Ein Kommentar zur kurzsichtigen Altersdiskriminierung in der IT-Sicherheitsbranche
Es ist ein Lehrstück in Selbstzerstörung: Die IT-Sicherheitsbranche, die sich sonst so gerne als Hüterin der digitalen Ordnung inszeniert, begeht gerade den größten Fehler ihrer Geschichte. Sie verabschiedet sich von ihren erfahrensten Experten – nicht weil diese ihr Können verloren hätten, sondern weil sie nicht mehr ins hippe Startup-Image passen. Während wir uns über Fachkräftemangel beklagen, sortieren wir systematisch diejenigen aus, die das Fachwissen überhaupt erst besitzen. Geniale Strategie – wenn das Ziel darin besteht, die nächste große Cyber-Katastrophe zu provozieren.
Die Mär vom “jungen Genie”
Die Branche hat einen neuen Fetisch: den 25-jährigen “Security Rockstar”, der mit Blockchain, AI und Cloud-Native alles besser kann als die “alten Hasen”. Dass dieser vermeintliche Wunderknabe noch nie einen echten APT-Angriff abgewehrt hat? Egal! Hauptsache, er trägt Hoodies und spricht fließend Buzzword-Bingo.
Dabei ist IT-Sicherheit wie Wein: Sie wird mit den Jahren besser. Ein Senior-Hacker, der schon Firewalls konfiguriert hat, als heutige “Young Leaders” noch Windeln trugen, erkennt Angriffsmuster intuitiv. Er weiß, wie sich Social Engineering vor 20 Jahren anfühlte – und wie es sich heute tarnt. Doch dieses Wissen? Weg damit! Zu uncool. Zu “Boomer”.
Wie man Experten zu Gefahren macht
Hier die Rechnung, die jeder Grundschüler versteht:
- Nimm einen hochqualifizierten White-Hat-Hacker
- Zeig ihm jahrelang, dass seine Erfahrung nichts wert ist
- Zahl ihm keine angemessenen Gehälter
- Wundere dich, wenn er irgendwann sein Wissen anders monetarisiert
Die Branche produziert ihre eigenen Problems selbst. Wer jahrzehntelang kritische Infrastrukturen geschützt hat und plötzlich als “zu alt” oder “zu teuer” gilt, hat zwei Optionen: Entweder er geht in Rente (und nimmt sein Wissen mit) – oder er findet andere Wege, sein Können zu nutzen. Die Cyberkriminalität boomt nicht ohne Grund besser als alle anderen Wirtschaftszweige zusammen.
Nur ein Beispiel: In den USA liegt das Jahresgehalt eines CISO (Chief Information Security Officer) durchschnittlich bei rund 1,7 Millionen US$. In Deutschland gilt man als zu teuer, gibt man als Wunschgehalt 100.000€ im Jahr an.
Ich selbst habe einen Job, habe aber aus Recherchegründen in den letzten Monaten rund einhundert Bewerbungen geschrieben. Als ehemaliger Black-Hat, 54 Jahre alt, mit fast 40 Jahren Erfahrung vor allem in dem wichtigen Netzwerk- und Unixbereich, 20 Jahre Berufserfahrung in der Absicherung im Bereich der kritischen Infrastruktur, sollte es mir bei dem so oft beschworenen Fachkräftemangel nicht schwer fallen, einen Job zu finden. Mein Wunschgehalt lag jeweils bei 100.000 Euro im Jahr.
Es ist nicht ein einziges mal auch nur zum Vorstellungsgespräch gekommen.
Die Alterslücke wird zur Sicherheitslücke
Während Unternehmen Millionen in IT stecken, ignorieren sie die menschliche Firewall: ihre eigenen erfahrenen Mitarbeiter.
Die Realität ist:
- Etwa 50% der CISOs in Deutschland sind unter 40 Jahre
- Die durchschnittliche Dauer eines Cyberangriffs beträgt 287 Tage – Entdeckt wird er meist von sehr erfahrenen Analysten
- Die größten Datenschutzskandale der letzten Jahre gingen auf Fehler zurück, die jeder Senior-Experte sofort erkannt hätte
- In etwa 30% aller erfolgreichen Angriffe, wurden die Senior-Experten wegen “Wahnvorstellungen” nicht gehört. Fast alle Angriffe hätten zum Zeitpunkt der Warnungen abgewehrt werden können. Mir liegen mehrere Abmahnungen von Senior-Experten vor, die sie aufgrund ihrer Versuche erhielten, vor den Angriffen zu warnen und Gegenmaßnahmen einzuleiten.
Doch statt diese Erfahrung zu nutzen, setzen wir auf “Jugendwahn”.
Das Ergebnis? Sicherheitstheater statt echter Sicherheit.
Wer Sicherheit will, muss Experten wertschätzen – nicht aussortieren
Die Ironie ist köstlich: Ausgerechnet die Branche, die anderen “Security Awareness” predigt, hat keine Ahnung von Risikomanagement. Wer seine erfahrensten Kräfte wegdrängt, handelt grob fahrlässig.
An alle HR-Abteilungen, die nach “digital natives” unter 30 suchen: Herzlichen Glückwunsch! Ihr habt gerade eure eigene Supply-Chain-Attacke verursacht – gegen das Erfahrungswissen eurer Firma.
Und an die Senior-Experten da draußen: Bleibt uns bitte erhalten. Die Branche ist zu jung, um zu begreifen, wie sehr sie euch braucht – aber irgendwer muss ja die Lösungen parat haben, wenn die “jungen Genies” wieder mal nur Probleme produziert haben.
Über den Autor: Klaus Baumdick ist seit fast 40 Jahren in der IT-Sicherheit sowohl auf der hellen, als auch der dunklen Seite der Macht aktiv und hat schon Firewalls konfiguriert, als “Zero Trust” noch ein Misstrauensvotum im Bundestag war.
PS: In der Pflege sieht es nicht besser aus. Freuen Sie sich auf eine Reportage über Pflegeberufe und deren Jobchancen.