Startseite > Security > ISC2: Wie Deutschland Cybersecurity-Talente gewinnt

Cybersecurity-Arbeitsmarkt im Fokus

ISC2: Wie Deutschland Cybersecurity-Talente gewinnt

19. August 2025, 9:50 Uhr | Interview: Diana Künstler

Casey Marks ist Chief Operating Officer bei ISC2.

Der ISC2 Hiring Report zeigt: In Deutschland dauert es länger, Cybersecurity-Stellen zu besetzen als anderswo. COO Casey Marks erklärt, warum Bewerber fehlen, welche Rolle Zertifizierungen spielen und wie Unternehmen durch realistische Profile und Mentoring Talente binden können.

Cyberangriffe nehmen zu, doch der deutsche Arbeitsmarkt für Cybersecurity-Fachkräfte ist angespannt. Der aktuelle ISC2 Hiring Report macht deutlich: Stellenbesetzungen dauern länger, Qualifikationslücken sind gravierend und die Anforderungen oft unrealistisch hoch. Casey Marks, COO von ISC2, spricht im Interview über Ursachen und mögliche Lösungen – von praxisnahen Einstiegswegen und Zertifizierungen bis hin zu Mentoring und besserer Zusammenarbeit zwischen HR und Sicherheitsteams. Sein Fazit: Ohne neue Strategien und klare Karrierepfade droht der Fachkräftemangel bis 2030 noch größer zu werden.

Ursachen des Fachkräftemangels in Deutschland

connect professional: Laut dem ISC2 Hiring Trends Report dauert es in Deutschland deutlich länger, offene Stellen im Bereich Cybersecurity zu besetzen als in anderen Ländern. Was sind Ihrer Meinung nach die Hauptgründe für diese Verzögerung?
Casey Marks: Unsere Hiring Trends-Studie untersucht zwar nicht direkt die Ursachen für längere Einstellungszeiten, aber andere Studien deuten auf mehrere beitragende Faktoren hin. Eine Studie legt nahe, dass deutsche Unternehmen über einen kleineren Bewerberpool verfügen und 34 Prozent weniger Bewerbungen pro Stelle erhalten als der weltweite Durchschnitt.

Darüber hinaus wirken sich mehrere strukturelle und regulatorische Elemente auf den Einstellungsprozess aus, was zusätzliche Schritte und verlängerte Zeitpläne mit sich bringen kann. Hohe Erwartungen an Erfahrung und Qualifikationen bereits bei Einstiegspositionen können die Einstellungsdauer zusätzlich verlängern. Diese Herausforderungen verschärfen den bestehenden Fachkräftemangel in diesem Bereich.

Ein weiterer Erklärungsansatz könnte in der fehlenden Einheitlichkeit bei beruflichen Qualifikationswegen liegen. Das Fehlen klarer Einstiegsmöglichkeiten erschwert es vielen Bewerber:innen, den Anforderungen im Bewerbungsprozess gerecht zu werden, und verlängert den Rekrutierungsprozess.

connect professional: Die deutschen Befragten geben im internationalen Vergleich deutlich höhere Schulungsskosten an, insbesondere für Junior-Positionen. Was ist der Grund dafür? Sind die Programme komplexer, die Anforderungen höher oder fehlen interne Ressourcen?
Marks: Auch wenn die Daten auf vergleichsweise höhere Ausbildungskosten in Deutschland hinweisen, ist es wichtig, den Fokus vom reinen Kostenaspekt auf den Wert und die langfristige Wirkung dieser Investitionen zu lenken. Hochwertige Schulungsprogramme, die Nachwuchskräfte effektiv vorbereiten, spielen eine entscheidende Rolle beim Aufbau eines belastbaren Talentpools im Bereich Cybersecurity. Über drei Viertel (77 Prozent) der einstellenden Führungskräfte in Deutschland geben an, dass sie über ausreichende Budgets für die berufliche Weiterentwicklung ihres Cybersecurity-Teams verfügen, und die große Mehrheit (99 Prozent) erlaubt berufliche Weiterbildung während der Arbeitszeit.

Unsere Untersuchungen zur Entwicklung von Einsteiger- und Junior-Talenten legen nahe, dass eine frühe Investition in umfassendes, gut strukturiertes Onboarding und Kompetenzaufbau zu besserer Mitarbeiterbindung, schnellerer Einsatzfähigkeit und langfristig stärkeren Fähigkeiten führt

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Bindung wird oft übersehen. Viele Organisationen konzentrieren sich auf die kurzfristige Personalbesetzung, anstatt Weiterbildung als Instrument zur Bindung von Talenten zu betrachten. In einer sich rasant wandelnden Bedrohungslandschaft kann der Verzicht auf kontinuierliche Kompetenzentwicklung langfristig zu höheren Risiken führen.

