Eine strategisch-wissenschaftliche Analyse von Reiser & Partner – House of Security

1. Einleitung

Seit Beginn der 2010er-Jahre wächst in Deutschland die Zahl der Studiengänge, die Begriffe wie IT-Sicherheit, Cybersicherheit oder Informationssicherheit tragen. Auf den ersten Blick scheint der Bildungssektor damit auf den steigenden Bedarf reagiert zu haben. Doch der Eindruck täuscht: Zwischen Bezeichnung und tatsächlicher Tiefe der Ausbildung bestehen erhebliche Unterschiede.

Während sich politische Programme gern auf Digitalisierung und Resilienz berufen, bleibt unklar, wie viele Absolventinnen und Absolventen wirklich befähigt sind, Sicherheitsarchitekturen ganzheitlich zu entwerfen oder Angriffe in Echtzeit zu verstehen.

2. Schein und Wirklichkeit der Fachkräftezahlen

Die internationale Studie der (ISC)² 2024 zeigt, dass weltweit etwa 5,5 Millionen Personen im Bereich Cybersicherheit tätig sind, während gleichzeitig 4,8 Millionen Fachkräfte fehlen [1]. Für Deutschland nennt dieselbe Studie rund 439.000 Beschäftigte [2]. Doch ein erheblicher Anteil davon arbeitet nicht operativ in der Sicherheitsentwicklung, sondern in Administration, Marketing, Vertrieb oder Recht.

Diese Diskrepanz verzerrt die öffentliche Wahrnehmung. Das reale technische Kernpersonal, das auf universitärem Niveau Cybersicherheitsarbeit leistet, ist deutlich kleiner: In typischen Unternehmen mit 2.000 Beschäftigten existieren oft nur 5 bis 15 Personen, die über wirklich tiefes Sicherheitswissen verfügen [3]. Dieser massive administrative Overhead führt dazu, dass Unternehmen zwar zahlenmäßig „Security-Teams“ ausweisen, die tatsächliche Kompetenz jedoch auf sehr wenige Köpfe konzentriert bleibt.

3. Die Frage der Qualität

Wenn – wie Reiser & Partner 2025 in einer Felduntersuchung zeigte – nur eine knappe dreistellige Zahl von Studierenden in Deutschland jährlich ein dezidiertes Cybersicherheitsstudium abschließt, stellt sich zwangsläufig die Frage nach der Güte der weltweit etablierten „Cybersecurity- und Information-Security-Maßnahmen“ seit 2000.

Aus Perspektive internationaler Cyberagitation und Wirtschaftsspionage ergibt sich ein klares Bild: Normen und Zertifikate sind nicht das Problem – sondern das fehlende menschliche Vorstellungsvermögen, jene Cybersicherheits-Phantasie, die nötig wäre, um kriminellen oder geopolitischen Interessen überhaupt auf Augenhöhe zu begegnen.

Wird IT- und Unternehmenssicherheit universitäres Leitfach, bedeutet heutige Cybersicherheits-„Güte“ in vielen Firmen nur eines: einen Hasendrahtzaun zum Nachbargrundstück zu ziehen. In Wahrheit jedoch bedeutet Resilienz den Schutz von Kapitalvermögen und Betriebsfortführbarkeit – selbst unter widrigsten, agitativ-kriminellen Bedingungen. Unternehmen bauen heute symbolische Hasenzäune, wo sie in Wirklichkeit einen multikomplexen Verteidigungsturm bräuchten – einen strategischen Todesstern, der auf durchdachter Informations- und IT-Sicherheitsarchitektur beruht.

Dieser „Verteidigungstodesstern“, wie ihn Reiser & Partner nennt, ist keine Metapher für Militarisierung, sondern für strukturelle Intelligenz: eine Sicherheitsstrategie, die technisch, organisatorisch und philosophisch von den größten strategischen Denkerinnen und Denkern der Welt inspiriert ist. Ohne diese strategisch-philosophische Tiefe bleibt Cybersicherheit Flickwerk. Wer als Unternehmen nicht bereit ist, diesen Verteidigungsansatz – die eigene „eierlegende Wollmilchsau der Sicherheit“ – zu entwickeln, riskiert im globalen Wettbewerb den Verlust seiner digitalen Souveränität.

