Nicht erst seit dem I-love-you-Virus haben Backup-Konzepte, Verschlüsselungsverfahren, Firewalls und Seminare zum Thema IT-Sicherheit Hochkonjunktur. Man könnte den Schluss ziehen, die Unternehmen seien sich endlich der Wichtigkeit bewusst und würden die erforderlichen Schutzmaßnahmen ergreifen - und zwar von hochqualifizierten, kompetenten Sicherheitsexperten. Doch weit gefehlt. In den meisten Firmen gibt es weder ein Sicherheitskonzept noch finden irgendwelche Prüfungen statt.
Die Frage, wer für Sicherheitsprobleme verantwortlich ist, stößt in Firmen auf Verunsicherung und Ignoranz. Häufig genug, so klagen Insider, werde der gesamte Bereich der Internet-Sicherheit den Netzwerkspezialisten noch zusätzlich aufs Auge gedrückt. Dabei hätten diese Mitarbeiter in den meisten Fällen weder das entsprechende Know-how noch die erforderliche Kompetenz, um Sicherheit wirklich realisieren zu können.
Noch drastischer beurteilt Kim Schmitz, Geschäftsführer des Münchner Unternehmens Data Protect, die Fähigkeiten von Sicherheitsfachleuten: "In den meisten Fällen handelt es sich um reine Theoretiker, die keine Ahnung davon haben, wie man Lücken im Internet schließt." Dies sei kein Wunder. Hochschulabsolventen bräuchten dem DV-Leiter nur vorzugaukeln, sie hätten sich an der Universität in irgendeiner Form mit dem Thema Sicherheit beschäftigt, schon bekämen sie den Job.
Erst Hacker, dann Dienstleister für IT-Sicherheit
Nicht theoretisches Wissen, sondern Hacking ist für Schmitz das einzig probate Mittel, um ungebetene Eindringlinge im Netz zu stoppen. Er muss es wissen - schließlich war er bis 1996 als Hacker "Kimble" in den Datennetzen unterwegs. Heute bieten er und seine Leute den Kunden an, ihre Netzwerke auf versteckte Sicherheitslöcher zu durchleuchten und gegen elektronische Angriffe abzusichern.
Ein Diplom in IT-Sicherheit können indes nur wenige Absolventen der Informatik vorweisen. Doch das soll sich ändern. Die Hochschulen versuchen seit einiger Zeit, in diesem Bereich Boden gut zu machen. So hat im vergangenen Jahr die Summer University "Informationssicherheit" an der Fachhochschule Rhein-Sieg mehrere Dutzend IT-Spezialisten für die Wirtschaft fit gemacht. Nahezu zeitgleich wurde an der Ruhr-Universität Bochum ein Stiftungsvertrag unterzeichnet, der einem interdisziplinären Institut für IT-Sicherheit eine Anschubfinanzierung von 7,5 Millionen Mark garantiert.
Andreas Geuss, Personalberater bei der A Priori International AG in Rolandseck, über die Gründung: "Die zunächst geplante zweijährige Zusatzausbildung wurde von den Unternehmen mehrheitlich abgelehnt. Sie wollten die Sicherheitsspezialisten sofort und nicht erst in zwei Jahren." Dementsprechend gibt es an der Ruhr-Universität Bochum für Elektrotechniker mit der Fachrichtung Informatik sowie Mathematiker ein Zusatzstudienangebot mit dem Schwerpunkt IT-Sicherheit. Das Interesse der Studenten ist, so Geuss, sehr groß:"Seit den Angriffen auf die Websites von Yahoo, E-Bay oder Amazon.com ist sowohl den Unternehmen als auch den jungen Leuten klar, dass dieser Bereich immer wichtiger wird."
Wie viele Sicherheitsexperten fehlen, weiß niemand so recht. In Deutschland schätzen Marktanalysten die Zahl auf rund 8000. Interessanterweise sind Unternehmen mit bis zu 500 Mitarbeitern laut einer Studie der Meta Group mit durchschnittlich 4,6 Personen im Sicherheitsbereich ganz gut besetzt. Der Mittelstand bis 1000 Mitarbeiter beschäftigt dagegen nur 5,7 Security-Leute, bei Betrieben ab 1000 Beschäftigten sind es gerade mal 6,4.
