Noch mal Glück gehabt
ZEIT RedaktionKleine Mittelständler sind besonders stark von Cyberangriffen betroffen. Auch weil sie mit großen Konzernen um Fachkräfte konkurrieren. Wie es einem Maschinenbauer gelungen ist, einen IT-Spezialisten in die Provinz zu holen.
Redaktioneller Beitrag aus: „ZEIT für Unternehmer Ausgabe 4/2023. Geschäftspartner der ZEIT Verlagsgruppe haben auf die journalistischen Inhalte der ZEIT Redaktion keinerlei Einfluss.“
Wer sich mit Burak Yilmaz per Videocall unterhalten möchte, der hat es gar nicht so leicht. „Das System lässt mich nicht auf Ihren Google-Meet-Link zugreifen“, spricht er ins Telefon an einem verregneten Nachmittag, an dem nichts so richtig klappen will. „Warten Sie, ich schicke eine Teams-Einladung rüber“, sagt er. Erst damit funktioniert es, und Yilmaz’ Gesicht taucht auf dem Bildschirm auf. „Unser System schlägt zurzeit gut 600-mal pro Tag Alarm“, berichtet er. Deshalb hat er seinen Arbeitgeber besonders gut gegen Cyberangriffe abgesichert.
Yilmaz ist IT-Verantwortlicher eines Mittelständlers im Grenzgebiet zwischen Nordrhein-Westfalen und Niedersachsen. Eigentlich heißt Yilmaz anders, auch der Name seines Arbeitgebers soll in diesem Text keine Rolle spielen, er soll hier Patrick Reuter heißen. Bisher hätten die Angriffe noch keinen großen Schaden verursacht, sagt er. Aber man kann ja nie wissen. Das Unternehmen möchte keine Hacker provozieren, den Betrieb mit knapp 40 Mitarbeitern ganz gezielt anzugreifen und die Sicherheitssysteme doch zu überwinden.
Die Sorge ist durchaus berechtigt. 15 Millionen Cyberangriffe zählte das Bundesamt für Sicherheit in der Informationstechnik (BSI) im vergangenen Jahr. Dazu gehört vor allem Malware, also schädliche Software oder Viren, die die Systeme infizieren. Meist passiert das, wenn man eine infizierte E-Mail öffnet oder im Netz ein falsches Werbebanner anklickt, was zu einem Download oder auf eine gefährliche Seite führt. Der Digitalverband Bitkom bezifferte den jährlichen Schaden für die deutsche Wirtschaft 2022 auf 203 Milliarden Euro. Neun von zehn Unternehmen würden Opfer von Datendiebstahl, Spionage und Sabotage.
Gegen solche Angriffe kann man sich schützen, indem man zum Beispiel immer Software-Updates installiert und Mitarbeiter sensibilisiert. Aber auch, indem man jemanden anstellt, der die Systeme im Blick behält – und reagiert, wenn es zu Attacken kommt. Jemanden wie Burak Yilmaz. Er selbst ist Quereinsteiger, lernte mal Industriekaufmann. Dann ging er zur Bundeswehr, wo er eine Umschulung zum Fachinformatiker machte. Erst danach zog es ihn zu einem IT-Dienstleister und von dort schließlich in den Mittelstand zur Firma von Reuter.
Nur: Solche Profis sind rar. 137.000 IT-Stellen waren im Jahr 2022 unbesetzt, zeigen Zahlen des Digitalverbands Bitkom. Laut der IT-Sicherheitsorganisation ISC2 haben über 100.000 davon explizit etwas mit Cybersicherheit zu tun. Klaus Bürg kennt den Arbeitsmarkt für IT-Fachkräfte gut, er ist Zentraleuropa-Chef des Cybersicherheits-Anbieters Palo Alto Networks. Um an Spezialisten zu kommen, haben Unternehmen laut Bürg zwei Möglichkeiten: Entweder sie bilden die Leute selbst aus, oder sie werben sie ab. „Der Wettbewerb ist angesichts des Fachkräftemangels natürlich sehr groß. Und die wenigen, die es gibt, werden sehr gut bezahlt“, hat Bürg beobachtet. „Da dürfte es Leute weniger zu einem Mittelständler ziehen, der zum Beispiel auf der Schwäbischen Alb seinen Sitz hat.“
Yilmaz könnte sich seinen Arbeitgeber angesichts des Fachkräftemangels also fast schon aussuchen. Trotzdem zog es ihn zu dem Mittelständler. „Das Arbeitsklima hier ist einfach sehr gut“, sagt der 44-Jährige. Reuters Firma war einer der vielen Kunden, die er betreute, als er noch für den IT-Dienstleister arbeitete. Einmal pro Woche war er vor Ort. Dann warb Reuter ihn ab. Yilmaz sitzt nun täglich im ersten Stock des Verwaltungsgebäudes, nebenan gibt es einen kleinen Konferenzraum. Das Büro seines Chefs ist nur wenige Meter entfernt. Wenn er aus dem Fenster blickt, schaut Yilmaz auf die Produktionshalle, dahinter erstrecken sich Felder. Für ein Industrie-gebiet ist es fast schon idyllisch.
