Dem pflichtet Carsten Casper, Sicherheitsexperte bei der Meta Group in München, bei: "Bei der Suche nach einem Spitzenmann wie dem Chief Information Security Officer (CISO) haben die Unternehmen keine große Auswahl." Natürlich hätte es Vorteile, wenn dieser Fachmann aus dem eigenen Haus käme und das Geschäft kenne. Casper weiß aber, dass die meisten Unternehmen vor allem über Techniker verfügen: "Eine Firma wäre schlecht beraten, eine solch verantwortungsvolle Position dem Firewall-Administrator oder dem kurz vor der Pensionierung stehenden Rechenzentrumsleiter anzubieten."

Gedämpfte Konjunktur schwächt Personalproblem ab

Der oberste Sicherheitsexperte müsse nicht nur den Überblick behalten und strategisch denken können, sondern auch über Marketing-, Kommunikations- und Führungsfähigkeiten verfügen. Die Tatsache, dass aufgrund der Vernetzung vielfach nicht einmal mehr eindeutig geklärt werden könne, ob ein Angriff von außen oder von innen gekommen sei, lasse ebenfalls erahnen, wie qualifiziert der hierfür zuständige Manager sein müsse. Laut Casper schwächt die derzeitige gedämpfte Konjunktur das Personalproblem etwas ab. Wirklich eng werde es, wenn sich die Wirtschaftslage wieder entspannt. Für diesen Fall würden die Personalberater bereits heute hoch qualifizierte Experten "sammeln", um sie dann für viel Geld an die suchenden Unternehmen zu bringen.

International tätigen Konzernen sowie Finanzdienstleistern ist die Brisanz der IT-Sicherheit nicht erst seit Herbst 2001 bewusst. Luis Molina-Lozano, Leiter der Security-Abteilung bei der Deutschen Bank in Frankfurt am Main, bringt es auf den Punkt: "Der Unterschied ist, dass sich vor dem 11. September niemand vorstellen konnte, dass Angriffe dieser Art tatsächlich passieren." Deshalb wurden bei dem Finanzdienstleister nach dem Attentat alle bereits vorhandenen Business-Continuity-Pläne noch einmal genau überdacht.

Sicherheitsteams aus Informatikern mit Netzwissen, Mathematikern, Physikern und Kryptologie-Experten sind bei der Deutschen Bank bereits seit Jahren tätig. "Ein Informatikstudium ist von Vorteil, aber kein K.o.-Kriterium. Ganz wichtig ist das Verkaufstalent", so Molina-Lozano. Schließlich müsse dem Management, das vor allem Gewinne sehen will, die Wichtigkeit der Security "verkauft" werden. "Der introvertierte IT-Profi ist hier am falschen Platz."

Molina-Lozano sieht den Arbeitsmarkt nicht so eng: "Dass viele Unternehmen entlassen, erleichtert uns die Personalsuche. Schließlich wollen wir nicht einen fertig ausgebildeten Sicherheitsberater, den es sowieso nicht gibt, sondern einen fähigen Ingenieur oder Informatiker, der an der Security Interesse hat." Bevor der in Frage kommende IT-Profi eingestellt wird, muss er sich noch der internen Beurteilung stellen. Wird er als Bastler oder Technik-Freak eingeschätzt, sehen seine Chancen, im Sicherheitsbereich eine strategische Position zu erhalten, schlecht aus.

Vertrauenswürdigkeit ist extrem wichtig

Aber auch für die eher techniklastigen Kollegen der Security-Mannschaft gibt es genug zu tun. Zu ihrem Job gehört es, sich hin und wieder als "Hacker" zu betätigen - das heißt, sie versuchen, ihren eigenen Computer zu knacken. Auf die Frage, ob im Sicherheitsbereich auch ehemalige Hacker eingesetzt werden, antworten die Verantwortlichen sehr zurückhaltend.