Die Bedrohungen für Unternehmen durch Cyber-Kriminalität und Wirtschaftsspionage nehmen laut dem Eco-Report "IT Sicherheit 2015" weiter zu. Eco ist der Verband der deutschen Internet-Wirtschaft, und die Studie ist eine von vielen, die vor Cyber-Gangstern warnt.
Dabei ist das Thema beileibe nicht neu. Auch vor den Enthüllungen des Whistleblowers Edward Snowden investierten Unternehmen in ihre IT-Sicherheit. Doch nachdem Mitte 2013 das Ausmaß der Angrifffe durch die Geheimdienste deutlich wurde, stieg die Aufmerksamkeit noch einmal stark an - und mit ihr die Investitionsbereitschaft. Kein Unternehmen will gegenüber seinen Kunden einräumen müssen, dass es ein Datenleck gegeben hat und persönliche Daten abhandengekommen sind. Vor allem will kein Unternehmen den damit verbundenen Imageschaden erdulden.
"Wir finden immer eine Schwachstelle"
"Die deutsche Wirtschaft hat der Wirtschaftsspionage den Kampf angesagt", verkündete zum Jahresende 2014 die Nationale Initiative für Informations- und Internet-Sicherheit (Nifis), eine herstellerunabhängige Selbsthilfeorganisation. Nach deren Studie verstärken 81 Prozent der Unternehmen ihre Maßnahmen gegen Ausspähung. Und die Bundesregierung plant ein IT-Sicherheitsgesetz. All diese Entwicklungen beflügeln den Arbeitsmarkt für IT-Sicherheit.
Rainer Thome (27) ist IT-Sicherheitsexperte. Er hat in Fulda Informatik mit Bachelor-Abschluss studiert, anschließend den Master-Studiengang IT-Security an der Technischen Universität Darmstadt abgeschlossen. "Mein Interesse am Thema wurde in Fulda gelegt, dort hatte ich ein Semester lang IT-Sicherheit." Mitte 2013 bekam er seinen Abschluss in Darmstadt und fing als Penetration-Tester bei der usd AG in Neu-Isenburg an. Der Dienstleister für IT-Sicherheit hat rund 70 Mitarbeiter.
Thome wird beauftragt, wenn es gilt, von außen in die Computersysteme von Firmen einzudringen und deren Sicherheit zu prüfen. "Wenn mir das gelingt, teste ich, welche Möglichkeiten sich mir dort bieten." Zuletzt prüfte er, wie sicher die Website eines Online-Shops ist, mit dem Ziel: "Kann man Produkte ergaunern, ohne zu bezahlen? Oder auf Datenbanken zugreifen und Daten klauen wie Kreditkarteninformationen, Bankverbindungen, Lieferadressen?"
Das alles war tatsächlich möglich, weil das Unternehmen das eingesetzte Standardprogramm für Online-Shops angepasst und so für Datendiebe geöffnet hatte. Thome fand die Schwachstelle, weil er die nötige Qualifizierung hat, die Mitarbeiter in der IT-Sicherheit brauchen.
"Sie müssen die gesamte Breite der Informatik beherrschen", sagt Christian Frei (33), der Vorgesetzte von Thome und Leiter des Geschäftsbereichs Security Analysis & Pentests bei usd. Dazu gehören nicht nur allgemeine, sondern auch technische Feinheiten darüber, wie Datenbanken, Netze und Betriebssysteme funktionieren. Man muss sich mit Programmiersprachen auskennen, braucht Analysefähigkeiten, um Probleme zu erkennen, und IT-Sicherheitswissen, etwa darüber, wie verschlüsselt wird.
