Nach dem 11. September wurde der US-amerikanische Geheimdienst CIA ein begehrter Arbeitgeber. In den letzten Jahren musste die Central Intelligence Agency aufgrund ihrer Skandale und missglückten Operationen um jede Fachkraft kämpfen, heute erhält sie 600 Bewerbungen am Tag. So viel Patriotismus ist hierzulande zwar nicht zu beobachten, die Nachfrage nach Sicherheitsprofis ist aber auch auf dem deutschen Arbeitsmarkt gestiegen. Gleichzeitig bewerben sich wesentlich mehr junge Leute als zuvor um Jobs im Security-Bereich.
Stefan Grosse, Sicherheitsreferent beim Branchenverband Bitkom, ist zwar überzeugt, dass das Thema Sicherheit einen Schub erhalten hat. Da hier aber strategische Entscheidungen zu treffen seien, erwartet er eher mittelfristige Veränderungen: "Weder Backup-Lösungen noch Zugangskontrollen oder Chipkarten-Anwendungen sind von heute auf morgen zu realisieren." Außerdem fehle es an geeignetem Personal. Dazu Grosse: "Viele Unternehmen waren bereits früher mit Cyber-Attacken überfordert, weil sie nicht genügend qualifiziertes Personal an Bord hatten - und so wird es auch in nächster Zeit bleiben." Technikwissen allein reiche nicht. Vielmehr seien soziale, pädagogische und betriebswirtschaftliche Kompetenzen gefragt. Der IT-Experte müsse der Geschäftsleitung die Sicherheitslösung mit wirtschaftlichen Argumenten plausibel machen, mit Technikern über Internet-Protokolle und physikalische Sicherheitsfragen diskutieren und die Mitarbeiter für das Thema sensibilisieren.
Kein Job für den Firewall-AdministratorDem pflichtet Carsten Casper, Sicherheitsexperte bei der Meta Group in München, bei: "Bei der Suche nach einem Spitzenmann wie dem Chief Information Security Officer haben die Unternehmen keine große Auswahl." Natürlich hätte es Vorteile, wenn dieser Fachmann aus dem eigenen Haus käme und das Geschäft kenne. Casper weiß aber, dass die meisten Unternehmen vor allem über Techniker verfügen: "Eine Firma wäre schlecht beraten, eine solch verantwortungsvolle Position dem Firewall-Administrator oder dem kurz vor der Pensionierung stehenden Rechenzentrumsleiter anzubieten." Der oberste Sicherheitsexperte müsse nicht nur den Überblick behalten und strategisch denken können, sondern auch über Marketing-, Kommunikations- und Führungsfähigkeiten verfügen. Die Tatsache, dass aufgrund der Vernetzung vielfach nicht einmal mehr eindeutig geklärt werden könne, ob ein Angriff von außen oder von innen gekommen sei, lasse ebenfalls erahnen, wie qualifiziert der hierfür zuständige Manager sein müsse.
Laut Casper schwächt die gedämpfte Konjunktur das Personalproblem etwas ab. Wirklich eng werde es, wenn sich die Wirtschaftslage wieder entspannt. Die Personalberater würden bereits heute hoch qualifizierte Experten "sammeln", um sie später für viel Geld an die suchenden Unternehmen zu bringen.
International tätigen Konzernen sowie Finanzdienstleistern ist die Brisanz der IT-Sicherheit nicht erst seit Herbst 2001 bewusst. Luis Molina-Lozano, Leiter der Security-Abteilung bei der Deutschen Bank in Frankfurt am Main, bringt es auf den Punkt: "Der Unterschied ist, dass sich vor dem 11. September niemand vorstellen konnte, dass Angriffe dieser Art tatsächlich passieren." Deshalb wurden bei dem Finanzdienstleister nach dem Attentat alle bereits vorhandenen Business-Continuity-Pläne noch einmal genau überdacht.
