Düsseldorf. Die Gefahr, Opfer von Datendiebstahl, Onlinespionage oder -sabotage zu werden, ist für Unternehmen hoch. Acht von zehn deutschen Start-ups, Familienbetrieben oder Konzernen sind 2024 von einer Cyberattacke betroffen gewesen. Der Schaden beläuft sich auf etwa 267 Milliarden Euro.

Eine Befragung von knapp 1000 Unternehmen durch den Branchenverband Bitkom zeigt: Zwei Drittel fühlen sich durch Angreifer, die auf elektronischem Weg Patente oder Kundendaten rauben, Passwörter ausspähen oder Produktionsanlagen lahmlegen, um Geld zu erpressen, existenziell bedroht.

Cyberkriminalität ist derzeit das größte Geschäftsrisiko. Umso erschreckender ist das Ergebnis des aktuellen Managerbarometers der Personalberatung Odgers Berndtson, das dem Handelsblatt exklusiv vorliegt. Demnach bescheinigt weniger als ein Drittel der insgesamt 1000 befragten Führungskräfte aus dem deutschsprachigen Raum ihrem Unternehmen genügend interne Kompetenzen in puncto Cybersicherheit.

Cybersicherheit hat in vielen Unternehmen keine Priorität

Im Gegenteil: Rund zwölf Prozent der befragten Manager bezweifeln, dass ihr Unternehmen über ausreichendes Know-how verfügt, um Attacken von Hackern und Co. abzuwehren.

Klaus Hansen, Partner bei Odgers Berndtson, überrascht der hohe Prozentsatz derjenigen Führungskräfte, die sagen, dass in ihrem Unternehmen Cybersicherheit keine Priorität hat: „Das wirkt gefährlich naiv.“ 52 Prozent sind es über alle Hierarchiestufen hinweg – vom Teamleiter bis zum Topmanager.

Während sich manch eine Führungskraft der Gefahr offenbar nicht bewusst ist, müssen Manager bestimmter Branchen über deutlich mehr Sicherheitsexpertise verfügen. So verschärft die Bankenaufsicht im Finanzsektor wegen zunehmender russischer Hackerangriffe auf europäische Geldhäuser ab Januar 2025 ihre Schutzvorschriften.

Außerdem sieht die zweite Auflage der EU-Richtlinie für Netzwerk- und Informationssicherheit (NIS-2) vor, dass Betreiber kritischer Infrastruktur wie Energieversorger, Kliniken und Telekommunikationsanbieter künftig für mangelndes Risikomanagement haften.

Speziell im Mittelstand ergeben sich durch diese beiden Rechtsakte für Cybersecurity-Profis äußerst lukrative Beschäftigungschancen.

👉 Exklusiv für Studierende: 12 Monate lesen, nur einen zahlen

Cybersicherheitsexpertise wird zu einem entscheidenden Management-Skill

Mit zunehmender Digitalisierung wachsen die Angriffsflächen für Cyberkriminelle. Die neue Generation Künstlicher Intelligenz erhöht das Risiko. Soll zum Beispiel die Nutzung zeitsparender Chatbots wie ChatGPT im Betrieb vorangetrieben werden, kann ein fehlendes Sicherheitskonzept fatal sein. Denn nur so kann verhindert werden, dass sensibles Wissen bei der Nutzung entsprechender Web-Angebote für jedermann zugänglich wird.

Zwar müsse die Geschäftsführung die Strategie und Budgets für Schutzmaßnahmen vorgeben. Dennoch müssten sich Team-, Abteilungs- und Bereichsleiter bewusst sein, dass sie für den operativen Schutz verantwortlich seien, sagt Hansen: „Genauso, wie sich eine Führungskraft mit Budgetverwaltung, Teamführung oder modernen Kommunikationsmitteln auskennen muss, muss sie grundlegende Cybersicherheits-Kompetenzen mitbringen.“