Global sein bedeutet heute digital sein – und digital sein bedeutet, Angriffsflächen zu schaffen: durch Endgeräte, Apps, Cloud-Plattformen und kundenspezifische Anwendungen, die mit Bordmitteln eines gut ausgebildeten Hackers kompromittiert werden können. Deshalb fordert Reiser & Partner ein Umdenken: Suchen Sie gute, kreative, positive Geister – Security-Künstler, die in der Lage sind, sicherheitsphantasievoll zu denken. Nur solche interdisziplinären Köpfe können das notwendige Breitenwissen und die imaginative Tiefe vereinen, die für strategisch resiliente Unternehmen unabdingbar ist.

Gestaltung ist der eigentliche Kern von Cybersicherheit: Sie gestaltet sichere Geschäftstätigkeit, nicht nur technische Normerfüllung. Reiser & Partner erkennt mittlerweile über 32 wissenschaftliche Disziplinen als relevant für unternehmerische Resilienz in „Worst-Case-Szenarien“. Dazu gehören auch Themen wie Geheimdienstgeschichte, globale Wirtschaftsspionage und Überwachungstechnologien, die zwingend in die Weiterbildung jeder Sicherheitsabteilung integriert werden sollten.

Dies ist kein Spielfeld für Anfänger – wie auch Fachleute wie Paolo Belligi vom AOT Alpha Omega Team der italienischen Carabinieri bestätigen, die seit Jahrzehnten praktische Erfahrungen in hybriden Sicherheitsumgebungen gesammelt haben. Die Welt wird rauer, und in rauen Zeiten benötigen Unternehmen Helden, die Stürmen standgehalten haben – Persönlichkeiten, die ihr Wissen an die dringend gesuchten kommenden Generationen von Sicherheitsfachkräften weitergeben.

Dies liegt auch im vitalen Interesse der Hersteller proprietärer Sicherheitssoftware: Eine qualifizierte, global vernetzte Fachkräftebasis würde den Westen – insbesondere Deutschland – qualitativ und quantitativ an China heranführen, das bereits ab 2025 eine der weltweit größten Cybersicherheits-Communities ausbildet.

4. Qualifikationsgruppen in der Praxis

Innerhalb der Branche lassen sich drei zentrale Berufsgruppen unterscheiden [4]:

• Fachinformatikerinnen und -informatiker mit Sicherheitsbezug – wertvolle Betriebserfahrung (Firewalls, Endpoint-Schutz, Monitoring), jedoch selten tiefes Verständnis für Architektur, Kryptographie und Forensik.
• Quereinsteiger-Informatikerinnen und -Informatiker – Projekterfahrung ohne systematische Kenntnis von Angriffsmodellen und Secure-Coding.
• Wirtschaftsinformatiker und Mediendesigner – meist ohne Pflichtmodule in IT-Sicherheit; Zusatzstudien notwendig.

5. Akademische Tiefe und Anschlussstudium

Zertifikate können Wissen ergänzen, aber kein Hochschulstudium ersetzen. Der Student Nico Reiser (Hochschule Offenburg, Studiengang Unternehmens- und IT-Sicherheit) verarbeitete im Schnitt 4.850 Fachbuchseiten pro Semester – eine Dichte, die zeigt, warum IT-Sicherheitsausbildung ein Langstreckenlauf ist. Das Verstehen beginnt erst in der Praxis. Fächer wie diskrete Mathematik, Algorithmik, Statistik, Rechnerarchitekturen, Zustandsautomaten und Kryptologie bilden das Fundament. Unternehmen wie EM² (emc quadrat) bilden Quereinsteiger mittlerweile selbst nach akademischen Maßstäben weiter [5].