"Bisher haben nur 41 Prozent der befragten Manager die Sicherheitsfrage zur Chefsache erklärt", heißt es bei der Meta Group. In den USA begegnen die großen Unternehmen dem stetig wachsenden IT-Sicherheitsbedarf mit einem eigens dafür eingerichteten Posten: Der Chief Security Officer (CSO) setzt die Sicherheitsstandards, motiviert die Mitarbeiter zur Einhaltung der Vorgaben und kontrolliert das Ergebnis. Dabei spielt die Motivierung der Mitarbeiter eine entscheidende Rolle. Schließlich nützen diebesten Sicherheitsmaßnahmen nichts, wenn die eigenen Leute für diese Problematik nicht zu sensibilisieren sind. Fragt man allerdings deutsche Unternehmen nach ihrem CSO, ist die Antwort zumeist ratloses Schulterzucken.
Aufgrund der engen Personalmarktsituation und der mangelnden Qualifikationsmöglichkeiten bleibt den Unternehmen nur die Fortbildung der eigenen Mitarbeiter. Für Andreas Jaspers, Geschäftsführer der Gesellschaft für Datenschutz und Datensicherung (GDD) in Bonn, ist dies keine einfache Sache: "Die Sicherheitsprofis brauchen sowohl technisches als auch organisatorisches Know-how - eine Kombination, über die nicht viele Beschäftigte verfügen."
Dass Newcomer im Unternehmen qualifiziert werden müssen, steht auch für Martin Hell fest. Voraussetzung dafür seien ein fundiertes Wissen über Netze und Betriebssysteme sowie die Fähigkeit zu akademischem Denken. Der technische Geschäftsführer der Crocodial Communications GmbH aus Hamburg spürt gemeinsam mit seiner Mannschaft Schwachstellen in den Unternehmen auf. Zu seinem Angebot gehört auch der Einsatz von "Tiger-Teams". Deren Aufgabe ist es, durch gezielte Angriffe Sicherheitslöcher zu entdecken und zu stopfen. Der norddeutsche Sicherheitsexperte zur Zusammensetzung seines Teams: "Der Großteil der Mitarbeiter ist bereits seit 1992 dabei. Damals handelte es sich um Studenten, die sich in den Netzwerkbereich eingearbeitet haben." Im Jahr 1995 habe sich das Unternehmen in Richtung Internet-Security festgelegt. Bei den neu eingestellten Leuten hat Hell neben technischem Know-how vor allem auf betriebswirtschaftliches Wissen Wert gelegt.
International tätigen Konzernen sowie Finanzdienstleistern ist die Brisanz der IT-Sicherheit indes durchaus bewusst. Eine ganze Reihe von ihnen verfügt mittlerweile über so genannte Sicherheitsteams. Ein erfolgreiches Beispiel ist die Deutsche Bank. Bernhard Esslinger, weltweit für die IT-Sicherheit des Frankfurter Konzerns zuständig, nennt die Anforderungen an die IT-Mitarbeiter: "Ein Informatikstudium ist von Vorteil, aber kein k.o.-Kriterium. Wichtig ist, dass die Sicherheitsfachleute zuhören, Abläufe und Anforderungen verstehen können und über soziale Kompetenzen verfügen."
In seiner Gruppe befinden sich Informatiker mit Netzwerkkenntnissen, Mathematiker und Kryptologie-Experten. Darüber hinaus sind Kollegen aus der Revision und dem Bereich Betriebsorganisation vertreten. Esslinger: "Sicherheitsfachleute müssen sich nicht nur im technischen Bereich auskennen, sondern auch in der Lage sein, bei den Kollegen die entsprechende Sensibilität zu wecken. Je besser sie das Unternehmen und seine Strukturen kennen, desto erfolgreicher werden sie sein." Die eher techniklastigen Kollegen des Sicherheitsteams wiederum würden sich hin und wieder als "Tiger-Team" betätigen - das heißt sie versuchen, ihren eigenen Computer zu knacken.
