Cybersicherheit wird in Deutschland gern als Sache der Spezialisten behandelt. Ministerien, Bundeswehr, Nachrichtendienste, große Rechenzentren, Sicherheitsbehörden, Hochschulen, Forschungslabore. Dort vermutet man die Abwehrkräfte des digitalen Staates. Christine Skropke von Secunet, die auch im Vorstand von AFCEA Bonn engagiert ist, verschiebt diese Vorstellung. In ihrem Gespräch auf der AFCEA-Fachausstellung in Bonn spricht sie über Resilienz, europäische Koordination, sichere Kommunikation und das Sicherheitsökosystem 2030. Der politisch interessanteste Teil liegt beim Personal.
Ihre Botschaft lautet: Cybersicherheit muss in die Breite. In Unternehmen, Verwaltungen, Kommunen, Kliniken, Schulen, mittelständischen Betrieben und Rechenzentren. Dort wird jeden Tag entschieden, ob Systeme geschützt bleiben. Beim Einspielen eines Updates. Beim Erkennen verdächtiger Zugriffe. Beim Absichern eines Netzwerks. Beim Verstehen von Verschlüsselung. Beim Umgang mit Datenräumen. Beim ordentlichen Betrieb eines Servers. Das klingt kleiner als Cyberkrieg. Es ist sein täglicher Unterbau. Wer Netze im Normalbetrieb nicht beherrscht, wird sie in der Krise nicht retten.
Bochum zeigt, was akademische Exzellenz leisten kann
Skropke verweist auf die Ruhr-Universität Bochum als einen der herausragenden deutschen Orte für Cybersicherheit. Das ist kein bloßes Standortlob. Bochum verfügt mit dem Exzellenzcluster CASA und dem Horst-Görtz-Institut für IT-Sicherheit über eine gewachsene Forschungslandschaft, die internationale Sichtbarkeit besitzt. CASA steht für „Securing the Digital Society“ und arbeitet an der Absicherung digitaler Gesellschaften unter realistischen Angriffsszenarien. Das Horst-Görtz-Institut gehört zu den großen und traditionsreichen Einrichtungen für IT-Sicherheit in Europa.
Interessant ist, wie konkret die Bochumer Ausbildung angelegt ist. In den Studienangeboten zur IT-Sicherheit geht es nicht um abstrakte Digitalisierung, vielmehr um Schwachstellen in Computernetzen, Handys, Autos und anderen vernetzten Systemen. Studierende beschäftigen sich mit Angriffsmethoden, Schutz gegen Hackerangriffe, kryptographischen Verfahren, Verschlüsselung, Implementierung und der Schnittstelle zwischen Mensch und IT-Sicherheit. In den Masterprogrammen kommen Berufsbilder hinzu, die unmittelbar in die Sicherheitswirtschaft, kritische Infrastruktur und öffentliche Verwaltung führen: Security Engineer, Penetration Tester, Incident Response Specialist, IT-Forensiker, Sicherheitsberater, Datenschutzverantwortliche.
Bochum zeigt damit die Spitze der Ausbildungspyramide. Dort entstehen Fachleute für Kryptographie, Systemanalyse, Forensik, Netzwerksicherheit und Forschung. Doch Skropkes eigentlicher Hinweis beginnt unterhalb der Universität. Spitzenforschung schützt keine kommunalen Netze, falls vor Ort niemand weiß, wie man Systeme härtet, Angriffe erkennt, Sicherheitsupdates prüft oder einen Notbetrieb stabil hält.
Die Berufsschule wird zum Sicherheitsort
Die Konsequenz aus Skropkes Diagnose führt in die berufliche Ausbildung. Cybersicherheit darf nicht erst im Masterseminar beginnen. Sie muss im Ausbildungsbetrieb, in der Berufsschule und in der Abschlussprüfung auftauchen. Der Ausbildungsberuf Fachinformatiker bietet dafür bereits einen Ansatz. Seit der Neuordnung der IT-Berufe gibt es neben Anwendungsentwicklung und Systemintegration auch die Fachrichtungen Daten- und Prozessanalyse sowie Digitale Vernetzung. Gerade die Digitale Vernetzung enthält Sicherheitsbezüge: vernetzte Systeme planen, errichten, betreiben, sichern, Ausfälle vermeiden, Daten gegen unerlaubte Zugriffe schützen.
Das ist die Eintrittsstelle für Skropkes Forderung. Cybersicherheit ist in der Ausbildung angelegt, aber noch kein eigenständiger beruflicher Schwerpunkt mit der nötigen Wucht. Datenschutz und Datensicherheit stehen bereits in den Ordnungen. Auch Schutz gegen unerlaubte Zugriffe gehört zum Profil. Doch die neue Lage verlangt mehr Praxis, mehr Verbindlichkeit, mehr Prüfung und mehr sichtbare Spezialisierung.
