Cyber Security: Kaiser ohne Reich

Sicherheitsbeauftragte sind die Wächter, die Anonymous, Hackern & Co den Zugang verwehren. Nur selten winken ihnen große Karrieren, dafür langfristig stabile Arbeitsplätze.

Cyber Security Kaiser ohne
Cyber Security Kaiser ohne

In manchen Firmen haben sie nicht einmal eine Fulltime-Position. Sicherheitsbeauftragte, Cyber Security Officers – das klingt nach Zusatzverantwortung ohne Pouvoir, findet Robert Kolmhofer, Leiter des Studiengangs „Sichere Informationssysteme“ an der FH Hagenberg. Ihm persönlich gefällt die Bezeichnung Cyber Warrior am besten, obwohl sie die Aufmerksamkeit fälschlich auf das Internet lenkt: „Man übersieht dann, dass man auch Haustüren offen lassen oder Notebooks und Handys verlieren kann. Das Böse kommt nicht nur aus dem Internet.“

Das wissen auch die Angreifer: „Wenn ich als Hacker eine Bank attackieren will, beiße ich mir am Sicherheitssystem höchstwahrscheinlich die Zähne aus. Da organisiere ich mir lieber ein Notebook, das ein Mitarbeiter im Zugabteil kurz unbeaufsichtigt lässt. Oder ich fladere ein Smartphone.“

Basics kaum umgesetzt

Würde nach Lehrbuch gehandelt, wären viele Angriffe zuverhindern. „Es gibt gewisse Grundregeln“, sagt Kolmhofer, „so wie das Rechts-Links-Schauen beim Überqueren der Straße.“ Die sind meist „nicht einmal im Ansatz“ implementiert. Dazu müsste sich jemand hinsetzen, die Unternehmensdaten nach Brisanz kategorisieren und je nach Schutzklasse entsprechend verwahren. Personenbezogene Daten, etwa Behandlungsverläufe von Patienten, dürfen eben nicht auf einfachen Webservern liegen. So steht es in jedem Standardwerk, jedoch: „Die kennt kaum jemand.“ Die besten sind laut Kolmhofer übrigens das Österreichische IT-Sicherheitshandbuch des Bundeskanzleramts und der Grundschutzkatalog des deutschen Bundesamts für Sicherheit in der Informationstechnik.

Menschliches Versagen

Lecks entstehen immer an der schwächsten Stelle. Das ist oft gar nicht das attackierte Unternehmen, sondern externe Partnerfirmen, denen die Brisanz der Daten nicht bewusst ist: „Dort hat niemand dem Mitarbeiter gesagt, dass er die Excel-Tabelle mit den Sozialversicherungsnummern nicht ins Internet stellen darf.“ 80 Prozent aller Fehler sind menschlichem Versagen zuzuschreiben: „Die beste Security hilft nichts, wenn der Operator sich beim Vergeben der Serverrechte vertippt.“
Einfachste Lösung: die Mitarbeiter schulen, schulen, schulen, von der sicheren Benutzung ihrer Smartphones bis zur professionellen Verschwiegenheit auf Facebook. „Security basiert auf Aufmerksamkeit und Organisation.“
Dafür das Bewusstsein zu schärfen, ist der oberste Job des Sicherheitsexperten. Hierarchisch untersteht er meist als Stabsstelle der Geschäftsführung. Praktisch muss er die IT-Abteilung dazu bewegen, seine Ideen umzusetzen: „Oft ist eine technische Lösung perfekt ausfinanziert, aber für die Mitarbeiterschulung ist kein Geld mehr da.“

Um sich durchzusetzen, ist eine „eine g'scheite Ausbildung“ nötig. Neben dem Bachelor- und dem Masterstudium bietet Hagenberg berufsbegleitend einen viersemestrigen Lehrgang zum „Akademischen Sicherheitsexperten für IKT“ an. Voraussetzungen sind „Matura, technisches Interesse und die Bereitschaft, Verantwortung zu tragen. Der Arbeitgeber muss sich verlassen können, dass seine IT sicher ist.“

Gekommen um zu bleiben

Dafür sind die Jobaussichten rosarot. Die meisten Cyber Warriors lernen ihre künftigen Arbeitgeber schon beim Praktikum kennen. Die Fluktuation ist gering, denn „ein Unternehmen wird alles tun, seinen Sicherheitsexperten zu halten. Es gibt nur wenige im Markt.“ Nach ein paar erfolgreichen Projekten erfolgt der Sprung zum Chief Security Officer, „als spezialisierter Sehender unter anderen Sehenden“. Im weiteren Karriereverlauf bekommen Kommunikations-Skills für Führungsaufgaben immer mehr Gewicht. Regelmäßige Besuche der Foren und Sicherheitsveranstaltungen sind unerlässlich, um den Anschluss in der schnelllebigen Branche zu behalten.

Die Gehälter haben nach der Überhitzung anlässlich der Jahr-2000-Datumsumstellung und der Euro-Einführung wieder Boden unter den Füßen bekommen. Kolmhofer erinnert sich, dass „damals Studenten dasselbe verdient haben wie ich als Professor“. Heute lukrieren Bachelors 2000 bis (immer seltener) 2500 Euro Einstiegsgehalt, Master bekommen etwa 3000 Euro.

("Die Presse", Print-Ausgabe, 15.10.2011)

Die Presse - Testabo

Testen Sie jetzt „Die Presse“ und „Die Presse am Sonntag“ sowie das „Presse“-ePaper und sämtliche digitale premium‑Inhalte 3 Wochen kostenlos und unverbindlich.

Jetzt 3 Wochen testen
Meistgekauft
    Meistgelesen
      Kommentar zu Artikel:

      Cyber Security: Kaiser ohne Reich

      Sie sind zur Zeit nicht angemeldet.
      Um auf DiePresse.com kommentieren zu können, müssen Sie sich anmelden ›.