Noch mal Glück gehabt

Wer sich mit Burak Yilmaz per Videocall unterhalten möchte, der hat es gar nicht so leicht. „Das System lässt mich nicht auf Ihren Google-Meet-Link zugreifen“, spricht er ins Telefon an einem verregneten Nach­mittag, an dem nichts so richtig klappen will. „Warten Sie, ich schicke eine Teams-Einladung rüber“, sagt er. Erst damit funktioniert es, und Yilmaz’ Gesicht taucht auf dem Bild­schirm auf. „Unser System schlägt zurzeit gut 600-mal pro Tag Alarm“, berichtet er. Deshalb hat er seinen Arbeitgeber besonders gut gegen Cyber­angriffe abgesichert.

Yilmaz ist IT-Verantwortlicher eines Mittel­ständlers im Grenz­gebiet zwischen Nordrhein-Westfalen und Niedersachsen. Eigentlich heißt Yilmaz anders, auch der Name seines Arbeit­gebers soll in diesem Text keine Rolle spielen, er soll hier Patrick Reuter heißen. Bisher hätten die Angriffe noch keinen großen Schaden verursacht, sagt er. Aber man kann ja nie wissen. Das Unternehmen möchte keine Hacker provozieren, den Betrieb mit knapp 40 Mitarbeitern ganz gezielt an­zu­greifen und die Sicherheits­systeme doch zu überwinden.

Die Sorge ist durchaus berechtigt. 15 Millionen Cyberangriffe zählte das Bundesamt für Sicherheit in der Informations­technik (BSI) im vergangenen Jahr. Dazu gehört vor allem Malware, also schädliche Software oder Viren, die die Systeme infizieren. Meist passiert das, wenn man eine infizierte E-Mail öffnet oder im Netz ein falsches Werbebanner anklickt, was zu einem Download oder auf eine gefährliche Seite führt. Der Digitalverband Bitkom bezifferte den jährlichen Schaden für die deutsche Wirtschaft 2022 auf 203 Milliarden Euro. Neun von zehn Unternehmen würden Opfer von Datendiebstahl, Spionage und Sabotage.

Gegen solche Angriffe kann man sich schützen, indem man zum Beispiel immer Software-Updates installiert und Mitarbeiter sensibilisiert. Aber auch, indem man jemanden anstellt, der die Systeme im Blick behält – und reagiert, wenn es zu Attacken kommt. Jemanden wie Burak Yilmaz. Er selbst ist Quer­einsteiger, lernte mal Industrie­kaufmann. Dann ging er zur Bundeswehr, wo er eine Umschulung zum Fach­informatiker machte. Erst danach zog es ihn zu einem IT-Dienstleister und von dort schließlich in den Mittelstand zur Firma von Reuter.

Nur: Solche Profis sind rar. 137.000 IT-Stellen waren im Jahr 2022 unbesetzt, zeigen Zahlen des Digitalverbands Bitkom. Laut der IT-Sicherheits­organisation ISC2 haben über 100.000 davon explizit etwas mit Cyber­sicherheit zu tun. Klaus Bürg kennt den Arbeits­markt für IT-Fachkräfte gut, er ist Zentral­europa-Chef des Cybersicherheits-Anbieters Palo Alto Networks. Um an Spezialisten zu kommen, haben Unternehmen laut Bürg zwei Möglichkeiten: Entweder sie bilden die Leute selbst aus, oder sie werben sie ab. „Der Wettbewerb ist angesichts des Fachkräfte­mangels natürlich sehr groß. Und die wenigen, die es gibt, werden sehr gut bezahlt“, hat Bürg beobachtet. „Da dürfte es Leute weniger zu einem Mittelständler ziehen, der zum Beispiel auf der Schwäbischen Alb seinen Sitz hat.“

Yilmaz könnte sich seinen Arbeitgeber angesichts des Fachkräfte­mangels also fast schon aussuchen. Trotzdem zog es ihn zu dem Mittel­ständler. „Das Arbeits­klima hier ist einfach sehr gut“, sagt der 44-Jährige. Reuters Firma war einer der vielen Kunden, die er betreute, als er noch für den IT-Dienst­leister arbeitete. Einmal pro Woche war er vor Ort. Dann warb Reuter ihn ab. Yilmaz sitzt nun täglich im ersten Stock des Verwaltungs­gebäudes, nebenan gibt es einen kleinen Konferenz­raum. Das Büro seines Chefs ist nur wenige Meter entfernt. Wenn er aus dem Fenster blickt, schaut Yilmaz auf die Produktions­halle, dahinter erstrecken sich Felder. Für ein Industrie-gebiet ist es fast schon idyllisch.

Trotz der steigenden Gefahr durch Hacker gibt Yilmaz sich ziemlich gelassen. Er ist gerade aus dem Urlaub zurück. Eine Woche lang war er in Istanbul. Zum ersten Mal, seit er für den Mittel­ständler arbeitet, hatte er seinen Laptop nicht mitgenommen. Denn Yilmaz wähnt sein Unternehmen gut aufgestellt. Es gibt einen Virenscanner, E-Mails werden vorab gecheckt, eine Firewall hat die Firma auch, und selbst­verständlich ist der Server noch mal extra geschützt. Eingerichtet hat all das er, teilweise mithilfe eines Software­anbieters.

