Mit <kes>+ lesen

Ex schola pro vita : Studien- und Fortbildungsangebote zur Cybersicherheit

An etlichen Stellen fehlen heute zutage dringend benötigte Cybersicherheitsexperten. Unser Autor liefert einen Überblick zum aktuellen Bedarf sowie zu akademischen und anderen Möglichkeiten der Aus- und Weiterbildung in Sachen IT-/Informations-/Cyber-Sicherheit.

Lesezeit 11 Min.

Der Digitalisierungsprozess beschleunigt auf allen Ebenen und der Wertschöpfungsanteil der IT in Produkten und Lösungen wird immer größer – die für einen gelungenen digitalen Wandel wesentliche Cybersicherheit tut sich schwer, mit diesem hohen Tempo Schritt zu halten. Die heutigen IT-Architekturen unserer Endgeräte, Server, Netzkomponenten und zentralen IT-Dienstleistungen sind nicht sicher genug konzipiert und aufgebaut, um den vielfältigen Angriffen erfolgreich entgegenzuwirken – Robustheit und Resilienz unserer IT-Systeme sind ungenügend und der Level an Cybersicherheit entspricht nicht dem „Stand der Technik“.

Umso wichtiger ist gut ausgebildetes Personal – auch und vor allem in Sachen Security. Trotz etlicher Angebote zu Aus- und Weiterbildung stehen jedoch noch immer weniger Cybersicherheitsexperten zur Verfügung, als wir benötigen.

Bedarf und Chancen

Laut der (ISC)² Security Workforce Study [1] waren 2020 in Deutschland über 60.000 Stellen im Bereich Cybersicherheit nicht besetzt, weil keine passenden Fachleute zur Verfügung standen. Noch braucht unsere Gesellschaft also deutlich mehr Cybersicherheitsexperten – und zwar Experten „von morgen“, die Sicherheitslücken finden, bevor Kriminelle oder Hacker diese für ihre Zwecke ausnutzen können. Gefragt sind Innovatoren, die Lösungen gegen zunehmend intelligente Angriffsvektoren entwickeln und damit das Risiko von Schäden minimieren. Und nicht zuletzt brauchen wir auch Cybersicherheits-Know-how in allen Disziplinen, um die fortschreitende Digitalisierung sicher und vertrauenswürdig zu gestalten. Cybersicherheitsexperten haben daher in einer stark wachsenden Zukunftsbranche eine sehr gute Chance auf berufliche Top-Karrieren.

Die nachfolgende Aufzählung nennt einige – teils naheliegende, teils weniger im Bewusstsein befindliche – Beispiele für dringend benötigte Cybersicherheitsexperten:

  • Wir brauchen Experten, die moderne Cybersicherheits-Lösungen entwickeln, die gegen zunehmend intelligente Angriffsvektoren wirken, aber auch Angriffe erkennen können, damit sich durch geeignete, möglichst automatisierte Reaktionen Schäden reduzieren und vermeiden lassen.
  • Wir brauchen Softwareentwickler, die IT-Systeme und -Dienste sicher entwickeln können, damit diese weniger Schwachstellen und Angriffsflächen haben.
  • Wir brauchen Security-Administratoren, die Firewall- und VPN-Systeme, Anti-Spam- und Anti-Malwaresysteme, Verschlüsselungs- sowie Backup-Systeme und so weiter sicher konfigurieren und verwalten können.
  • Wir brauchen Cybersicherheits-Manager (CISOs etc.), die im Rahmen der Gesamtverantwortung in der Lage sind, Unternehmen risikoarm durch die digitale Transformation zu steuern.
  • Wir brauchen Wirtschaftler, die Cybersicherheit im Sinne von Return-on-Security-Investment (RoSI) durchrechnen können, damit Investitionen für einen angemessenen Schutz unserer Unternehmen bessere Chancen erhalten.
  • Wir brauchen Journalisten und PRler, Sozialwirtschaftler und Psychologen, die helfen, unsere Mitarbeiter:innen und Bürger:innen gegen Social-Engineering-Angriffe aufzuklären, damit Betroffene bereits erste Anzeichen erkennen und ihr Verhalten anpassen können – und somit diese Angriffe an Wirkung verlieren.
  • Wir brauchen Juristen, die Gesetze zu IT-Sicherheit, Datenschutz et cetera richtig einschätzen und umsetzen können, um die notwendigen Compliance-Anforderungen zu erfüllen, sodass Bußgelder und Schadensersatzansprüche vermieden werden.
  • Wir brauchen Cybersicherheitsexperten bei der Polizei und in Unternehmen, die Cyber-Kriminalität entgegenwirken und mithilfe fachgerechter Forensik Angriffe analysieren, um daraus Anforderungen für den Schutz zu formulieren.
  • Wir brauchen Cybersicherheitsexperten bei der Bundeswehr, die helfen, uns vor Cyber-WarAngriffen wirkungsvoll zu schützen.

