Schon seit einiger Zeit ist der Fachkräftemangel in Deutschland in aller Munde und stellt ein ernsthaftes Problem für die Wirtschaft dar. Im Bereich der IT-Sicherheit gilt dieser Mangel als besonders ausgeprägt. Deswegen setzen wir uns an dieser Stelle einmal mit der Thematik auseinander. Dieser Beitrag beleuchtet das Problem aus Sicht der Personalberater und HR-Spezialisten. Nächste Woche werden wir es aus Sicht des Fachpersonals in Unternehmen unter die Lupe nehmen.
Unternehmen sollten über die Einstellung qualifizierter Mitarbeiter mit viel Erfahrung nachdenken, da sie aufgrund der aktuellen Gehaltsentwicklungen ein besseres Preis/Leistungsverhältnis mit sich bringen.
(Bild: Pixel-Shot - stock.adobe.com)
Sabine Hansen ist Personalberaterin und Gründerin des Leadership-Consulting-Unternehmens „She4Her“.
(Bild: She4Her)
Das erste Gespräch führten wir mit der Personalberaterin Sabine Hansen, die das Leadership-Consulting-Unternehmen „She4Her“ gegründet hat. Frau Hansen wies uns darauf hin, dass es bei der Suche nach qualifizierten Bewerbern Sinn ergibt, wenn die Unternehmen sich präventiv vorbereiten. So können sie beispielsweise Kooperationen mit Hochschulen eingehen, die in dem für sie relevanten Themenbereich ausbilden. Dieses Vorgehen ist bei Großunternehmen Gang und Gäbe, bringt aber für den Mittelstand Probleme mit sich. Letzterer setzt mehr auf das duale Bildungssystem und auf Stellenanzeigen.
In dieser Folge des Security-Insider Podcast sprechen wir mit Sabine Hansen über die Herausforderungen, vor der Unternehmen durch den Fachkräftemangel stehen.
Damit diese Stellenanzeigen die Bewerber ansprechen, müssen die in der jeweiligen Anzeige angesprochenen Themen für die Bewerber interessant sein. Die Unternehmen benötigen gute Geschichten, um die Bewerber zu überzeugen. Mit diesen Geschichten müssen sie Fragen beantworten wie “Wieso machen wir das?”, “Warum gerade jetzt?” oder auch “Was ist die Erwartungshaltung?”. Es besteht also die Notwendigkeit, sich viel deutlicher zu positionieren als früher.
Darüber hinaus sollte das Stellenangebot auch klarmachen, dass die Übernahme der Aufgabe für den potentiellen Bewerber einen Mehrwert mit sich bringt. In diesem Zusammenhang sind Entwicklungsperspektiven besonders wichtig. Es muss klar werden, wie sich die Karriere des Bewerbers, der die Stelle annimmt, entwickeln könnte. Beispielsweise, ob dieser ein Team aufbauen und dabei Führungsverantwortung übernehmen kann.
Für Schlüsselpositionen reicht eine Stellenanzeige allerdings normalerweise nicht aus. Hier könnte es sinnvoll sein, Personalberater einzubinden.
Was das Gehalt angeht, so sind derzeit für Berufsanfänger im Bereich der IT-Security 50.000 bis 60.000 Euro Jahresgehalt üblich. Bei Mitarbeitern mit Berufserfahrung beginnt der Kostenrahmen bei 90.000 Euro und geht bis in den höheren sechsstelligen Bereich für Chief Information Officers (CIOs).
Der Aufbau eigener Talente
„Neben der Suche nach externen Bewerbern ist es auch äußerst wichtig, eigene Talente aufzubauen“, meint Frau Hansen. „In diesem Zusammenhang gibt es beispielsweise die Option, im Haus vorhandene interessierte Mitarbeiter, wie etwa Entwickler, weiterzubilden und ihnen zusätzliche oder neue Aufgaben zu übertragen.“
Zertifikate, beispielsweise vom Institute for Security and Safety (UNISS) in Mannheim oder vom Karlsruher Institut für Technologie (KIT) können, gerade bei Bewerbern mit wenig Berufserfahrung, dabei helfen, ihre Befähigungen für den Aufgabenbereich der IT-Security zu belegen. Allerdings bringen Zertifikate allein nicht viel. Es sind zusätzliche Befähigungen erforderlich, wie beispielsweise die Fähigkeit, im Team zusammenzuarbeiten und Ähnliches.