Trotz der steigenden Gefahr durch Hacker gibt Yilmaz sich ziemlich gelassen. Er ist gerade aus dem Urlaub zurück. Eine Woche lang war er in Istanbul. Zum ersten Mal, seit er für den Mittelständler arbeitet, hatte er seinen Laptop nicht mitgenommen. Denn Yilmaz wähnt sein Unternehmen gut aufgestellt. Es gibt einen Virenscanner, E-Mails werden vorab gecheckt, eine Firewall hat die Firma auch, und selbstverständlich ist der Server noch mal extra geschützt. Eingerichtet hat all das er, teilweise mithilfe eines Softwareanbieters.
Über ein Dashboard im Browser kann er alles überwachen, die Sicherheitseinstellungen anpassen. Jeder einzelne der 36 Computer des Mittelständlers ist dort aufgeführt, jede einzelne E-Mail-Adresse. In dem System gibt es verschiedene Alarmstufen. Ein rotes Dreieck heißt, dass er sofort reagieren muss. In diesen Fällen bekommt Yilmaz zur Sicherheit auch noch mal eine Warn-E-Mail geschickt. Gelb heißt, dass etwas nicht in Ordnung ist, aber keine unmittelbare Gefahr besteht. Das kann zum Beispiel bedeuten, dass ein Computer nach dem Hochfahren nicht unmittelbar mit dem Sicherheitsserver kommuniziert. „Früher habe ich auf so etwas sofort reagiert, jetzt warte ich da erst mal 30 Minuten lang ab“, erzählt er.
Die Arbeit seines IT-Fachmanns ist Reuter einiges wert. Nicht nur das Gehalt schlägt zu Buche, auch die Kosten für Hard- und Software. Zudem schickt er Yilmaz einmal im Jahr auf eine Fortbildung. Da komme insgesamt schon ein hoher fünfstelliger Betrag pro Jahr zusammen, sagt Reuter.
Das passt ins Bild: Auswertungen der Portale Stepstone und Glassdoor zeigen, dass Jahresgehälter von 50.000 bis 60.000 Euro für IT-Security-Engineers durchaus üblich sind; wer besondere Qualifikationen oder Führungserfahrung besitzt, kann mitunter noch deutlich mehr verlangen.
So viele IT-Stellen hatten Firmen hierzulande ausgeschrieben
Das ist viel Geld, gerade für kleine Unternehmen. Ihnen dürfte es schwerfallen, erfahrene Kräfte abzuwerben oder selbst IT-Experten auszubilden. Für sie kann es sich aber lohnen, Fachkräfte direkt von der Universität oder Fachhochschule abzuwerben. Professorin Miriam Föller-Nord ist Dekanin der Fakultät für Informatik der Hochschule Mannheim. Die Hochschule bietet einen Bachelor-Studiengang für Cyber-Security an. 50 Plätze gibt es pro Semester. Wer heutzutage IT-Sicherheitsexperte werde, bekomme auf jeden Fall einen Job, berichtet sie. „Die meisten unserer Studierenden haben einen Anstellungsvertrag in der Tasche, bevor sie ihr Zeugnis in den Händen halten.“ Mittelständler müssen mit Konzernen konkurrieren, mit Behörden, mit Einrichtungen wie Krankenhäusern. Um da mithalten zu können, müssen Mittelständler sich also etwas einfallen lassen – und auf Anreize setzen, die man sonst eher von Start-ups kennt. Flexible Arbeitszeiten, Homeoffice, eine gewisse Familienfreundlichkeit, all das seien Aspekte, die den jungen Absolventinnen und Absolventen heutzutage wichtig seien, sagt Föller-Nord.
Vieles hänge bei kleineren Unternehmen auch vom Chef ab, für den Föller-Nord gleich einen Rat hat. „Häufig wird der IT-Experte als Feind im eigenen Unternehmen wahrgenommen, schließlich verbietet er private Programme, verlangt komplizierte Passwörter und so einiges mehr.“ Ein Chef sollte die Belegschaft also vorbereiten und erklären, wozu all das nötig ist.
Burak Yilmaz hat den Kollegen auch so einiges verboten. Soziale Netzwerke wie Facebook und Instagram dürfen sie zum Beispiel nicht von ihren Arbeitsgeräten aus besuchen. Viele Websites hat er gesperrt, selbstverständlich alles, was mit Pornografie, Gewalt und Drogen zu tun hat. Aber auch weitere Kategorien, etwa Urlaubsseiten-Anbieter. Zu groß sei die Gefahr, dass einer der Mitarbeiter mal auf eine falsche Werbung reinfällt oder doch eine verdächtige E-Mail durchkommt, die er nicht erkennt, weil sie mit einem passenden Urlaubsangebot wirbt.
Anfang des Jahres nutzten all die Vorsichtsmaßnahmen nichts, sagt Yilmaz und erzählt von einer Attacke, die ihm viel Ärger hätte machen können. Eine E-Mail kam durch, ein Kollege klickte darin auf einen Link, sein Rechner fing sich ein Virus. Den Hackern gelang es, das Outlook-Passwort zu erbeuten. Dann versuchten sie, im Namen des Kollegen 187 E-Mails zu verschicken. Die sollten an all die Kontakte gehen, mit denen er zuletzt im Austausch war. Aufgefallen war das Yilmaz erst, als die eigenen Mitarbeiter verdächtige E-Mails ihres Kollegen bekamen. „Die Nachrichten an unsere externen Kunden sind nicht rausgegangen, die hat das System erkannt“, sagt Yilmaz. Noch mal Glück gehabt.