Ein leicht gebremstes Wachstum kennzeichnet den IT-Sicherheitsmarkt. An der Einstellungspolitik der Sicherheitsfirmen ändert das nichts: Haben sich Arbeitgeber in den vergangenen Monaten zurückgehalten, so stehen Security-Profis jetzt wieder auf der Wunschliste weit oben. Dass die Suche trotz Krise nicht einfach ist, belegt eine Befragung der Zertifizierungsorganisation (ISC)2 zur aktuellen Entwicklung dieses Arbeitsmarktes. Viele Bewerber seien entweder nicht qualifiziert genug oder hätten überhöhte Gehaltsvorstellungen. 80 Prozent der rund 2800 befragten Personalverantwortlichen nannten solche Probleme.
Studenten dürfen Hacken lernen
Foto: Gorgsenegger/Fotolia.com/CW
Dass die Suche nach geeigneten Sicherheitsexperten überaus schwierig ist, bestätigt auch Marco Di Filippo, verantwortlich für die Geschäftsführung der Compass Security AG mit Hauptsitz im schweizerischen Rapperswil. Sein Unternehmen sucht nach mehrmonatigem Einstellungsstopp händeringend neue Leute. Um geeignete Mitarbeiter zu finden, stellt Compass seine eigene Hacking-Infrastruktur den Universitäten zur Verfügung. Di Filippo: "In unseren Hacking-Labs gibt es mehrere Szenarien, in denen wir Fehler, die in der Praxis vorkommen, simulieren. Die Teilnehmer versuchen dann als Angreifer, diese Sicherheitslücken auszunutzen." Auf diese Art und Weise können Compass-Vertreter gute Studenten beobachten und bei Bedarf rekrutieren. Der Sicherheitsexperte: "Darüber hinaus können wir herausfinden, ob jemand ein uns unbekanntes Angriffsverfahren entwickelt hat." Damit schlägt das Sicherheitsunternehmen zwei Fliegen mit einer Klappe. Natürlich kennt Di Filippo das Argument, dass ein IT-Profi sein Wissen auch kriminell einsetzen kann: "Wir verlassen uns hier auf unsere Menschenkenntnis und unser intensives Auswahlverfahren."
Anstrengende Überzeugungsarbeit
Foto: Compass
Die Compass-Mitarbeiter spüren tagtäglich mit Hilfe von Hacker-Angriffen in IT-Netzen Schwachstellen auf und beseitigen sie. Ständig werden hierbei neue Sicherheitslücken und Angriffsarten entdeckt. Di Filippo beschreibt einige Vorurteile, denen die Security-Profis des Unternehmens immer wieder ausgesetzt sind: "Die Verantwortlichen in manchen Firmen, mit denen wir zu tun haben, stellen sich vor, dass wir abgeschottet von der Außenwelt im Keller rund um die Uhr vor dem PC sitzen. Dass wir ganz normale Akademiker sind, damit rechnen viele nicht." In manchen Fällen seien die Compass-Leute sogar mit kriminellen Hackern in Verbindung gebracht worden. Hier hätten sie erst einmal anstrengende Überzeugungsarbeit leisten müssen.
Gefahr durch Entlassene
Bei der Rekrutierung komme es darauf an, für welches Gebiet ein Unternehmen IT-Sicherheitsfachleute benötige. Schließlich sei es ein Unterschied, ob der gesuchte Profi in der Prävention, im Risk-Management oder im Hacking tätig sein solle. Di Filippo: "Die Leute, die wir einstellen, müssen einerseits technikverliebt sein und andererseits über gute Sozialkompetenz verfügen." Letztere sei wichtig, weil die Security-Profis mit ihrem Audit Unternehmen möglicherweise vor den Kopf stoßen. Zudem müsse jeder Analyst beim Kunden seine Ergebnisse präsentieren.
Auf Dauer werde es die Suche erleichtern, dass eine Reihe von Hochschulen mittlerweile Leistungskurse in IT-Sicherheit anbieten. Der Compass-Manager ist sicher, dass auch Unternehmen wieder Sicherheitsexperten rekrutieren. Das Thema sei viel zu wichtig, um es lange brachliegen zu lassen. Der Security-Fachmann: "Je schlechter die Konjunktur läuft, desto höher ist die Wahrscheinlichkeit von Angriffen. Schließlich gibt es eine Reihe von hoch qualifizierten IT-Profis, die ihren Job verloren haben und mit ihrer Situation unzufrieden sind. Ihr Wissen kriminell einzusetzen könnte für einige von ihnen verführerisch sein."