6. Hochschulbildung versus Unternehmenslogik

Viele Entscheider projizieren betriebliche Logik auf das Hochschulsystem: „Ich suche. Ich brauche. Also bilde mir aus, was ich brauche.“ Doch Universitäten sind keine Dienstleister für Tagesbedarfe, sondern Institutionen der Erkenntnis. Sie lehren Prinzipien, keine Produkte. Ein Herzchirurg muss nicht die Instrumente benennen – er muss ein Herz retten. Ebenso sollten Hochschulen nicht Konsolenbediener, sondern Konstrukteure ausbilden.

7. Fehlende Qualitätskennzahlen

Die OECD stellte 2024 fest, dass in Europa belastbare Kennzahlen zur Ausbildung in Cybersicherheit fehlen [6]. Für Deutschland existieren laut Mordor Intelligence 2024 rund 28 Hochschulprogramme, aber nur etwa 3.400 Absolventinnen und Absolventen jährlich – weniger als 7 Prozent des geschätzten Bedarfs [7]. Diese Zahlen belegen, dass es keine strukturelle Überproduktion, sondern eine massive Unterdeckung gibt.

Darf man Qualitätsmanagement-Reviews der Studiengänge glauben, arbeiten von allen Absolventinnen und Absolventen der Cybersicherheitsstudiengänge nur etwa fünf Prozent tatsächlich auf diesem hohen, strategisch-technischen Niveau. Das heißt: rechnerisch nur rund 170 Personen pro Jahrgang, die ein dezidiertes Cybersecurity-Studium abschließen, arbeiten später in strategischen Cybersicherheitsrollen. Doch selbst unter diesen wenigen ist nicht jede Person strategisch geeignet. Kryptografie-Formeln aufsagen heißt nicht, kriminelle Energie-Muster vorausdenken zu können.

Reiser & Partner empfiehlt, diese seltenen Spezialistinnen und Spezialisten gezielt an die richtigen, langfristig strategischen Positionen zu setzen – und ihnen strukturelle Unterstützung zu gewähren. Cybersicherheit muss auf Ebene der Geschäftsleitung als Stabsstelle verankert und budgetiert werden, integriert in Governance und Entscheidungsprozesse.

8. Breite Erfahrung und Branchentiefe

Entscheidend ist, woher Security-Wissen stammt: aus einem einzigen Unternehmen oder über viele Branchen hinweg? Erfahrung über mehrere Sektoren – Industrie, Verwaltung, Energie, Finanzen – ist wertvoller als „Single-Corporation-Security-Experience“. Internationale Projekterfahrung und globale Anwendungskompetenz sind die wahren „Brillanten“ im Fachkräftepool [9].

9. Konsequenzen für die Wirtschaft

Der Mangel an akademisch geschulten Sicherheitsfachkräften schwächt nationale Resilienzstrategien. 74 % der deutschen Unternehmen haben laut Bitkom 2024 unbesetzte IT-Sicherheitsstellen [10]; das BSI registrierte 2023 über 300.000 neue Schadprogrammvarianten pro Tag [11]. Nicht die Normen, sondern die Menschen sind der Engpass. Deutschland braucht Fachkräfte mit Forschungstiefe, Praxisbreite und interdisziplinärem Denken – nicht bloß Produktanwender.

10. Fazit

Ein Studium soll nicht nur Wissen vermitteln, sondern Denkfähigkeit und Verantwortung fördern. Resilienz ist kein Zustand, sondern eine Haltung. Unternehmen, die verstehen, dass Cybersicherheit ein Erkenntnisprozess ist, gewinnen jene Fachkräfte, die nicht nur Werkzeuge bedienen, sondern die Werkzeuge von morgen erfinden. Reiser & Partner appelliert an Wirtschaft, Wissenschaft und Politik, Sicherheit neu zu denken – nicht als Abwehr, sondern als schöpferische Kompetenz.