Über ein Dashboard im Browser kann er alles überwachen, die Sicherheits­einstellungen anpassen. Jeder einzelne der 36 Computer des Mittel­ständlers ist dort aufgeführt, jede einzelne E-Mail-Adresse. In dem System gibt es verschiedene Alarm­stufen. Ein rotes Dreieck heißt, dass er sofort reagieren muss. In diesen Fällen bekommt Yilmaz zur Sicherheit auch noch mal eine Warn-E-Mail geschickt. Gelb heißt, dass etwas nicht in Ordnung ist, aber keine unmittelbare Gefahr besteht. Das kann zum Beispiel bedeuten, dass ein Computer nach dem Hochfahren nicht unmittelbar mit dem Sicherheits­server kommuniziert. „Früher habe ich auf so etwas sofort reagiert, jetzt warte ich da erst mal 30 Minuten lang ab“, erzählt er.

Die Arbeit seines IT-Fachmanns ist Reuter einiges wert. Nicht nur das Gehalt schlägt zu Buche, auch die Kosten für Hard- und Software. Zudem schickt er Yilmaz einmal im Jahr auf eine Fortbildung. Da komme insgesamt schon ein hoher fünfstelliger Betrag pro Jahr zusammen, sagt Reuter.

Das passt ins Bild: Auswertungen der Portale Stepstone und Glassdoor zeigen, dass Jahres­gehälter von 50.000 bis 60.000 Euro für IT-Security-Engineers durchaus üblich sind; wer besondere Qualifikationen oder Führungs­erfahrung besitzt, kann mitunter noch deutlich mehr verlangen.

Das ist viel Geld, gerade für kleine Unternehmen. Ihnen dürfte es schwerfallen, erfahrene Kräfte abzuwerben oder selbst IT-Experten auszubilden. Für sie kann es sich aber lohnen, Fachkräfte direkt von der Universität oder Fach­hoch­schule abzuwerben. Professorin Miriam Föller-Nord ist Dekanin der Fakultät für Informatik der Hochschule Mannheim. Die Hochschule bietet einen Bachelor-Studiengang für Cyber-Security an. 50 Plätze gibt es pro Semester. Wer heutzutage IT-Sicherheits­experte werde, bekomme auf jeden Fall einen Job, berichtet sie. „Die meisten unserer Studierenden haben einen Anstellungs­vertrag in der Tasche, bevor sie ihr Zeugnis in den Händen halten.“ Mittel­ständler müssen mit Konzernen konkurrieren, mit Behörden, mit Einrichtungen wie Krankenhäusern. Um da mithalten zu können, müssen Mittel­ständler sich also etwas einfallen lassen – und auf Anreize setzen, die man sonst eher von Start-ups kennt. Flexible Arbeits­zeiten, Homeoffice, eine gewisse Familien­freundlichkeit, all das seien Aspekte, die den jungen Absolventinnen und Absolventen heutzutage wichtig seien, sagt Föller-Nord.

Vieles hänge bei kleineren Unternehmen auch vom Chef ab, für den Föller-Nord gleich einen Rat hat. „Häufig wird der IT-Experte als Feind im eigenen Unternehmen wahrgenommen, schließlich verbietet er private Programme, verlangt komplizierte Passwörter und so einiges mehr.“ Ein Chef sollte die Belegschaft also vorbereiten und erklären, wozu all das nötig ist.

Burak Yilmaz hat den Kollegen auch so einiges verboten. Soziale Netzwerke wie Facebook und Instagram dürfen sie zum Beispiel nicht von ihren Arbeits­geräten aus besuchen. Viele Websites hat er gesperrt, selbst­verständlich alles, was mit Pornografie, Gewalt und Drogen zu tun hat. Aber auch weitere Kategorien, etwa Urlaubs­seiten-Anbieter. Zu groß sei die Gefahr, dass einer der Mitarbeiter mal auf eine falsche Werbung reinfällt oder doch eine verdächtige E-Mail durchkommt, die er nicht erkennt, weil sie mit einem passenden Urlaubs­angebot wirbt.

Anfang des Jahres nutzten all die Vorsichts­maßnahmen nichts, sagt Yilmaz und erzählt von einer Attacke, die ihm viel Ärger hätte machen können. Eine E-Mail kam durch, ein Kollege klickte darin auf einen Link, sein Rechner fing sich ein Virus. Den Hackern gelang es, das Outlook-Passwort zu erbeuten. Dann versuchten sie, im Namen des Kollegen 187 E-Mails zu verschicken. Die sollten an all die Kontakte gehen, mit denen er zuletzt im Austausch war. Aufgefallen war das Yilmaz erst, als die eigenen Mitarbeiter verdächtige E-Mails ihres Kollegen bekamen. „Die Nachrichten an unsere externen Kunden sind nicht rausgegangen, die hat das System erkannt“, sagt Yilmaz. Noch mal Glück gehabt.