In diesem Zusammenhang könnten höhere Anfangskosten ein strategisches Engagement für Qualität und nachhaltiger Personalarbeit widerspiegeln.

Wege zu effizienteren Rekrutierungen

connect professional: Welche konkreten Maßnahmen würden Sie deutschen Unternehmen empfehlen, um ihre Rekrutierungsprozesse im Bereich Cybersecurity effizienter zu gestalten?
Marks: Um die Cybersecurity-Rekrutierung in Deutschland zu verbessern, sollten Unternehmen zunächst sicherstellen, dass Personalabteilungen und einstellende Führungskräfte eng zusammenarbeiten, um realistische Stellenbeschreibungen zu entwickeln. Zu oft sehen wir Einstiegspositionen, in denen Zertifizierungen mit Erfahrungsvoraussetzungen – wie etwa die CISSP-Zertifizierung – verlangt werden. Dies verengt nicht nur den Talentpool, sondern schreckt auch fähige Nachwuchskräfte von einer Bewerbung ab.

Neben der Optimierung von Stellenausschreibungen sollten Organisationen eine langfristige Personalplanung betreiben. Mithilfe von Rahmenwerken wie der EU-NIS2-Richtlinie können Personal- und Sicherheitsverantwortliche zukünftige Kompetenzbedarfe antizipieren und entsprechend einstellen – und so die passenden Fähigkeiten den richtigen Rollen zuordnen. Realistisch und zukunftsorientiert zu sein, ist entscheidend, um Cybersecurity-Talente in einem wettbewerbsintensiven Markt zu gewinnen und zu halten.

connect professional: Wie kann eine bessere Zusammenarbeit zwischen HR-Abteilungen und Cybersicherheitsteams gelingen, um Stellenprofile realistischer und zugänglicher zu gestalten?
Marks: Eine stärkere Zusammenarbeit zwischen HR und Cybersecurity-Teams ist entscheidend, um realistische, kompetenzbasierte Stellenprofile zu erstellen, die zugänglich und auf tatsächliche Unternehmensbedarfe abgestimmt sind. Dies beginnt mit der gemeinsamen Definition klarer, angemessener Stellenbeschreibungen, die tatsächliche Anforderungen widerspiegeln, anstatt idealisierte Wunschlisten, die qualifizierte Bewerber abschrecken können.

Ein wertvolles Hilfsmittel ist hier das European Cybersecurity Skills Framework (ECSF) der ENISA, das eine standardisierte Taxonomie für Rollen, Verantwortlichkeiten und erforderliche Kompetenzen im Bereich Cybersecurity bietet. Durch die Ausrichtung von Stellenprofilen am ECSF können Organisationen Klarheit schaffen, Ambivalenzen beseitigen und Konsistenz innerhalb der Teams und Abteilungen gewährleisten.

Um diesen Ansatz zu unterstützen, hat ISC2 seine Zertifizierungen – einschließlich der CC-Zertifizierung – den ECSF Rollenprofilen zugeordnet. Diese Zuordnung hilft HR- und Personalverantwortlichen besser zu verstehen, wie Zertifikate mit den für bestimmte Rollen benötigten Kompetenzen zusammenhängen, um fundierte Einstellungsentscheidungen und gezielte Personalentwicklung zu ermöglichen.

Letztlich schaffen Frameworks wie das ECSF und die entsprechende Ausrichtung von Zertifizierungen eine gemeinsame Sprache zwischen HR und Cybersecurity mit dem Ergebnis kürzerer Einstellungszeiten und nachhaltiger Talentförderung.

Qualifizierung, Zertifizierungen und Nachwuchsförderung

connect professional: Welche Rolle spielen anerkannte Zertifizierungen wie CISSP oder CC in der Ausbildung von Nachwuchskräften in Deutschland? Beobachten Sie hier eine zunehmende Nachfrage?
Marks: Während die CISSP-Zertifizierung für erfahrene Cybersecurity-Fachkräfte konzipiert ist, können Einstiegszertifizierungen wie „Certified in Cybersecurity“ (CC) das Engagement eines Bewerbers für das Berufsfeld und sein Interesse an einer Karriere in der Cybersecurity unter Beweis stellen. Diese grundlegenden Zertifikate helfen dabei, ein Basiswissen zu demonstrieren und eine proaktive Lernhaltung zu zeigen – Eigenschaften, die viele Arbeitgeber bei der Bewertung von Junior-Talenten schätzen. Laut unserem Hiring Trends Report wünschen sich 56 Prozent der einstellenden Manager in Deutschland, dass Bewerber für Einstiegspositionen eine CC-Zertifizierung besitzen, und 28 Prozent verlangen sie als Voraussetzung für eine Einstellung.
Der Erwerb von Zertifikaten wie dem CC kann als Sprungbrett dienen und Arbeitgebern zeigen, dass ein Bewerber motiviert ist, sich in diesem Bereich weiterzuentwickeln.