Um all das zu erreichen, brauchen wir deutlich mehr Cybersicherheitsexperten in zahlreichen Branchen, die uns auf den verschiedenen Ebenen helfen, eine sichere und vertrauenswürdige digitale Zukunft zu gestalten.

Cybersicherheit als Wirtschaftsfaktor

Die Cybersicherheits-Branche ist ein sehr wichtiger Markt. Befragungen des Instituts für Internet-Sicherheit – if(is) belegen, dass Unternehmen im Schnitt 0,1 % ihres Gesamtumsatzes in Cybersicherheits-Lösungen (ohne Dienstleistungen) investieren. Bei einem Bruttoinlandsprodukt von 3,44 Billionen Euro wären das bereits 2019 allein in Deutschland 3,4 Milliarden Euro – bezogen auf das weltweite Bruttoinlandsprodukt von 86,6 Billionen Dollar wären also 2019 ganze 86,6 Milliarden Dollar Ausgaben für Cybersicherheits-Produkte angefallen.

Auch die Zahl der Mitarbeiter:innen, die sich bereits in Unternehmen mit Cybersicherheit beschäftigen, ist nicht zu unterschätzen. Bei DAX-Unternehmen sind das im Schnitt 131 Mitarbeiter:innen – auch hier zeigt sich eine Quote von circa 0,1 % aller Beschäftigten. Tabelle 1 belegt am Beispiel ausgewählter Regionen einen deutlichen Anstieg in der vergangenen Dekade.

Für das Wachstum im Bereich Cybersicherheit hat die Studie „Die Internetwirtschaft in Deutschland 2020–2025“ des eco Verbands und Arthur D. Little durchschnittlich 10 % im Jahr prognostiziert – der Wachstumswert im Bereich Cybersicherheit ist dabei höher als die prognostizierte Zunahme für IT-Ausgaben als Ganzes (www.eco.de/studie-die-internetwirtschaft-in-deutschland-2020-bis-2025/).

Damit ist die IT-/Cyber-Sicherheitsindustrie eine ideale Branche, um sich erfolgreich zu etablieren und zu wachsen. Doch da zurzeit nicht genügend Cybersicherheitsexperten:innen zur Verfügung stehen, lässt sich das vorhandene Potenzial nicht voll ausschöpfen, was dringend kurz-, mittel- und langfristig nachjustiert werden muss.

Der europäische Binnenmarkt als Motor für Cybersicherheit

Europa hat überdies in den letzten Jahren sehr viel Energie in die Gesetzgebungen zu IT-Sicherheit und Datenschutz investiert – exemplarisch seien die Datenschutzgrundverordnung (DSGVO), die Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS) und die Richtlinie für Bezahldienste (Payment-Services-Directive, PSD2) genannt. Weitere Verordnungen und Richtlinien sind in Planung. Auch wenn die Industrie Regulierungen selten gut findet, werden dadurch Standards in Europa etabliert, die den Cybersicherheits-Markt in Europa deutlich stärken und Chancen für die weltweite Cybersicherheits-Industrie eröffnen.

Tabelle 1

Tabelle 1: Entwicklung der Zahl sozialversicherungspflichtig Beschäftigter in der Cybersicherheit in ausgewählten Regionen/Bundesländern von 2008 bis 2020

Studium der Cybersicherheit

Im Bereich der akademischen Aus- und Weiterbildung im Bereich Cybersicherheit hat sich in den letzten Jahren sehr viel getan – entsprechende Angebote existieren eigenständig sowie als Teil übergreifender Studiengänge.