Skropke spricht deshalb von einem Ausbau des Fachinformatikers in Richtung Cybersicherheit. Langfristig denkt sie an einen eigenen Ausbildungsberuf. Das ist ein Signal an Industrie- und Handelskammern, Berufsschulen, Ausbildungsbetriebe, das Bundesinstitut für Berufsbildung, die Kultusministerkonferenz und die zuständigen Ministerien. Wer Cybersicherheit in die Fläche bringen will, muss Ausbildungsordnungen, Rahmenlehrpläne, Prüfungsanforderungen und betriebliche Ausbildungspläne anpassen.
Der Fachinformatiker als Schutzberuf
Der Fachinformatiker galt lange als IT-Beruf für Systeme, Software, Daten, Prozesse und Netzwerke. In der neuen Sicherheitslage wird er zum Schutzberuf. Nicht jeder Absolvent muss Kryptograph werden. Nicht jeder muss Angriffe forensisch auswerten. Doch jeder sollte Grundfragen der Cybersicherheit im beruflichen Reflex haben: Wie werden Zugänge abgesichert? Wie erkennt man verdächtige Aktivitäten? Wie werden Updates geprüft und eingespielt? Wie trennt man Netze? Wie schützt man Daten? Wie reagiert man bei einem Vorfall? Wie dokumentiert man technische Änderungen? Wie hält man ein System arbeitsfähig, falls Teile ausfallen?
Diese Fragen gehören in Projektarbeiten, Prüfungen, betriebliche Lernaufgaben und Berufsschulunterricht. Eine Abschlussprüfung, in der Cybersicherheit verlässlich vorkommt, wäre ein klares Signal. Noch wirksamer wäre eine Fachrichtung oder Zusatzqualifikation, die Unternehmen erkennen lässt: Diese Person kann digitale Systeme nicht bloß betreiben. Sie kann sie schützen.
Die Kammern haben hier eine zentrale Rolle. Sie begleiten Ausbildungsbetriebe, organisieren Prüfungen, wirken an der Ordnung der Berufe mit. Doch Verantwortung liegt auch bei den Betrieben. Ohne Ausbilder, die Sicherheitsinhalte praktisch vermitteln, bleibt jede Reform schwach. Ohne Berufsschulen mit aktueller Ausstattung bleibt jeder Rahmenlehrplan blass. Ohne reale Übungsumgebungen bleibt Cybersicherheit Theorie.
Personalmanagement entdeckt die Cyberreserve
Damit rückt das Thema in die Personalabteilungen. Unternehmen müssen wissen, wer ihre Netze wirklich versteht. Wer kann eine Störung eingrenzen? Wer kennt die kritischen Systeme? Wer weiß, welche Updates eingespielt wurden? Wer kann im Notbetrieb arbeiten? Wer spricht mit Dienstleistern, Behörden und Management? Wer entscheidet, falls ein Angriff läuft?
Personalmanagement darf IT-Sicherheit nicht als reine Technikfrage behandeln. Es muss kritische Rollen erkennen, Nachwuchspfade aufbauen, Weiterbildungen planen, Ausbilder qualifizieren und Schlüsselpersonen binden. Für große Konzerne heißt das: Sicherheitsarchitektur und Personalstrategie gehören zusammen. Für den Mittelstand heißt es: Ein gut ausgebildeter Fachinformatiker mit Sicherheitsprofil kann wichtiger sein als das nächste Hochglanzprodukt aus dem Beratungsmarkt.
Skropkes Gedanke passt damit in die größere Debatte über Gesamtverteidigung. Die Personalfrage wird nicht allein durch Reservisten, Wehrdienst und Arbeitszeit gestellt. Sie stellt sich auch durch digitale Abhängigkeit. Ein Krankenhaus braucht Menschen, die Netze sichern. Ein Energieversorger braucht Menschen, die Systeme verstehen. Eine Kommune braucht Menschen, die Angriffssignale ernst nehmen. Ein Maschinenbauer braucht Menschen, die Produktionssysteme schützen. Ein Logistiker braucht Menschen, die Datenflüsse stabil halten.
Von der Universität zum Berufskolleg
Bochum liefert den akademischen Beweis, dass Deutschland Cybersicherheit auf höchstem Niveau kann. CASA, Horst-Görtz-Institut, Studiengänge zur IT-Sicherheit, Kryptographie, Netzwerksicherheit, Mensch-Technik-Fragen, Systemanalyse: Das ist eine beachtliche Grundlage. Doch die Sicherheitsarchitektur der Republik endet nicht im Forschungsverbund. Sie muss bis ins Berufskolleg, in den Ausbildungsbetrieb und in die kleine IT-Abteilung eines Landkreises reichen.
Von Bochum in die Betriebe: Diese Formel beschreibt den notwendigen Transfer. Forschung muss in Produkte, Gründungen, Standards, Lehre, Ausbildung und tägliche Praxis wandern. Skropke weist darauf hin, dass Deutschland Talente besser halten und zurückholen muss. Viele gut ausgebildete Cyberexperten gehen in internationale Märkte, weil dort Kunden, Kapital und Karrierewege schneller verfügbar sind. Startups brauchen deshalb nicht nur Finanzierung. Sie brauchen frühe Kunden. Der Staat, kritische Infrastruktur und große Unternehmen können Ankerkunden sein.
