Die Welt der Cybersecurity verspricht Schutz, Innovation und ein gutes Gehalt. Doch die Realität für viele Fachkräfte entpuppt sich als frustrierende Abfolge von wenig Wertschätzung, unrealistischen Erwartungen und einem ständigen Kampf gegen das eigene Unternehmen. Ist es da nicht verständlicher, sich dem „Black Hat“-Bereich zuzuwenden?
Der Alltag des loyalen Angestellten
Die meisten Stellenangebote in der Cybersecurity-Branche locken mit Schlagwörtern wie „Schutz der digitalen Welt“. Doch die Wahrheit sieht oft anders aus: Unterbezahlung, unrealistische Deadlines und ein Management, das keine Ahnung hat, was die eigenen Mitarbeiter eigentlich tun. Man wird in ein Hamsterrad aus Routineaufgaben gesteckt, während die eigentlichen Herausforderungen ignoriert werden.
Man wird für seine Initiative bestraft, wenn man versucht, die Schwachstellen, die man identifiziert, tatsächlich zu beheben. “Das darfst du nicht!” lautet oft die Antwort, wenn man versucht, über den Tellerrand hinauszublicken und proaktiv zu handeln. Die eigene Kreativität und Expertise werden ausgebremst, während man sich an starre Prozesse halten soll, die oft veraltet und ineffektiv sind.
Die Ironie des Insider-Angriffs
Besonders perfide ist die Situation, wenn man als Cybersecurity-Experte dazu aufgefordert wird, simulierte Angriffe durchzuführen, um die Abwehrsysteme des Unternehmens zu testen. Diese sogenannten “Red Team”-Übungen sind essenziell für die Verbesserung der Sicherheit. Doch wenn man dabei wirklich tiefergehende Schwachstellen aufdeckt, die über das erwartete Maß hinausgehen, wird man oft dafür kritisiert, “zu weit” gegangen zu sein. Die Erkenntnisse, die man für das Unternehmen erarbeitet, werden ignoriert oder gar unterdrückt.
Als ich einmal in einem Konzern die Blockade der USB Ports an den Unternehmensnotebooks in lediglich zwei Sekunden überwand und diese Schwachstelle an die Konzernsicherheit meldete, immerhin gibt der Konzern Millionen Euro jedes Jahr für die eigene Sicherheit aus, hiess es nur, das sei ein unzulässiger Angriff gewesen und mein handeln sei abmahnfähig. Man wolle mich der Personalabteilung melden.
Das ich mit meinem Angriff gleichzeitig die Möglichkeit gehabt hätte, Schadsoftware ins Unternehmensnetz einzuschleusen und binnen weniger Wochen gut eine Million Firmenrechner hätte infizieren können, hielt man für vollkommen übertriebene Panikmache.
Der vermeintliche Reiz des Black Hat
Die Welt des “Black Hat”-Hackings mag illegal und moralisch fragwürdig sein. Aber sie bietet auch die Möglichkeit, seine Fähigkeiten wirklich zu entfalten und einen konkreten Einfluss auf die digitale Welt auszuüben. Statt sich in einem Unternehmen zu verdingen, das seine Expertise nicht wertschätzt, könnte man seine Fähigkeiten nutzen, um Schwachstellen aufzudecken und diese öffentlich zu machen – selbst wenn dies rechtliche Konsequenzen hat. Denn eines ist klar: Nirgends kann man so schnell so viel Geld verdienen, als im Bereich des Cybercrime. Der weltweite Schaden durch Cybercrime wird im Jahr 2025 erstmals die 10.000 Milliarden US-$ Marke überschreiten.
Eine drastische Schlussfolgerung
Dieser Artikel soll keine Billigung illegaler Aktivitäten darstellen. Er soll lediglich die Frustration und die wachsende Enttäuschung vieler Cybersecurity-Experten widerspiegeln. Wenn Unternehmen weiterhin ihre Mitarbeiter unterbezahlen, ihre Expertise ignorieren und innovative Lösungen unterdrücken, ist es wenig überraschend, dass einige von ihnen zu drastischeren Maßnahmen greifen – auch wenn diese illegal sind.