Andrea Zarrabi ist Senior Manager HR bei Sophos.
(Bild: Sophos)
Unsere nächste Interviewpartnerin war Andrea Zarrabi, Senior Manager HR, bei Sophos. Sie meinte: „Wir nutzen für die Bewerbersuche und -ansprache fast ausschließlich LinkedIn. Bei den Stellenbeschreibungen ist es wichtig, eine Ansprache zu wählen, die zur Zielgruppe passt. Da wir zurzeit einen Arbeitnehmermarkt haben, müssen die Unternehmen sich positiv aus der Menge der Angebote hervorheben. Es müssen also die Benefits im Mittelpunkt stehen und die Unternehmenskultur muss deutlich werden, um die richtigen Interessenten anzusprechen.“
Sophos beispielsweise ist ein “Remote First”-Unternehmen, bei dem die meiste Arbeit im Home Office stattfinden kann. Das spricht viele Bewerber an und muss deswegen klar aus der Stellenbeschreibung hervorgehen. Auch andere Aspekte, wie die Familienfreundlichkeit, eine gute Work/Life-Balance und so weiter sollten Erwähnung finden. Es spielt ebenfalls eine wichtige Rolle, herauszuarbeiten, was die jeweilige Stelle attraktiv macht, welche Entwicklungsmöglichkeiten es gibt und wie der Arbeitsalltag gestaltet wird.
In der Praxis sieht es so aus, dass bei Bewerbungen zunächst einmal die Linkedin-Profile oder eingesandten Lebensläufe der Interessenten analysiert werden. Danach findet ein erstes Online-Gespräch mit einem dedizierten Recruiter aus dem Talent-Acquisition-Team statt, der den Fachbereich und das Team kennt. Dieser klopft Rahmenbedingungen ab, wie beispielsweise die Qualifikation oder Gehaltsvorstellungen des Interessenten. Im nächsten Schritt folgen dann ein oder zwei Gesprächsrunden mit Mitarbeitern des betroffenen Fachbereichs, danach fällt die Entscheidung.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ausbildung im Haus
Was Zertifizierungen angeht, so wird beispielsweise der Cisco Certified Network Associate (CCNA) gern gesehen. Da es sich bei Sophos aber um einen Hersteller von Sicherheitslösungen handelt, kann die Ausbildung im Wesentlichen im Haus an den eigenen Produkten erfolgen. Bei der Wahl der Kandidaten spielt die Diversität eine wichtige Rolle, je gemischter das Feld der Mitarbeiter ist, desto besser ist meist die Leistung des Teams.
Arbeitszeugnisse können bei der Bewertung der Qualifikation nach Meinung von Frau Zarrabi nur bedingt helfen, da sie immer positiv formuliert sind. Es kann aber sein, dass sie im späteren Verlauf des Bewerbungsprozesses angefordert werden.
Bevor es zu einer Anstellung kommt, führt Sophos als Sicherheitsunternehmen einen Background-Check der Bewerber mit einem unabhängigen Dienstleister durch. Dieser tritt mit ehemaligen Arbeitgebern und Ausbildungsinstitutionen in Kontakt, um zu überprüfen, ob die Angaben stimmen. Referenzen sind wegen dieses Background-Checks nicht erforderlich.
Stephanie Krüger ist Head of Talent Acquisition bei HRtbeat.
(Bild: HRtbeat)
Zum Schluss unterhielten wir uns noch mit Stephanie Krüger, Head of Talent Acquisition bei HRtbeat. Frau Krüger vertritt die Meinung, dass es in Bezug auf die Stellenanzeigen wichtig ist, dass Unternehmen ihre Vorstellungen und Werte vermitteln und klar machen, wofür sie stehen, was sie können und was nicht. Die Aufgaben und Benefits, die für das Profil und die gesuchte Person relevant sind, müssen konkret geschildert werden. Es ergibt auch Sinn, zu bedenken, welche Benefits für welche Personengruppen eine Rolle spielen. So legen Auszubildende in der Regel wenig Wert auf eine Familienbetreuung. Die Stellenanzeigen müssen also so gestaltet sein, dass sie die richtigen Zielpersonen ansprechen. Die Stelle ist schließlich ein Angebot und die Leute müssen sich dafür interessieren.