Auch das ist Personalpolitik. Talente bleiben dort, wo sie Wirkung sehen. Wer Cybersicherheit als Berufsfeld stärken will, muss attraktive Aufgaben, verlässliche Ausbildungswege, öffentliche Nachfrage und sichtbare Karrierepfade schaffen.
Sicherheit in der Fläche entscheidet über Resilienz
Skropke spricht über Resilienz bis in die Bevölkerung hinein. Dabei geht es um Warnübungen, Zivilschutz, Desinformation, Schulen, Volkshochschulen, Seniorenbildung und regionale Initiativen. Doch im Cyberraum bekommt dieser Gedanke eine besondere Schärfe. Jede Kommune, jede Schule, jedes Krankenhaus, jeder Mittelständler, jeder Energieversorger ist Teil der digitalen Sicherheitslage. Ein Angriff trifft nicht nur Server. Er trifft Termine, Zahlungen, Lieferungen, Patientenakten, Produktionsabläufe, Verwaltungsverfahren, Mobilität und Vertrauen.
Deshalb reicht ein kleiner Kreis akademischer Spezialisten nicht aus. Deutschland braucht Menschen mit beruflicher Praxis, die Cybersicherheit in die Fläche tragen. Sie sitzen in Stadtwerken, Landratsämtern, Maschinenbaubetrieben, Kliniken, Schulen, Rechenzentren, Softwarehäusern, Logistikunternehmen und bei Dienstleistern. Sie sind die erste Linie im digitalen Alltag.
Europa braucht gemeinsame Sprache
Skropke lenkt den Blick zudem nach Europa. Deutschland liegt geografisch im Herzen des Kontinents und wäre im Krisenfall Drehscheibe. Kommunikation muss über Grenzen hinweg funktionieren. Nationale Regelungen und unterschiedliche technische Standards dürfen in der Krise nicht zum Hindernis werden. Skropke spricht deshalb über Interoperabilität, also die Fähigkeit verschiedener Systeme und Organisationen, miteinander zu arbeiten.
Im Cyberraum betrifft das die Zusammenarbeit von nationalen Behörden und europäischen Stellen. Die Europäische Agentur für Cybersicherheit, die ENISA, das Bundesamt für Sicherheit in der Informationstechnik und weitere nationale Behörden müssen Lagebilder teilen, Daten bündeln und Vertrauen aufbauen. Skropke spricht sich eher für einheitliche europäische Regeln aus als für Richtlinien, die in jedem Land anders umgesetzt werden.
Auch das hat eine Personaldimension. Interoperabilität entsteht nicht nur durch Technik. Menschen müssen gemeinsame Begriffe, Verfahren und Kommunikationswege kennen. Wer europäisch zusammenarbeiten soll, braucht Ausbildung, Sprachen, Vertrauen und Übung.
Ein Ausbildungsberuf als Signal
Ein eigener Ausbildungsberuf für Cybersicherheit wäre mehr als eine neue Zeile im Verzeichnis der Berufe. Er wäre ein Signal, dass Deutschland die digitale Verteidigung der offenen Gesellschaft in die berufliche Normalität holt. Nach mehr als drei Jahrzehnten Cybersicherheitsbranche wäre das keine voreilige Forderung. Es wäre eine Anpassung an die Lage.
Der Weg dorthin muss sorgfältig sein. Neue Berufe brauchen klare Tätigkeitsprofile, Nachfrage in Betrieben, Ausbildungsfähigkeit, Prüfungsordnungen, Berufsschulkapazität und Anschluss an Weiterbildung. Vielleicht führt der erste Schritt über eine vertiefte Fachrichtung im Fachinformatiker. Vielleicht über bundesweit anerkannte Zusatzqualifikationen. Vielleicht über ein Stufenmodell aus Grundausbildung, Spezialisierung und Fortbildung.
Entscheidend ist, dass Cybersicherheit nicht in Zertifikatswelten zerfasert. Die berufliche Bildung braucht anerkannte, belastbare Wege.
Das Sicherheitsökosystem beginnt im Stundenplan
Christine Skropkes Beitrag zur AFCEA-Debatte zeigt eine neue Spur. Sicherheit entsteht nicht allein durch Programme, Plattformen und Behördenreformen. Sie entsteht auch im Stundenplan der Berufsschule, in der Ausbildungsordnung, im Prüfungsausschuss, im Betrieb, im Rechenzentrum, im kommunalen IT-Amt und im Personalgespräch.
Ein Staat ist digital nur so widerstandsfähig wie die Menschen, die seine Netze betreiben. Die akademische Spitze in Bochum ist ein Kapital. Die berufliche Breite entscheidet darüber, ob dieses Kapital im Alltag wirkt.
Wer das Sicherheitsökosystem 2030 ernst nimmt, muss daher auch fragen, was in der Ausbildung zum Fachinformatiker geprüft wird. Genau dort beginnt die alltägliche Cyberabwehr der Republik.
