Für die Sicherheitsunternehmen selbst spielen Zertifizierungen bei der Personalsuche keine große Rolle. Elmar Haag, technischer Leiter bei Integralis in Heilbronn: "Die Aussagekraft von Zertifizierungen über die tatsächliche Qualifikation eines Kandidaten ist in der Regel sehr begrenzt." Eine Reihe von Kunden indes sehe dies anders und frage zunehmend nach zertifizierten Sicherheitsexperten. Ganz oben auf der Wunschliste ständen herstellerunabhängige Zeugnisse wie CISSP. Haag: "Dass der Bedarf an Security-Profis steigt, erleben wir täglich. Allerdings sind gute Leute am Markt nur schwer zu finden."

Die Sicherheitsunternehmen suchen zum einen strategische und zum anderen technische Berater. Während von den strategischen Consultants Kenntnisse in den Bereichen Betriebswirtschaftslehre, Management und IT erwartet werden, sollten die so genannten Junior-Berater "so richtige PC-Freaks" sein. Haag: "Das sind die klassischen Hochschulabgänger, die auch in ihrer Freizeit am PC sitzen. Sie müssen allerdings noch lernen, dass Projektarbeit beim Kunden vor allem Stress bedeutet. Damit umzugehen ist am Anfang gar nicht so einfach." Die Suche nach Senior-Beratern, also Kandidaten mit mehrjähriger Produkt- und Projekterfahrung im Security-Bereich, gestalte sich zumeist noch weitaus schwieriger, da nur ein relativ kleiner Kreis an Arbeitskräften in Deutschland sich mit den einschlägigen Spezialprodukten genug auskenne.

Gute Chancen haben nach Meinung des Integralis-Managers momentan die Sicherheitsbeauftragten. Ihre Aufgabe sei es, Sicherheitslücken weniger auf der technischen als auf der organisatorischen Ebene zu schließen. Dazu müssten sie zwar über technischen Background verfügen, aber nicht unbedingt wissen, wie eine Firewall konstruiert und installiert wird. Oberste Aufgabe sei es, die Mitarbeiter für die Sicherheitsproblematik zu sensibilisieren. Der Integralis-Consultant: "Aufgrund der großen Anforderungen ist diese Position in den Konzernen zumeist in der Management-Ebene aufgehängt."

Das sieht Wolfram Funk, Senior Consultant bei der Meta Group in Ismaning bei München, ähnlich: "In großen Unternehmen ist der Sicherheitsbeauftragte in der Tat in der Topetage zu finden. Bei kleineren und mittleren Unternehmen dagegen kann es vorkommen, dass er irgendwo in der Netzwerkgruppe integriert ist." Wenn der Sicherheitsbeauftragte hierarchisch so weit unten stehe, habe er naturgemäß keine größeren Befugnisse.

Funk bemängelt, dass sich das Sicherheitsbewusstsein in den Unternehmen lediglich in den Bereichen geändert habe, in denen die Probleme offensichtlich seien. Bekannt seien die Gefahren durch Viren, Würmer, Spyware oder Hacker-Attacken. Der Meta-Consultant: "Über diese Sicherheitsprobleme wird nicht nur ständig in den Medien berichtet - etliche Unternehmen können selbst ein Lied davon singen." Für Funk steht fest, dass Sicherheitsexperten in ihrem Job vor allem über Erfahrung verfügen müssen: "Da der IT-Markt nicht statisch ist, wird es sich zwischen Internet-Kriminellen und Security-Profis immer um eine Art Hase- und-Igel-Wettlauf handeln." Neue Techniken wie Web-Services oder Mobile Computing hätten ihre eigenen Sicherheitslöcher. Der Marktanalyst erkennt zwar in vielen Unternehmen ein zunehmendes Bewusstsein für die möglichen Schäden, dem stünden aber fast immer knappe Budgets gegenüber. Funk: "Zur Abwehr von Gefahren