Wichtig ist zudem, dass die CC-Zertifizierung angrenzende Rollen in Bereichen wie Risiko, Compliance und Recht unterstützt und so ihre Wirkung vergrößert und Unternehmen hilft, ihre gesamte Cyber-Resilienz zu stärken.

connect professional: Die Studie zeigt, dass deutsche Unternehmen häufiger Bewerber mit Berufserfahrung oder Zertifizierungen bevorzugen als solche mit rein akademischer Ausbildung. Welche Folgen hat dieser Trend für Nachwuchskräfte und Quereinsteiger?
Marks: Dieser Trend kann Einstiegsmöglichkeiten für Nachwuchskräfte und Quereinsteiger sogar erweitern, da er der praktischen Erfahrung mehr Wert beimisst als rein akademischen Abschlüssen. Für Neueinsteiger sind Praktika, Ausbildungsplätze und Zertifikate entscheidende Einstiegsmöglichkeiten. Auch das Networking spielt eine wichtige Rolle. Der Beitritt zu lokalen Berufsverbänden, wie dem ISC2 Chapter in Deutschland, kann wertvolle Kontakte und Einblicke in die Branche bieten.

connect professional: Wie können praxisnahe Einstiegsmöglichkeiten und Karrierepfade für junge Talente in Deutschland attraktiver gestaltet werden – insbesondere im Vergleich zu anderen Ländern?
Marks: Frühe Berührungspunkte mit Cybersecurity-Karrieren durch Schulen und Hochschulen sind entscheidend. Praktika, Ausbildungsplätze und klar definierte Einstiegsrollen können ebenfalls helfen. Praktische Erfahrungen, zum Beispiel durch simulierte Sicherheitsvorfälle oder interne Schwachstellenanalysen (Penetrationstests), bieten jungen Fachkräften wertvolle Einblicke und können eine attraktive Alternative zu traditionellen Ausbildungswegen sein. Die Herausstellung von Karrieremöglichkeiten und der Einfluss der Arbeit im echten Leben kann das Berufsfeld für Nachwuchskräfte zusätzlich attraktiv machen.

Ein weiterer wichtiger Aspekt im deutschen Kontext ist die Rolle des dualen Ausbildungssystems, das traditionell eine Stärke des deutschen Arbeitsmarktes darstellt. Dieses Modell ist jedoch noch unzureichend auf den Bereich Cybersecurity abgestimmt. Während es in technischen Berufen erfolgreich Fachkräfte hervorgebracht hat, fehlen bislang spezifische Ausbildungswege für Rollen wie Security Analysts, Incident Responders oder Cloud-Sicherheitsspezialisten. Die bestehenden Ausbildungsgänge sind oft zu allgemein oder im Hinblick auf digitale Risiken veraltet. Wir sehen einen starken Bedarf an einer Modernisierung des dualen Systems, das heutigen Anforderungen im Cyber-Bereich gerecht wird – inklusive engerer Zusammenarbeit mit Zertifizierungsorganisationen und modularen Qualifizierungsoptionen, die dem Tempo des technologischen Wandels entsprechen.

connect professional: Welche Fähigkeiten oder Aufgabenbereiche halten Sie derzeit für besonders wichtig für Berufseinsteiger auf dem deutschen Markt?
Marks: Unser Hiring Trends Report zeigt, dass einstellende Manager in Deutschland von Berufseinsteigern Kenntnisse in den folgenden fünf technischen Bereichen erwarten: Cloud-Sicherheit, Datenanalyse, Datensicherheit, Bedrohungsbewertung und Erkennung von Eindringversuchen. Darüber hinaus und aufgrund des zunehmenden Einflusses von KI werden auch KI-Kenntnisse wie Prompt Engineering und die Fähigkeit, Deepfakes zu erkennen, auf Platz sechs genannt.

Was den Arbeitsalltag betrifft, wurden die folgenden fünf Aufgabenbereiche als besonders geeignet für Nachwuchskräfte identifiziert:

Dokumentation von Prozessen und Verfahren,
Erstellung von Berichten,
Verwaltung physischer Zugangskontrollen,
Alarm- und Ereignismanagement
sowie Datenanalyse.

Vertrautheit mit den fünf Kernbereichen – Sicherheitsprinzipien, Business Continuity & Incident Response, Zugriffskontrolle, Netzwerksicherheit und Sicherheitsbetrieb – bildet die CC-Zertifizierung eine solide Grundlage für Einsteiger in das Berufsfeld.