Der Sicherheitsberater lernt on-the-jobSicherheitsteams aus Informatikern mit Netzwissen, Mathematikern, Physikern und Kryptologie-Experten sind bei der Deutschen Bank bereits seit Jahren tätig. "Ein Informatikstudium ist von Vorteil, aber kein K.-o.-Kriterium. Ganz wichtig ist das Verkaufstalent", so Molina-Lozano. Schließlich müsse dem Management, das vor allem Gewinne sehen will, die Wichtigkeit der Security "verkauft" werden. "Der introvertierte IT-Profi ist hier am falschen Platz." Molina-Lozano sieht den Arbeitsmarkt nicht so eng: "Dass viele Unternehmen entlassen, erleichtert uns die Personalsuche. Schließlich wollen wir nicht einen fertig ausgebildeten Sicherheitsberater, den es sowieso nicht gibt, sondern einen fähigen Ingenieur oder Informatiker, der an der Security Interesse hat."
Bevor der in Frage kommende IT-Profi eingestellt wird, muss er sich noch der internen Beurteilung stellen. Wird er als Bastler oder Technik-Freak eingeschätzt, sehen seine Chancen, im Sicherheitsbereich eine strategische Position zu erhalten, schlecht aus. Aber auch für die eher techniklastigen Kollegen gibt es genug zu tun. Zu ihrem Job gehört es, sich als "Hacker" zu betätigen - das heißt, sie versuchen, ihren eigenen Computer zu knacken.
Auf die Frage, ob im Sicherheitsbereich auch ehemalige Hacker eingesetzt werden, antworten die Verantwortlichen sehr zurückhaltend. Allgemeiner Tenor: Stabilität in der Lebensführung und der Persönlichkeit sowie Vertrauenswürdigkeit seien in diesem sensiblen Gebiet extrem wichtig. Etwas offener äußert sich dagegen die Frankfurter Arago. Bei dem Sicherheitsdienstleister haben Hacker eine Chance. Geschäftsführer Hans Boos: "Wie soll jemand, der sich noch nie als Hacker betätigt hat, die Denkweise eines Eindringlings verstehen?" Allerdings suche Arago nur intelligente Hacker, für die das Ganze in erster Linie ein Spiel darstellt, in dem das System geschlagen, aber nicht zerstört werden soll. "Wer nur Schäden verursachen will, hat bei uns keine Chance", stellt Boos klar.
Die Attacken werden gefährlicher"Die Zahl der Hacker-Angriffe hat seit dem 11. September nicht nur stark zugenommen - die Attacken sind auch wesentlich gefährlicher geworden", hat Boos festgestellt. Er glaubt, dass hinter dieser Art von Cyber-Kriminalität zunehmend hochkarätige, sogar organisierte Info-Banditen stecken: "Je intelligenter und komplexer die Angriffe, desto professioneller müssen die Sicherheitsexperten sein."
Eine technische Entwicklung hat der Terrorakt ganz sicher vorangetrieben - die Biometrie als Werkzeug der klassischen Zugangskontrolle. Das Fachzentrum Human Computer Interaction (HCI), das Bernhard Kämmerer bei Siemens leitet, beschäftigt sich mit der Unterschrifts- und Stimmerkennung. Seine Mitarbeiter sind studierte Elektrotechniker oder Informatiker. "Sie müssen wissen, wie der Sensor aussieht, wie man die Signale verarbeitet und die speziellen biometrischen Untersuchungen macht", erläutert der Siemens-Manager. Dieses Wissen werde aber nur selten im Studium vermittelt, sondern durch Training-on-the-Job. Als der Münchner Konzern im Frühsommer letzten Jahres für den Biometriebereich Stellen ausschrieb, war die Resonanz enorm. Dazu Kämmerer: "Die jungen Leute finden das Thema spannend. Allerdings muss den Kandidaten klar sein, dass sie in diesem Bereich nicht automatisch Karriere machen können." Zwar sei die Technik vorhanden, aber die Unternehmen hielten sich in puncto Anwendung noch zurück. Der vorausgesagte Boom, so der Siemens-Manager, ist trotz New York bislang noch ausgeblieben. (am)
*Ina Hönicke arbeitet als freiberufliche Journalistin in München.