Cybersicherheit wegen Personalmangels abgesagt?

In Deutschland entsteht eine neue Cyber-Sicherheitsarchitektur – in rasantem Tempo. Unangenehme Folge: Um IT-Spezialisten konkurrieren die Behörden jetzt nicht mehr nur mit der Wirtschaft, sondern auch untereinander. Der Markt ist leergefegt. Scheitert die Cybersicherheit Deutschlands am Expertenmangel?

In der Folge des IT-Sicherheitsgesetzes und der Cybersicherheitsstrategie für Deutschland 2016 entstehen allerhand Teams und Behörden neu: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wächst, MIRTs werden aufgebaut, neue CERTs entstehen, der Bund gründet die neue Behörde ZITiS, Sicherheitsbehörden wie BKA, BND und BfV richten neue Cyber-Einheiten zu Ermittlungs-, Spionage- oder Antiterrorzwecken ein, und Bayern gründet gleich ein eigenes Landesamt für Sicherheit in der Informationstechnik mit 200 Stellen. Auch die Bundeswehr baut ihre Kapazitäten im Cyberraum deutlich aus. Man denke nur an das neue Kommando Cyber- und Informationsraum mit über 15.000 Soldaten. Und alle brauchen sie dieselben Experten. Eine der größten Herausforderungen bei der Umsetzung der Cyber-Sicherheitsstrategie für Deutschland ist die Personalbeschaffung, darüber herrscht Einigkeit, auch auf der Public IT Security 2017 (PITS 2017) in Berlin.

Ein symptomatisches Beispiel: ZITiS

ZITiS, die „Zentrale Stelle für Informationstechnik im Sicherheitsbereich“, wurde am 6. April 2017 gegründet. Die Forschungs- und Entwicklungsstelle mit den Aufgabenschwerpunkten digitale Forensik, Telekommunikationsüberwachung, Kryptoanalyse und Big-Data-Auswertung soll allen deutschen Sicherheitsbehörden konkrete Softwarelösungen für ihre Aufgaben zuarbeiten, Trojaner beispielsweise. 120 Planstellen sind für die Behörde im Jahr 2017 vorgesehen. Doch bis heute sind noch nicht einmal 20 Stellen besetzt. Dabei soll sie bis 2020 auf 400 Mitarbeiter anwachsen.

Dieselben Nachwuchsprobleme haben auch andere Behörden. Der Verfassungsschutz habe zwischen 2015 und 2017, so die Süddeutsche Zeitung, eigentlich 100 IT-Spezialisten einstellen wollen. Bis heute sind aber viele der Stellen noch frei. Auch der BND sucht mit Hochdruck nach Hackern: „50% unserer Stellenanzeigen gehen im Moment in diese Richtung“, verriet Guido Müller, Vizepräsident für zentrale Aufgaben und Modernisierung beim BND auf der PITS 2017.

Warum Behörden keine Spezialisten finden

Die Behörden machen sich gegenseitig Konkurrenz. Doch der größte Wettbewerber ist immer noch die freie Wirtschaft. Das hat einerseits mit einem kulturellen Unterschied zu tun. Für ein IT-Security-Unternehmen kann man, so die Analyse der Süddeutschen Zeitung, „in Cafés und auch im T-Shirt arbeiten.“ Für alle, die auf diesen Geschmack gekommen sind, sei „die deutsche Bürokratie, die selbst in einer Institution wie dem BND herrscht, unattraktiv.“ Und, last but not least: Das Gehaltsgefälle ist beachtlich. Wer sich mit Hackerattacken auskennt, kann in der Wirtschaft unter Umständen im Monat verdienen, was der Staat in einem Jahr bezahlt.

Dr. Andreas Mück, IT-Sicherheitsbeauftragter des Freistaats Bayern im bayerischen Finanzministerium, kann von alledem ein Lied singen: „Es ist unwahrscheinlich schwierig für Einstiegsgehälter der Besoldungsgruppe A10 IT-Sicherheitsexperten zu bekommen. Außerdem können wir im öffentlichen Dienst keine hippe Location wie Google oder Apple anbieten und wir haben aufgrund des Dienstrechts wenig flexible Arbeitszeiten. Die Leute können nicht im Sommer vom Badesee und im Winter von der Ski-Hütte aus arbeiten“, so Dr. Mück auf der PITS 2017 in Berlin.

Gegenmaßnahmen? Nur wenige zündende Ideen

Über Gegenmaßnahmen haben manche der Beteiligten klarere Vorstellungen als andere –wenige, wie die Bundeswehr, haben bereits konkrete Maßnahmen ergriffen. Ortsunabhängiges Arbeiten ist in der Truppe kein Fremdwort mehr und der in München neugegründete Master-Studiengang „Cyber-Sicherheit“ bildet die zukünftigen eigenen Experten aus. Hie und da scheint man aber auch der Meinung zu sein, dass gerade die Unterschiede zur Wirtschaft den öffentlichen Dienst attraktiv machen können. Die Aussicht auf Verbeamtung sei beispielsweise ein Argument. In Bundesländern wie Sachsen zähle allein schon die Aussicht auf einen unbefristeten Arbeitsvertrag, bemerkte Dr. Erwin Wagner, Leiter der Abteilung „IT und eGovernment in der Staatsverwaltung“ im Sächsischen Staatsministerium des Innern. Bei ZITiS wiederum scheint man wenigstens zu versuchen, den kulturellen unterscheid zur Wirtschaft zu nivellieren und bietet laut Medienberichten flexible Arbeitszeitmodelle und Sabbaticals an.

Die Kombination beider Kulturen

Die BWI, als 100-prozentige Bundesgesellschaft eine Art Kombination aus beiden Kulturen, bietet ebenfalls flexible Arbeitszeitmodelle – Vertrauensarbeitszeit oder Teilzeitarbeit beispielsweise. Das als „Great Place to Work“ ausgezeichnete Unternehmen offeriert eine große Bandbreite an Jobs und legt zudem viel Wert auf die Ausbildung: Studenten mit einem erfolgreich abgeschlossenen Bachelorgrad können bei der BWI ein berufsbegleitendes Masterstudium absolvieren, den Master@BWI. Studium an Partnerhochschulen wechseln sich dabei mit Praxisphasen im Unternehmen ab. Dieses Modell folgt einem einfachen, aber zwingenden Gedanken: Wenn es zu wenige Spezialisten gibt, müssen eben mehr ausgebildet werden. Das mag etwas dauern, doch am Ende stehen Experten, die mit ihren Kompetenzen perfekt ins Anforderungsprofil der Cybersecurity von heute und morgen passen.

Titelfoto: © CHAINFOTO24/shutterstock

Alle Kommentare (1)

PeterD
2017-30-10 | 13:47
Und dann nimmt man am ende jedes Personal nur um die Stellen zu besetzen. In meinen Dienstjahren habe ich viele dieser "das kann jeder" Experten kennenlernen müssen. Besonders die mit den Sprüchen: das würde ein Angreifer nie machen oder das geht ja technisch gar nicht.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*