Neben technischen Fähigkeiten sind auch überfachliche und übergreifende Kompetenzen wie Problemlösung, analytisches Denken und effektive Kommunikation zunehmend wertvoll – insbesondere da Technologien wie KI immer stärker in Cybersecurity-Prozesse integriert werden.

connect professional: Welche Rolle spielen Ihrer Meinung nach Mentoren beim Einstieg in die Cybersecurity-Karriere – insbesondere in Deutschland?
Marks: Der Mangel an Mentoring-Programmen behindert den strukturierten Wissenstransfer und erschwert die Entwicklung junger Mitarbeitender. Mentoren helfen Junior-Mitarbeitenden, sich in komplexen Karrierewegen zurechtzufinden, und beschleunigen den Kompetenzaufbau. In unserem Report stellten wir fest, dass nur etwa die Hälfte (47 Prozent) der deutschen Sicherheitspersonalverantwortlichen Mentoring-Programme anbietet (formell oder informell). Die Hauptgründe, warum keine Mentorenprogramme angeboten werden, sind der Mangel an verfügbaren oder willigen Mentoren (43 Prozent) oder dass andere Methoden wie Schulungen, Job Shadowing oder Trainings durch Teamleiter eingesetzt werden.

Die Einführung formeller Mentoring-Initiativen könnte sowohl Wissens- als auch Erfahrungslücken schließen und gleichzeitig die Mitarbeiterbindung und die langfristige Personalentwicklung stärken.

connect professional: Was tut ISC2 konkret, um den Einstieg in die Cybersecurity-Branche für Nachwuchskräfte in Deutschland zu fördern?
Marks: ISC2 bietet über das Programm „One Million Certified in Cybersecurity“ kostenlosen Zugang zur Einstiegszertifizierung „Certified in Cybersecurity“ (CC) an. Die CC-Zertifizierung richtet sich an Personen ohne Vorkenntnisse in der Cybersecurity und hilft Studierenden, Quereinsteigern und Interessierten, grundlegende Cybersecurity-Kenntnisse zu erwerben und nachzuweisen. Als Teil des Engagements für den Aufbau der Cybersecurity-Belegschaft hat sich ISC2 gegenüber der EU Cybersecurity Skills Academy verpflichtet, bis zum 31. August 2026 kostenfreie CC-Trainings und Prüfungen für 30.000 Personen in EU-Mitgliedstaaten bereitzustellen. Als erste Organisation, welche die Academy 2023 unterstützte, hat ISC2 bereits über 28.000 Personen in der EU kostenfreien Zugang zu Training und Prüfung ermöglicht.

Die gemeinnützige Stiftung von ISC2, The Center for Cyber Safety and Education, arbeitet daran, Eintrittshürden in Cybersecurity-Karrieren abzubauen, bietet Stipendien und unterstützt Organisationen bei der Verbesserung ihrer Sicherheitslage.

Politische Rahmenbedingungen und Zukunftsausblick

connect professional: Welche politischen oder regulatorischen Rahmenbedingungen müssten aus Ihrer Sicht in Deutschland verbessern, um Cybersicherheit als Berufsfeld nachhaltig zu stärken?
Marks: Zunächst ist es entscheidend, dass Deutschland die NIS2-Richtlinie in nationales Recht überführt – und zwar so nah wie möglich am Wortlaut der Originalrichtlinie, einschließlich der Anforderungen an Personal und Qualifikationen. Zweitens sollten die politischen Entscheidungsträger in Deutschland bei der Umsetzung von NIS2 und EU CRA international anerkannte Rahmenwerke und Standards heranziehen, um die für eine wirksame Umsetzung der Vorschriften erforderlichen Kompetenzen zu ermitteln und diese Kompetenzen dort aufzubauen, wo Lücken bestehen.

connect professional: Wie sieht Ihre Prognose für den deutschen Cybersecurity-Arbeitsmarkt bis 2030 aus? Sehen Sie Anzeichen für Entspannung oder werden sich die Engpässe weiter verschärfen?
Marks: Unsere Workforce-Studie 2024 zeigt, dass 62 Prozent der Cybersecurity-Fachkräfte in Deutschland von Personalengpässen und 90 Prozent von Qualifikationslücken berichten. Wenn sich die Rekrutierungspraktiken nicht weiterentwickeln und Karrierewege nicht inklusiver werden, wird der Mangel voraussichtlich bestehen bleiben. Der Bedarf an qualifizierten Fachkräften wird weiter steigen, da Bedrohungen zunehmen, neue Technologien eingeführt werden und regulatorische Anforderungen steigen. Ohne strukturelle Reformen wird sich die Fachkräfte- und Qualifikationslücke weiter vergrößern, was eine langfristige Resilienz gefährdet. Eine nachhaltige Lösung wird nur durch koordinierte Ausbildungsstrategien und gezielte Qualifizierungsmaßnahmen möglich sein.