Als persönliche Skills nennt Frei Genauigkeit, Lernbereitschaft, um immer auf dem aktuellen Stand der Dinge zu sein, und als Besonderheit für Penetration-Tester: "Die müssen sich selbst gut motivieren können, um die Lücke zu finden. Außerdem kreativ sein, um erfolgreich außerhalb regulärer Funktionalitäten zu agieren." Zur Sicherheit der Unternehmen sagt Frei: "Wir finden in jeder neuen Internet-Anwendung mindestens eine kritische Schwachstelle."
Frei ist Diplominformatiker und hat ebenfalls an der TU Darmstadt studiert. Dort hat er auch nach zwei Jahren das "Zertifikat IT-Sicherheit" erlangt. Angeboten wird es vom Center for Advanced Security Research Darmstadt (Cased), einem Zusammenschluss der Technischen Universität und der Hochschule Darmstadt sowie des Fraunhofer-Instituts für sichere Informationstechnologie.
Weitere Möglichkeiten zur Fortbildung auf dem Gebiet der Cyber-Sicherheit bietet die Aus- und Fortbildungsinitiative Open C3S. Mehrere Hochschulen und Universitäten haben darin gemeinsam berufsbegleitende Online-Studiengänge entwickelt - darunter Zertifikatsprogramme und jeweils einen Bachelor- und Master-Studiengang.
Zurzeit gibt es 100.000 Sicherheitsexperten
"Wir brauchen mehr solche berufsbegleitenden Qualifizierungsmöglichkeiten", sagt Arbeitsmarktexperte Stephan Pfisterer vom IT-Branchenverband Bitkom. Nach seinen Angaben gibt es noch zu wenige Hochschulen, die IT-Sicherheit als eigenes Studienfach anbieten. "Die Alternative dazu ist Weiterbildung", meint der Verbandssprecher. Die Grundlagen der IT-Sicherheit hätten die meisten Informatikabsolventen gelernt. "Darauf lässt sich gut aufbauen."
Pfisterer schätzt, dass es in Deutschland etwa 100.000 IT-Experten gibt, die sich maßgeblich mit IT-Sicherheit beschäftigen. Davon arbeiten 30.000 in IT-Anwenderunternehmen und 70.000 in der IT-Branche selbst. In den Anwenderunternehmen sind es so wenige, weil IT-Sicherheit ein Outsourcing-Thema ist, das die Unternehmen an externe Dienstleister abgeben.
Vor der NSA-Affäre sei IT-Sicherheit eher ein Compliance-Thema gewesen, bei dem es primär um die Einhaltung von Vorschriften gegangen sei, so Pfisterer. Das habe sich 2014 geändert. Jetzt brauche man neben den Datenschutzbeauftragen immer mehr IT-Profis, die sich mit der technischen Abwehr und Prävention auskennen.
Der Grundschutz ist kostenlos
Viele Unternehmen setzen auf den IT-Grundschutz. "Der ist in Deutschland weit verbreitet", weiß René Paegelow (31), IT-Sicherheitsberater im Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn. Den IT-Grundschutz bietet das Amt kostenfrei an. "Mit dieser Empfehlung, wie was zu tun ist, lassen sich mit geringem Aufwand viele Gefahren abwenden." Paegelow hat eine Ausbildung zum Fachinformatiker der Fachrichtung Systemintegration abgeschlossen, dann Medieninformatik studiert. Seit 2011 ist er beim BSI und berät Sicherheitsbeauftragte von Behörden wie das Wirtschafts- oder Gesundheitsministerium zur IT-Sicherheit.
Das BSI hat rund 600 Mitarbeiter, von denen zwei Drittel in der Beratung sowie Forschung und Entwicklung arbeiten. Günther Ennen ist Referatsleiter IT-Sicherheitsberatung und hat mit Paegelow 15 Mitarbeiter im Team. Das sind Generalisten und zugleich Spezialisten in einem Themengebiet, beispielsweise Netze oder Microsoft-Produkte. "Sie brauchen ein Gespür für Unsicherheit in Prozessen und Systemen, Gefühl für Machbares bei Engpässen - und Verständnis für Kunden."