Im Unternehmen muss eine Basis an Seniors vorhanden sein, die dazu in der Lage ist, die Junior-Mitarbeiter anzulernen. Erfahrenere Mitarbeiter bringen in der Regel auch ein besseres Preis/Leistungsverhältnis mit. In der Praxis liegt das Optimum irgendwo in der Mitte.
Der Wert älterer Mitarbeiter
Frau Krüger betonte auch, dass es keinen Sinn ergibt, ältere Mitarbeiter nicht einzustellen, weil sie beispielsweise nur noch sieben Jahre von der Rente entfernt sind. „Heutzutage arbeiten sowieso nur noch die Wenigsten über längere Zeiträume bei dem gleichen Unternehmen“, sagte sie dazu.
Fazit
Alle befragten Spezialisten sind sich einig, dass es Sinn ergibt, über die Einstellung qualifizierter Mitarbeiter mit viel Erfahrung nachzudenken und nicht nur auf Juniors zu setzen, da erstere aufgrund der aktuellen Gehaltsentwicklungen ein besseres Preis/Leistungsverhältnis mit sich bringen.
Besonders wichtig bei der Bewerbersuche ist aber die richtige Gestaltung der Stellenanzeigen, die Interessenten ansprechen müssen und klar vermitteln sollten, was die jeweilige Position für zukünftige Mitarbeiter bringt. Die Zeiten, in denen Stellenanzeigen anfingen mit „Die Firma Schrauben Schmidt stellt seit mehr als 160 Jahren in der Lausitz qualitativ hochwertige Schrauben her“, gehören also der Vergangenheit.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/1f/2b/1f2bceb72469cea0323e7dd906576d1b/0129080111v2.jpeg "Der 28. Januar wurde als Europäischer Datenschutztag gewählt, da an diesem Datum im Jahr 1981 der Europarat das Übereinkommen Nr. 108 annahm, das erste rechtsverbindliche zwischenstaatliche Abkommen zum Schutz personenbezogener Daten bei automatischer Verarbeitung. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/a6/8da69ebdef1090970a7ef7d44f304864/0129086965v2.jpeg "Die Niedersächsische Landesregierung reagiert auf die zunehmenden Cyberangriffe, indem sie einen neuen digitalen Schutzschirm einführt. Der Anbieter des neuen Schutzschilds kommt aus den USA. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:quality(80)/p7i.vogel.de/wcms/bd/95/bd953054a84773a8b4910a9f168b7dd7/0112150345v3.jpeg "Klotzen statt Klagen! Jetzt gehen wir den Fachkräftemangel in der IT-Security mit einer dedizierten Serie an. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/85/4f/854f97f124c4e2377f6aa9a258ba5e8a/0119071025v2.jpeg "Unternehmen sollten aufgrund des Fachkräftemangels in der IT-Security gezielte Stellenanzeigen schalten, die klar definieren, welche Mitarbeiter sie suchen und welche Vorteile die Position bietet. (Bild: rawpixel.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/ed/b2ed7d9d026a4c32b9e934d7d2178bb9/0119459687v2.jpeg "Im digitalen Zeitalter sind Bewerberprofile vielfältiger denn je. Eine sorgfältige Vorbereitung und Selbstpräsentation sind der Schlüssel zum Erfolg im umkämpften IT-Security-Markt. (Bild: Robert Kneschke - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4e/60/4e60ecaee657484cc165e59a91a7f087/0128161589v1.jpeg "Nikolas Fleschhut, Director und Mitglied der Geschäftsführung bei der HRtbeat GmbH meint: „Employer Branding sollte 2025 für den Mittelstand keine Option mehr sein, sondern ein Muss!“ (Bild: www.bkfotofilm.de – marconomy)")
:quality(80)/p7i.vogel.de/wcms/f0/66/f06693c6ad6ce5294843bfd977162140/0125757350v2.jpeg "Bei der Deutschen Bundeswehr geht es beim Thema digitale Souveränität um mehr als die Auswahl eines Cloud Providers. (Bild: © MoiraM - stock.adobe.com)")