denken wie ein Hacker

Im weiten Feld der IT-Sicherheit eröffnen sich für Informatiker vielfältige Berufsperspektiven. Wichtig und relativ einfach finden Firmen gute Administratoren, die bestehende Systeme mit klassischen Maßnahmen nach außen absichern können. Wie eine Firewall funktioniere sei klar definiert, das Wissen lasse sich leicht trainieren, meint Fink. Schwieriger wird es dagegen, Experten für das sogenannte "Penetration Testing" zu finden. "Die Spezialisten müssen kreativ sein und sich vorstellen können, was Hacker interessiert. Idealerweise können sie sich in andere hinein versetzen und bringen eine Faszination für die dunkle Seite mit", erklärt Fink. Diese Sicherheitsspezialisten agieren wie "gute Hacker", können sich aber in die kriminelle Gedankenwelt ihres Gegners hineinversetzen. Außerdem müssen sie in der Lage sein, analytisch zu denken und systematisch zu arbeiten, sowie mit ihren Teamkollegen kooperieren. "Diese Spezialisten sind intrinsisch motiviert und wollen gerne coole Tools ausprobieren", weiß Fink.

Auch Informatiker, die eine Softwarearchitektur entwerfen und dabei das ganze System im Auge haben, viel Berufserfahrung mitbringen, ein Team leiten und ihre Ideen gegenüber dem Management in verständliche Sprache übersetzen können, finden sich nicht so leicht, sagt Fink. "Sie müssen die Zusammenhänge genau verstehen und viel technische Expertise mitbringen", erklärt der Kölner Unternehmer. Hier reiche oft eine Fachinformatiker-Ausbildung nicht aus, sondern geeignete Bewerber bringen idealerweise ein Informatikstudium sowie zusätzliches Wissen über betriebswirtschaftliche Zusammenhänge mit. Wirtschaftsinformatiker sieht Fink nur dann als geeignet an, wenn sie sich intensiv mit Technologie beschäftigt haben. Als weitere wichtige Berufsgruppe sieht Fink Auditoren, die Standards überprüfen.

Wenn Fink neue Mitarbeiter für sein Beratungsunternehmen sucht, merkt er schnell, dass es vor allem die berufserfahrenen IT-Sicherheitsexperten sind, die schwer zu finden sind. "Wir kooperieren eng mit Hochschulen, um gute Leute möglichst früh kennenzulernen und sie dann selbst weiterzubilden", erklärt der Kölner Unternehmer und fügt hinzu: "Über eine Stellenanzeige haben wir noch nie jemanden gefunden."

Die Berufschancen für IT-Sicherheitsexperten schätzt auch Bernd Eßer als sehr gut ein. Methodiken der Risikobewertung und der Organisation von IT-Sicherheit finden sich inzwischen auf dem Lehrplan vieler Informatikstudenten. Auch wie Netzwerke professionell abgesichert werden und wie eine IT-Sicherheitsarchitektur aussehen muss, lernen Studenten heute an den Hochschulen. Deshalb findet die BWI Informationstechnik Security-Manager, IT-Sicherheits-Consultants und IT-Sicherheitsarchitekten gut am Arbeitsmarkt. Schwieriger wird es jedoch, berufserfahrene Experten für stark spezialisierte Themen wie IT-Forensik, Malware (Schadsoftware), sogenannte Reverser oder für das Computer Emergency Response Team (CERT) zu finden. "Mitarbeiter in den sogenannten Hunter- oder CERT-Teams lassen sich nicht nur über das Gehalt gewinnen. Sie wollen ein sicheres Arbeitsumfeld für sich, viele Freiheiten und auch so manches technische Spielzeug. Ein Team, in dem sie sich wohlfühlen, ist ihnen wichtig", erklärt Bernd Eßer und fügt hinzu: "Sie haben eine intrinsische Motivation und den persönlichen Ehrgeiz, dass niemand in ihre Netze einbricht oder sie den Eindringling schnell finden."

Wer sich für IT-Sicherheit interessiert, bringt nach dem Eindruck von Lars Fink eine Faszination für das Dunkle mit. Während ein klassischer Informatiker sich mehr für den Aufbau interessiert, müsse ein Sicherheitsexperte auch die Lust mitbringen, etwas kaputt zu machen. Neben umfassendem Wissen und Erfahrung brauchen IT-Sicherheitsexperten auch Kommunikationstalent. Die Berufsaussichten schätzt der Unternehmer Fink als sehr gut ein, denn auch für Quereinsteiger gebe es viele Einstiegschancen. "Die Industrie ist sehr offen für Quereinsteiger ohne Studium, die sich das Wissen selbst, mit Weiterbildungen und Zertifikaten aneignet haben", erläutert Fink.

Helfen Stars der Szene wie Edward Snowden, mehr Abiturienten für das Thema zu begeistern? Lars Fink warnt davor, Informatik oder den Schwerpunkt IT-Sicherheit aus einer Art Hacker-Romantik heraus zu wählen. "In diesem Beruf gibt es viele Routine-Aufgaben", meint Fink. Auch das Bewusstsein für IT-Sicherheit nahm mit den Enthüllungen von Wikileaks oder Snowden kaum zu, denn die Liste der besonders unsicheren Passwörter sieht seit Jahren ähnlich desaströs aus.

Kooperation in der Ausbildung von IT-Sicherheits-Profis

Das Kompetenzzentrum für IT-Sicherheit CISPA (Center for IT-Security, Privacy, and Accountability) an der Universität Saarbrücken bildet zukünftig gemeinsam mit der Stanford University IT-Sicherheitsprofis aus. Eingefädelt hat diese Kooperation der heute 39-jährige Michael Backes, Direktor des CISPA. Backes studierte Informatik in Saarbrücken, wechselte nach der Promotion an das IBM-Forschungslabor in die Schweiz und erhielt 2005 einen Ruf an den Lehrstuhl für Informationssicherheit und Kryptographie an die Universität des Saarlands in Saarbrücken. Backes promovierte bereits nach dem sechsten Semestern in Informatik, war mit 26 Jahren Deutschlands jüngster Professor und wurde vom MIT (Massachusetts Institute of Technology) als erster Deutscher auf die Liste der "35 besten Forscher der Welt unter 35" gewählt. Die COMPUTERWOCHE wählte den smarten Informatiker in die Hall of Fame. Gefördert wird die Forschungskooperation vom Bundesministerium für Bildung und Forschung (BMBF) mit jährlich drei Millionen Euro. Direktoren des Kompetenzzentrum für IT-Sicherheit sind Michael Backes und John Mitchell, Informatikprofessor und derzeit stellvertretender Kanzler der Stanford University.