IT-Sicherheit 2015

NSA-Affäre lässt Nachfrage nach Security-Spezialisten explodieren

IT-Sicherheit hat die Unternehmen schon immer bewegt. Doch seit den Enthüllungen rund um die Schnüffeleien der Geheimdienste NSA und GCHQ ist nichts mehr, wie es war. Unternehmen investieren massiv in Technik und stellen IT-Sicherheitsexperten ein - sofern sie welche finden.

Die Bedrohungen für Unternehmen durch Cyber-Kriminalität und Wirtschaftsspionage nehmen laut dem Eco-Report "IT Sicherheit 2015" weiter zu. Eco ist der Verband der deutschen Internet-Wirtschaft, und die Studie ist eine von vielen, die vor Cyber-Gangstern warnt.

Dabei ist das Thema beileibe nicht neu. Auch vor den Enthüllungen des Whistleblowers Edward Snowden investierten Unternehmen in ihre IT-Sicherheit. Doch nachdem Mitte 2013 das Ausmaß der Angrifffe durch die Geheimdienste deutlich wurde, stieg die Aufmerksamkeit noch einmal stark an - und mit ihr die Investitionsbereitschaft. Kein Unternehmen will gegenüber seinen Kunden einräumen müssen, dass es ein Datenleck gegeben hat und persönliche Daten abhandengekommen sind. Vor allem will kein Unternehmen den damit verbundenen Imageschaden erdulden.

"Wir finden immer eine Schwachstelle"

Foto: alphaspirit-shutterstock

"Die deutsche Wirtschaft hat der Wirtschaftsspionage den Kampf angesagt", verkündete zum Jahresende 2014 die Nationale Initiative für Informations- und Internet-Sicherheit (Nifis), eine herstellerunabhängige Selbsthilfeorganisation. Nach deren Studie verstärken 81 Prozent der Unternehmen ihre Maßnahmen gegen Ausspähung. Und die Bundesregierung plant ein IT-Sicherheitsgesetz. All diese Entwicklungen beflügeln den Arbeitsmarkt für IT-Sicherheit.

Rainer Thome (27) ist IT-Sicherheitsexperte. Er hat in Fulda Informatik mit Bachelor-Abschluss studiert, anschließend den Master-Studiengang IT-Security an der Technischen Universität Darmstadt abgeschlossen. "Mein Interesse am Thema wurde in Fulda gelegt, dort hatte ich ein Semester lang IT-Sicherheit." Mitte 2013 bekam er seinen Abschluss in Darmstadt und fing als Penetration-Tester bei der usd AG in Neu-Isenburg an. Der Dienstleister für IT-Sicherheit hat rund 70 Mitarbeiter. Thome wird beauftragt, wenn es gilt, von außen in die Computersysteme von Firmen einzudringen und deren Sicherheit zu prüfen. "Wenn mir das gelingt, teste ich, welche Möglichkeiten sich mir dort bieten." Zuletzt prüfte er, wie sicher die Website eines Online-Shops ist, mit dem Ziel: "Kann man Produkte ergaunern, ohne zu bezahlen? Oder auf Datenbanken zugreifen und Daten klauen wie Kreditkarteninformationen, Bankverbindungen, Lieferadressen?"

Das alles war tatsächlich möglich, weil das Unternehmen das eingesetzte Standardprogramm für Online-Shops angepasst und so für Datendiebe geöffnet hatte. Thome fand die Schwachstelle, weil er die nötige Qualifizierung hat, die Mitarbeiter in der IT-Sicherheit brauchen.

"Sie müssen die gesamte Breite der Informatik beherrschen", sagt Christian Frei (33), der Vorgesetzte von Thome und Leiter des Geschäftsbereichs Security Analysis & Pentests bei usd. Dazu gehören nicht nur allgemeine, sondern auch technische Feinheiten darüber, wie Datenbanken, Netze und Betriebssysteme funktionieren. Man muss sich mit Programmiersprachen auskennen, braucht Analysefähigkeiten, um Probleme zu erkennen, und IT-Sicherheitswissen, etwa darüber, wie verschlüsselt wird. Als persönliche Skills nennt Frei Genauigkeit, Lernbereitschaft, um immer auf dem aktuellen Stand der Dinge zu sein, und als Besonderheit für Penetration-Tester: "Die müssen sich selbst gut motivieren können, um die Lücke zu finden. Außerdem kreativ sein, um erfolgreich außerhalb regulärer Funktionalitäten zu agieren." Zur Sicherheit der Unternehmen sagt Frei: "Wir finden in jeder neuen Internet-Anwendung mindestens eine kritische Schwachstelle."

Frei ist Diplominformatiker und hat ebenfalls an der TU Darmstadt studiert. Dort hat er auch nach zwei Jahren das "Zertifikat IT-Sicherheit" erlangt. Angeboten wird es vom Center for Advanced Security Research Darmstadt (Cased), einem Zusammenschluss der Technischen Universität und der Hochschule Darmstadt sowie des Fraunhofer-Instituts für sichere Informationstechnologie. Weitere Möglichkeiten zur Fortbildung auf dem Gebiet der Cyber-Sicherheit bietet die Aus- und Fortbildungsinitiative Open C3S. Mehrere Hochschulen und Universitäten haben darin gemeinsam berufsbegleitende Online-Studiengänge entwickelt - darunter Zertifikatsprogramme und jeweils einen Bachelor- und Master-Studiengang.