Doch an dieser entscheidenden Managementfähigkeit hapert es offenbar. Ob es um die Abwehr von Phishing-Versuchen per Handy oder den sogenannten CEO-Fraud geht, bei dem Chefanweisungen per Mail oder Telefon vorgetäuscht werden: Auf die Frage nach dem eigenen Know-how rund um Cybersicherheit sagt nur eine von drei Führungskräften: „Ich kenne mich gut aus.“

„Führungskräfte verlassen sich noch immer zu stark auf die IT-Abteilung, die das Problem schon im Griff haben wird und sich um notwendige Schutzmaßnahmen kümmert“, sagt Susanne Kochwagner. Die Cybersecurity-Chefin aus der Finanzbranche beschäftigt sich seit etwa 30 Jahren mit dem Thema – von den Anfängen des Internets bis hin zum weltweiten Trend, IT-Prozesse an externe Dienstleister auszulagern und Daten in der sogenannten Cloud zu speichern, also in fremden Rechenzentren zu bevorraten.

Mitte der 1990er-Jahre errichtete Kochwagner für ein Unternehmensnetzwerk die erste Firewall als Schutz vor Angreifern aus dem Internet. Zuletzt stand sie einem 30-köpfigen Team vor. Die Managerin sagt: „Die Anforderungen an Sicherheitsmaßnahmen sind stetig gewachsen. Und im Rennen gegen die bösen Jungs geht es heute nicht mehr ohne das zusätzliche Engagement aller Führungskräfte im Unternehmen.“

Technische Vorkehrungen seien zwar die Basis, böten allein jedoch keinen ausreichenden Schutz, betont Kochwagner: „Es geht darum, alle Mitarbeitenden für den sicherheitsbewussten Umgang mit Technologie und Daten zu sensibilisieren und Schutzmaßnahmen zur Gewohnheit zu machen.“

„Jeder Mitarbeiter ist Teil unserer Firewall“, bestätigt eine weitere Teilnehmerin des Managerbarometers. Sie leitet eine Abteilung in einem Unternehmen der Pharmabranche, das ungenannt bleiben möchte. Gerade hat das börsennotierte Unternehmen eine Cybersecurity-Woche für Tausende seiner Angestellten weltweit veranstaltet. Das Motto: „Es liegt auch an dir, wachsam zu sein.“ Zu den Angeboten zählten Infoveranstaltungen und freiwillige Schulungen, bei denen Mitarbeiter bis zum „Cyberhero“ avancieren können. Für Fans spannender TV-Serien à la Netflix gibt es zudem „The Inside Man“. In fünf Staffeln ist zu sehen, mit welchen Tricks ein Hacker versucht, ein Unternehmen zu Fall zu bringen.

Dass ihm das nicht gelingt, liegt auch an den Führungskräften: Sie interpretieren Lageberichte- und Warnmeldungen richtig. Sie sorgen dafür, dass ihre Teams mit Vorschriften vertraut sind. Und sie schreiten ein, falls ihnen zu Ohren kommt, dass Kollegen ihr Firmen-Notebook samt Zugangsdaten ihren Kindern überlassen. Oder noch gefährlicher: neue Software-Werkzeuge im Web ohne Betriebserlaubnis ausprobieren.

In der Realität bedeutet das allerdings mehr Aufwand als im Film – und häufig „hält es von der eigentlichen Arbeit ab“, sagt die Pharmamanagerin.

Schon in kleinen mittelständischen Unternehmen winken sechsstellige Gehälter

Aufklärungskampagnen, Schulungen, neues Personal mit Sicherheits-Know-how: Unternehmen investieren oft erst, wenn es entweder zu einem erfolgreichen Angriff gekommen ist oder sie Angst vor Sanktionen haben müssen.

Das spiegelt sich in den Befragungsergebnissen des aktuellen Managerbarometers wider: Während Befragte aus Unternehmen mit mehr als 5000 Mitarbeitenden davon ausgehen, über genügend interne Kompetenzen für Cybersicherheit zu verfügen, sieht es im Mittelstand anders aus. Führungskräfte aus Unternehmen mit weniger als 100 sowie mit 500 bis 5000 Beschäftigten sind sich des Defizits bewusst. Sie geben an, dass die internen Kompetenzen zum Thema derzeit ausgebaut werden.