Eigenständige Cybersicherheitsstudiengänge

Es gibt zunehmend Bachelor- und Master-Studiengänge im Bereich der Cybersicherheit (bzw. IT-, Internet-, Informations-Sicherheit etc.) gibt es zahlreiche Hochschulen, die entsprechende Studiengänge und Forschungseinrichtungen anbieten. Diese sind häufig in den Fachbereichen Informatik, Elektrotechnik oder Informationsverarbeitung angesiedelt, wobei die Professoren verschiedene Fokusthemen und Schwerpunkte haben können. Unternehmen, Behörden und andere Organisationen, die spezifische Cybersicherheitsexperten suchen, sollten sich die Studieninhalte der Hochschulen genauer ansehen, um die passenden Absolventen zu rekrutieren. Typischerweise ist an den Universitäten die Lehre und Forschung eher theoretischer ausgeprägt, da die dortigen Professoren in der Regel eine reine akademische Ausbildung und keine praktische Erfahrung haben. An den Fachhochschulen hingegen ist die Lehre und Forschung anwendungsorientierter, da die Professoren praktische Erfahrungen in ihrem Spezialgebiet mitbringen müssen.

Hervorzuhebende Orte, an denen sehr viele Cybersicherheitsexperten ausgebildet werden und viel Forschung zu diesem Thema stattfindet, sind:

  • das Ruhrgebiet mit dem Horst-Görtz-Institut, der Ruhr-Universität, dem Max-Planck-Institut für Cybersicherheit und Schutz der Privatsphäre sowie dem Institut für Internet-Sicherheit – if(is) der Westfälischen Hochschule.
  • Darmstadt mit der Technischen Universität Darmstadt, der Hochschule Darmstadt und den entsprechenden Fraunhofer-Instituten.
  • Saarbrücken mit der Universität des Saarlandes und dem CISPA Helmholtz-Zentrum für Informationssicherheit.
  • München mit der Universität der Bundeswehr München, der TU München und den entsprechenden Forschungsinstituten.
  • Karlsruhe mit dem Karlsruher Institut für Technologie (KIT).

Aber auch viele weitere Hochschulen haben in den vergangenen Jahren seit der letzten Übersicht in der [2] Studiengänge aufgebaut, in denen Cybersicherheitsexperten ausgebildet werden.

Der TeleTrusT – Bundesverband IT-Sicherheit e. V. bietet seit Kurzem zur Orientierung auf www.eco.de/studie-die-internetwirtschaft-in-deutschland-2020-bis-2025/) eine Liste solcher Studiengänge an. Diese Liste ist derzeit noch nicht zu 100 % vollständig – jegliche Hinweise auf weitere Angebote an die E-Mail-Adresse info@teletrust.de sind willkommen.

Regionales Ungleichgewicht

Das Instituts für Internet-Sicherheit – if(is) hat in den letzten Jahren häufiger analysiert, wo Cybersicherheitsexperten eine Stelle suchen und wo diese gesucht werden: Wie die Abbildung zeigt, ist die größte Zahl von Stellenangeboten in München, Berlin, Stuttgart, Frankfurt und Hamburg zu finden – grüne Punkten zeigen jeweils eine hohe, gelbe eine niedrige und rote eine geringe Anzahl. Das größte Delta zwischen Angeboten und Nachfragen (Stellengesuchen) ist im Ruhrgebiet zu beobachten, da dort besonders viele Cybersicherheitsexperten ausgebildet werden und die Unternehmen in dieser Region diese offenbar leicht finden können.

Bild 1

Integrativer Teil in weiteren Studiengängen

Mittlerweile integrieren auch Studienrichtungen, die Cybersicherheit nicht zum Schwerpunkt haben, das Thema durch Gastprofessoren oder eigene Dozenten, die Security in weiterreichenden Themenfeldern behandeln. Dazu gehören Bereiche wie Netzwerke, Internet-Protokolle, verteilte Systeme, Betriebssysteme, Datenbanken usw., aber auch Fächer mit sonstigem Bezug zur Digitalisierung.

Berufsbegleitende Cybersicherheitsstudiengänge

Neben Vollzeitstudiengängen haben sich auch berufsbegleitende Cybersicherheits-Studiengänge etabliert. Einige Beispiele sind der Masterstudiengang IT-Sicherheit an der Ruhr-Universität Bochum oder der Bachelorstudiengang IT-Sicherheit an der Technischen Hochschule Brandenburg.