Die gewisse Suchintelligenz
Beim Daimler-Konzern sind Mitarbeiter des Sicherheitsteams ebenfalls damit beschäftigt, Schwachstellen im eigenen Netz zu finden und zu beheben. Alfred Büllesbach, Datenschutzbeauftragter des Daimler-Chrysler-Konzerns, hat dafür gesorgt, dass sich in der Abteilung Informationssicherheit "ein bunter Haufen" tummelt. Hier sind Informatiker und Mathematiker genauso vertreten wie Physiker oder Ingenieure. Die Arbeitsweise des Teams erklärt Büllesbach folgendermaßen: "Die Mitarbeiter kommen in bestimmten Abständen zusammen, durchaus prophylaktisch und nicht erst bei einem konkreten Problem. Sie versuchen, so tief wie möglich - wenn möglich, bis auf die Dateiebene - ins Netz einzudringen und sich bei den erreichbaren Rechnern Administratorrechte zu verschaffen." Danach werde eine Mängelliste erstellt und diskutiert, welche Schlüsse daraus zu ziehen sind.
Neben dem Hochschulabschluss legt der schwäbische Sicherheitschef Wert auf Berufserfahrung im eigenen Unternehmen und auf ein starkes Interesse an neuen Technologien. Darüber hinaus erwartet er vor allem Neugierde und - wie er es nennt - eine "gewisse Suchintelligenz" sowie soziale Kompetenz. Gerade in diesem Job ist es laut Büllesbach besonders wichtig, mit anderen Kollegen zusammenarbeiten zu können.
Nicht alle Firmen sind bei der Suche nach Sicherheitsfachleuten allerdings so erfolgreich wie die Vorzeigeunternehmen Deutsche Bank oder DaimlerChrysler. Stellvertretend für die gesamte Wirtschaftsprüfungsbranche klagt Markus Heinen, Manager Risk Consulting bei der ArthurAndersen Wirtschaftsprüfungsund Steuerberatunggesellschaft: "Nicht nur, dass Bewerbungen für Sicherheitsjobs in unserer Branche sehr selten sind - die eigenen Mitarbeiter wechseln verstärkt zu den glamourösen Internet-Startups."
Seiner Meinung nach befinden sich traditionelle Unternehmen in dem Dilemma, dass Hochschulabsolventen nicht wüssten, welch interessante Jobs auf sie warteten. So habe die Internet-Welt in seinem Haus die Profile der Sicherheitsexperten völlig verändert. Der Eschborner Berater: "Heutzutage erwarten die Kunden vom Wirtschaftsprüfer, dass er neben seinen normalen Tätigkeiten auch ihre Firewall knacken kann." Für ihn steht fest, dass die immer wichtiger werdende Sicherheitsproblematik den Unternehmen noch großes Kopfzerbrechen bereiten wird.
So müssten beispielsweise alle börsenorientierten Aktiengesellschaften seit dem 31. Dezember 1998 sicherstellen, dass in ihrem Haus ein internes Kontrollsystem, also ein Risiko-Management-System, vorhanden ist. Heinen erklärt: "Hier entsteht ein neues Berufsbild, nämlich das des Risiko-Managers." Wo all die benötigten Sicherheitsprofis herkommen sollen, ist ihm nicht klar. Womit sich wiederum die Frage stellt, ob die Green-Card-Offensive des Bundeskanzlers auch in diesem sensiblen Bereich greift.
Personalberater Geuss kann es sich vorstellen: "Wenn der Engpass zu groß wird, wird den Unternehmen wohl nichts anderes übrig bleiben." Seiner Meinung nach sollten sich die Betroffenen in diesem Fall nicht in Indien, sondern in Russland umschauen: "Die Russen waren im Bereich Kryptologie schon immer viel weiter als wir - warum also nicht ihr Know-how nutzen?"
*Ina Hönicke ist freie Journalistin in München.