Die Personalberaterin Angela Blau ist auf die Suche nach geeigneten Gesamtverantwortlichen für Informationssicherheit (CISO) für Unternehmen spezialisiert. Sie bestätigt: „Der Bedarf nimmt stark zu.“

Und zwar nicht nur in regulierten Unternehmen wie Banken und Versicherungen. „Wir haben 2024 im Schnitt über 30 Prozent mehr Anfragen nach CISO-Kandidaten erhalten als im Jahr zuvor.“ Allerdings seien Expertinnen für dieses Thema hochbezahlt und schwer zu finden.

Wie schwer, zeigt ein aktueller Suchauftrag: Ein Mittelständler aus dem kritischen Infrastrukturumfeld benötigte einen neuen IT-Security-Chef, wollte aber eigentlich nur 150.000 Euro Jahresgehalt bezahlen. „Das Unternehmen musste 50.000 Euro drauflegen, um überhaupt fündig zu werden“, sagt Blau. Die Headhunterin ist überzeugt: „Diese Entwicklung wird sich fortsetzen, der Markt ist so eng.“

» Lesen Sie auch: Gutverdiener haben bald „weniger in der Tasche“: Sozialbeiträge zehren Steuerentlastung auf

CISO-Jahresgehälter beginnen bei 100.000 Euro in kleinen Unternehmen und steigern sich je nach Unternehmensgröße und Branche durchschnittlich auf bis zu 300.000 Euro. In den USA sind in dieser Rolle auch mehr als 500.000 Euro pro Jahr aufrufbar.
Große Banken und Versicherungen sowie Telekommunikationskonzerne entlohnen am besten. Das Salär bei Versorgungsunternehmen und öffentlichen Einrichtungen rangiert dagegen am unteren Ende.

Qualifizierte Kandidaten würden zunehmend aus Technologieunternehmen abgeworben – vor allem dann, wenn sie eloquent seien. Schließlich gelte es, das Topmanagement davon zu überzeugen, Budgets für Schutzmaßnahmen und Personal zu bewilligen.

Wer nach dem Jobwechsel allerdings den Eindruck gewinnen sollte, Cybersecurity werde „nur wegen der Regulatorik“ betrieben oder die Arbeit fühle sich an, wie gegen Windmühlen zu kämpfen, verlässt ein Unternehmen wieder. Gerade die Gefahr des Burn-outs ist immens hoch, belegen Studien unter CISOs.

Andererseits stünden die Chancen günstig, anderswo bessere Bedingungen vorzufinden, sagt Blau. Wer über Expertise rund um Cloud-Security oder Künstliche Intelligenz verfüge, „beziehungsweise sich mit Datensicherheit und hohen Standards für Datenschutz auskennt, ein internationales Mindset und fließendes Business-Englisch mitbringt, kann weltweit arbeiten“. Zunehmend sogar aus dem Homeoffice. Ein Gehaltsplus von 15 bis 20 Prozent sind bei einem Arbeitgeberwechsel laut Blau möglich: „Vorausgesetzt, es kommt mehr Verantwortung hinzu.“

Die hohe Vergütung überrascht nicht. Die große Verantwortung und die Rolle des Schwarzsehers und Angstmachers, der ständig mahnen muss, ist undankbar. Schließlich besteht sein oder ihr größter Erfolg darin, dass nichts von dem je passiert, was er oder sie befürchtet.

Dafür ist der CISO fast pausenlos im Einsatz, hat im Krisenfall schlaflose Nächte. Und, so sagt Headhunterin Blau: „Das ist mehr als ein üblicher Vollzeitjob. Wir suchen häufig Nachfolger für diese Position.“ Schließlich gilt: Geht etwas schief, ist der CISO der Sündenbock.

👉 Exklusiv für Studierende: 12 Monate lesen, nur einen zahlen