Auch „Timesharing“-Modelle sind möglich: An der Westfälischen Hochschule in Gelsenkirchen studieren einige Studierende den Master Internet-Sicherheit nur zu „2/5“ – das heißt letztlich, dass diese Studierenden eine 3/5-Stelle in einem Unternehmen ausfüllen können und den Rest der Zeit für ihren Master studieren. Ein flexibler Aufbau des Masterstudiengangs bietet hierfür genug Spielraum. Natürlich treten aber auch hier gelegentlich Situationen auf, in denen die beschäftigenden Unternehmen ebenfalls eine gewisse Flexibilität zeigen müssen, zum Beispiel in den Klausurphasen – erfahrungsgemäß können aber rechtzeitige und verlässliche Absprachen für einen reibungslosen Ablauf sorgen.

Andere Wege in die Cybersicherheit

Neben dem klassischen Studium oder seinen moderneren Varianten gibt es weitere Möglichkeiten, um Personal an das Thema heranzuführen und für ein gewisses Know-how zu sorgen.

Selbststudium

Auch ein Selbststudium ist durchaus denkbar: Mithilfe von Büchern und verfügbaren Videos können sich Interessierte in den gewünschten Bereichen weiterbilden. Dazu gehört zwar viel Selbstdisziplin, aber selbst kostenloses Material ist ausreichend verfügbar. Für die eher praktisch veranlagten Interessierten gibt es im Internet Software, Vorgehensweisen und Plattformen, mit denen sich Fähigkeiten aufbauen lassen, um etwa Sicherheitslücken zu finden – im Bereich Kryptografie liefert das CrypTool-Portal (www.cryptool.org/de/) fundierte Informationen und „Spielwiesen“.

Der klassische Weg über Lehrbücher existiert natürlich auch noch – gegebenenfalls ergänzt um interaktive oder multimediale Materialien, wie etwa im Fall von „Cyber-Sicherheit – Das Lehrbuch für Konzepte, Prinzipien, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung“ [3], zu dem auf der Website des Autors 17 Vorlesungen und entsprechende Übungsaufgaben mit Ergebnissen zur Verfügung stehen, sodass man das erworbene Wissen und Verständnis überprüfen kann. Außerdem sind aktuelle Artikel, Vorträge und ein Glossar zur Cybersicherheit verfügbar. Ein weiteres Standard-Lehrbuch ist „IT-Sicherheit: Konzepte – Verfahren – Protokolle“ [4].

Darüber hinaus gibt es diverse Videos von Cybersicherheitsvorlesungen einiger Hochschulen, vor allem wenn diese in der Corona-Krise online stattgefunden haben (siehe etwa https://norbert-pohlmann.com/cyber-sicherheit-vorlesungen/ oder www.nm.ifi.lmu.de/teaching/Vorlesungen/2020ws/itsec/).

Personenzertifikate

Eine andere Möglichkeit, sind Personenzertifikate, wie der Certified Information Systems Security Professional von (ISC)² (www.isc2.org/Certifications/CISSP) oder der TeleTrusT Information Security Professional – T.I.S.P., wobei Letzterer besonders die Prinzipien des IT-Grundschutzes sowie die deutsche und europäische Gesetzgebung berücksichtigt (www.teletrust.de/tisp/).

Junge Talente identifizieren und begeistern

Eine weitere wichtige Aufgabe ist es, junge Talente für Cybersicherheit zu begeistern und zu fördern – dazu hat sich in Deutschland und der EU ein Wettbewerb etabliert: Die jährlich stattfindende Cyber Security Challenge Germany (CSCG) ist Teil des europäischen Wettbewerbs European Cyber Security Challenge (ECSC), der interessierten jungen Menschen aus 22 europäischen Ländern eine Plattform bietet, um sich Ort Herausforderungen zum Thema Cybersicherheit zu stellen (www.cscg.de).