Arbeiten an Standards
Foto: Kaspersky
Bei der Kaspersky Labs GmbH in Ingolstadt, die sich als Virenjäger einen Namen gemacht hat, hat es in diesem Jahr anders als bei vielen Konkurrenten keinen Einstellungsstopp gegeben. Geschäftsführer Axel Diekmann: "IT-Security-Profis sind gerade in Zeiten der Wirtschaftskrise gefragte Leute. Schließlich ist den Verantwortlichen die Wichtigkeit einer geschützten IT-Infrastruktur absolut bewusst." Während in Deutschland vorrangig Mitarbeiter für den technischen Bereich und den Vertrieb benötigt würden, seien bei Kaspersky Labs international vor allem Forschungs- und Entwicklungsabteilungen auf der Suche nach Sicherheitsexperten. Dazu würden sowohl Berater als auch Virenjäger und Softwareprofis gehören. Die neuen Kollegen müssten über eine solide Ausbildung verfügen. Diekmann: "Ein Studium ist weniger entscheidend als die Fähigkeit, zu kommunizieren und sich in ein Team zu integrieren."
Foto: Freudenberg/H. Königes
Das sehen die Verantwortlichen beim Freudenberg-Konzern ähnlich. 2004 wurden mit Hilfe eines Maßnahmenkatalogs einheitliche IT-Security-Standards entwickelt und international in sämtlichen Teilkonzernen umgesetzt. Gegen Angriffe von außen glauben sich die Verantwortlichen gut geschützt. Harald Berger, Chief Information Officer Corporate Process and Information Management bei Freudenberg Haushaltsprodukte KG in Weinheim, sagt selbstbewusst: "Dass unsere Mitarbeiter in einem von der Konzernspitze initiierten Prozess IT-Sicherheit verinnerlicht haben, trägt auch zu einem guten Gefühl bei."
Kleine Firmen ignorieren Gefahren
In seinem Unternehmen ist lediglich ein einziger Mann als Sicherheitsprofi tätig, aber auch er verfügt laut Berger nicht über ein spezialisiertes "Hacker-Wissen": "Wir arbeiten im Security-Bereich mit einer externen Sicherheitsfirma zusammen. Zu ihren Aufgaben gehört es unter anderem, einen Angriff auf das IT-System zu simulieren." Sollten die externen Sicherheitsprofis Schwachstellen entdecken, deren Behebung mit Anpassungen verbunden sei, so würden sie dies gemeinsam mit den internen Mitarbeitern erledigen. Laut Berger werden solche Veränderungen dadurch erleichtert, dass die IT-Security-Consultants bereits vorher die entsprechende Infrastruktur aufgebaut haben: "Wir vertrauen den externen Hacker- und Virenjägern und fühlen uns sicher."
All diese Aussagen vermitteln das Gefühl, die Krise sei bei den Sicherheitsexperten so gut wie nicht spürbar. Befragt man aber IT-Freelancer, die auf diesem Gebiet tätig sind, kommen Zweifel auf. Etliche von ihnen erleben seit Monaten, dass IT-Sicherheitsprojekte auf Eis gelegt oder gar gestoppt werden. IT-Freiberuflerin Gabriele Jochmann: "Gerade kleinere Unternehmen unterschätzen Gefahren und installieren nur einen Antivirenscanner oder eine Firewall."
Zertifikate helfen Freiberuflern
Die Freelancerin erinnert daran, dass Externe in puncto Gesetzgebung immer am Ball bleiben müssen. Ein Beispiel sei die Novellierung des Datenschutzgesetzes. Jochmann: "Die entsprechenden Änderungen müssen dringend berücksichtigt werden, weitere Änderungen treten bereits zum 1. April 2010 in Kraft. Wer hier nicht up to date ist, steht als Freiberufler auf verlorenem Posten."
Um auf dem Laufenden zu sein, besucht die IT-Freiberuflerin Weiterbildungsseminare, informiert sich im Internet und bildet sich mit Fachliteratur weiter. Nach ihrer Erfahrung bevorzugen Unternehmen, gerade im Bereich IT-Sicherheit und Datenschutz, Freelancer, die neben ausreichender Erfahrung auch Zertifikate vorweisen können. Allerdings nützt ihrer Meinung nach jede Weiterbildung wenig, wenn es dem externen Spezialisten nicht gelingt, intern bei Vorgesetzten und Mitarbeitern das Bewusstsein für die IT-Sicherheit zu wecken: "Sorglosigkeit und Unwissen müssen durch Aufklärung bekämpft werden. Das ist der schwierigste Job - sowohl für interne als auch für externe Security-Fachleute."
Hacker nicht gleich Hacker
Die Hacker-Szene wehrt sich gegen die verbreitete Meinung, sie sei kriminell. Ein Hacker ist der ursprünglichen Definition nach jemand, der sich für einen kreativen Umgang mit der Technik interessiert. Heute arbeiten immer mehr Hacker als IT-Sicherheitsexperten in Unternehmen, um Lücken in Software oder Systemen zu entdecken und zu schließen.