Teilnehmen können Jugendliche und junge Erwachsene zwischen 14 und 26 Jahren. Vorwissen in der Cybersicherheit ist nicht erforderlich – ein solides Grundwissen in der allgemeinen Informatik, Freude am Knobeln und Interesse am Themenfeld IT-Sicherheit bieten bereits eine gute Voraussetzung. Es gibt Cybersicherheitsaufgaben in unterschiedlichen Schwierigkeitsstufen, sodass Anfänger:innen der Einstieg erleichtert und auch Expert:inn:en eine Herausforderung geboten wird.

Der Wettbewerb ist im „Capture-the-Flag“-Stil (CTF) aufgebaut und wird von erfahrenen ehemaligen Teilnehmer:inne:n und CTF-Spieler:inne:n organisiert. Die Aufgaben decken verschiedene Bereiche der Cybersicherheit ab, zum Beispiel Kryptografie, Web-Anwendungen, Reverse-Engineering oder Netzwerksicherheit.

Mit rund 1000 Teilnehmer:inne:n pro Jahr allein in Deutschland lockt die CSCG nicht nur immer mehr Talente, sondern auch potenzielle Arbeitgeber an, welche die Experten von morgen so früh wie möglich identifizieren und kennenlernen möchten.

Die European Cyber Security Challenge (ECSC), die im jährlichen Wechsel in einem von 22 europäischen Partnerländern durchgeführt wird, bringt jeweils zehn Top-Talente der europäischen Teilnehmerländer in einem internationalen Finale zusammen (https://ecsc.eu). Für Deutschland treten die jeweils fünf besten Schüler:innen und Studierenden der nationalen Qualifikation an.

Fazit

Cybersicherheit spielt für unsere digitale Zukunft eine wichtige Rolle, aber noch gibt es nicht ausreichend viele Experten, die dabei helfen, die digitale Zukunft sicher und vertrauenswürdig zu gestalten. Aus diesem Grund ist es wichtig, junge Leute zu motivieren und ausreichend Angebote in der Aus- und Weiterbildung bereitzustellen.

Es wäre daher wünschenswert, noch weitere Studienangebote zu schaffen. Ergänzend sollten basisorientierte Ansätze der Cybersicherheit auch in weitere Studiengängen eingebunden werden, um ein flächendeckendes Potenzial für diverse Branchen zu entwickeln.

Allem voran gilt es, verstärkt Zugangshürden für Schülerinnen und Studentinnen im Bereich der IT-Sicherheit abzubauen, um das derzeit noch vorhandene Geschlechtergefälle in Zukunft deutlich zu reduzieren (siehe auch S. 42). Zurzeit sind etwa im Bereich Cybersicherheit, aber auch in der Informatik an der Westfälischen Hochschule weniger als 7 % der Studierenden weiblich.

Ein ausgewogenes Verhältnis von IT-Sicherheits-Expertinnen und Experten würde letztlich nicht nur das Sicherheits-, sondern auch das Arbeitsklima in Unternehmen deutlich bereichern.

Norbert Pohlmann ist Professor für Informationssicherheit und Leiter des Instituts für Internet-Sicherheit – if(is) an der Westfälischen Hochschule in Gelsenkirchen, Vorstandsvorsitzender des TeleTrusT – Bundesverbands IT-Sicherheit e.V. und Vorstandsmitglied des eco – Verband der Internetwirtschaft e.V.

Literatur

[1] (ISC)² Cybersecurity Workforce Study 2020, Cybersecurity Professionals Stand Up to a Pandemic, November 2020, www.isc2.org/Research/Workforce-Study
[2] Max Luber, Studium Securitatis, 2015#6, S. 60, online verfügbar auf www.kes.info/archiv/leseproben/2015/sicherheits-studium/
[3] Norbert Pohlmann, Cyber-Sicherheit – Das Lehrbuch für Konzepte, Prinzipien, Mechanismen, Architekturen und Eigenschaften von CyberSicherheitssystemen in der Digitalisierung, Springer Vieweg, Juli 2019, ISBN 978-3-658-25398-1 (E-Book) bzw. ISBN 978-3-658-25397-4 (Softcover)
[4] Claudia Eckert, IT-Sicherheit: Konzepte – Verfahren – Protokolle, De Gruyter Studium, August 2018, ISBN 978-3-11-056390-0 (E-Book) bzw. ISBN 978-3-11-055158-7 (Hardcover)

Diesen Beitrag teilen: