Warum dem Staat IT-Sicherheitsexpert:innen fehlen

In Deutschland sind derzeit bis zu 51.000 Stellen für IT-Expert:innen unbesetzt. Neben der Wirtschaft spürt auch der Öffentliche Dienst diesen Fachkräftemangel. Da der Staat zunehmend Aufgaben wie die Unterstützung des Schutzes kritischer Infrastrukturen übernimmt und bei der polizeilichen Aufklärung und der Verteidigung vermehrt technische Mittel eingesetzt werden, manifestiert sich der Fachkräftemangel besonders in der IT-Sicherheit: Der Öffentliche Dienst ist hier momentan nicht attraktiv genug, um bei potentiellen Angestellten im Wettbewerb mit der Wirtschaft zu bestehen. Häufig wird die schlechte Bezahlung als Grund genannt, warum IT-Fachkräfte im Öffentlichen Dienst fehlen. Allerdings ist die Höhe der Gehälter nicht allein ausschlaggebend. Der Öffentliche Dienst ist im Vergleich zur Wirtschaft für IT-Expert:innen aus anderen Gründen nicht attraktiv.

Tatsächlich stellt die Vergütung nur eines von vier Problemfeldern dar, welche dazu führen, dass der Öffentliche Dienst im Vergleich zur Wirtschaft für IT-Expert:innen derzeit nicht reizvoll ist:
 
1. Die starren Gehaltsstrukturen des TvöD sind insbesondere für Spezialist:innen unattraktiv, die zwar umfassende Berufserfahrung, aber keinen oder nur einen niedrigen akademischen Abschluss vorweisen können. Sie verdienen, trotz Erfahrung, durch geringere Abschlüsse, wie Bachelor oder Berufsausbildung, im Öffentlichen Dienst weitaus weniger als in der Wirtschaft.

2. Die unflexiblen Strukturen wie das hierarchisch organisierte Laufbahnrecht, die Bevorzugung von Generalisten und Juristen und traditionelle Arbeitsformen in nicht-interdisziplinären Teams in der Verwaltung,  verhindern eine Karriere für IT-Spezialist:innen innerhalb des Öffentlichen Dienstes attraktiv zu gestalten. Das stellt einen Nachteil gegenüber Arbeitsplätzen in der Wirtschaft dar und führt dazu, dass sich eine klare Laufbahn und angemessene Arbeitsumgebung für Informatiker:innen, vor allem in der Verwaltung, nur schwer etablieren lassen.

3. Es fehlt an flexiblen Weiterbildungsmöglichkeiten, obwohl die konstante Weiterentwicklung im Bereich der IT-Sicherheit essentiell ist. Unkonventionelle Methoden, unabhängige Projekte “Freestyle Coding”, Teilnahme an Konferenzen und Simulationen als auch Hackathons sind in der Wirtschaft als Fortbildung anerkannt. Hier steht der Öffentliche Dienst vor der Herausforderung, die Ansprüche an eine Weiterbildung im IT-Sicherheitsbereich mit internen, teilweise starren Strukturen und Vorgaben zu vereinbaren.

4. Das traditionelle Einstellungsverfahren erschwert die Einstellung von Personen, die zwar über das geforderte Know-How, nicht aber über die entsprechenden formalen Abschlüsse verfügen. Dieses Potential in Form von potentiellen IT-Sicherheitsfachkräften darf der Öffentliche Dienst nicht ungenutzt lassen.  

Das Bundesministerium für Verteidigung und das Bundesministerium des Innern haben diese prekäre Situation erkannt und zwei Lösungsansätze entwickelt, die den Fachkräftemangel adressieren sollen: Die “Cyberwehr” und die “Cyber Community”. Beides sind so genannte ‘Pooling und Sharing’ Methoden, die es dem Staat erlauben sollen, externe  Expert:innen anzuwerben. Beide Optionen sind erste richtige Schritte, um kurz- bis mittelfristig den Öffentlichen Dienst attraktiver zu machen. Beide Lösungsansätze adressieren vor allem das Problem der mangelnden Weiterbildungsmöglichkeiten. Langfristige Herausforderungen, wie die Arbeitskultur, die fehlenden Karrieremöglichkeiten und die traditionellen Einstellungsverfahren werden nicht adressiert und erschweren es  IT-Sicherheitsexpert:innen in den Öffentlichen Dienst zu integrieren und die Arbeitsformen den neuen Herausforderungen anzupassen. Für die tieferen strukturellen Probleme, die zur mangelnden Attraktivität des Öffentlichen Dienstes führen,  reichen  diese ‘Pooling und Sharing’-Methoden also nicht aus.

Parallel zu den genannten Lösungsansätzen muss der Staat daher weitere Konzepte entwickeln, die langfristig funktionieren und den stetig wachsenden Bedarf an Fachkräften decken. Wenn der Öffentliche Dienst nicht modernisiert wird, wird er bei wachsender Zuständigkeit im Bereich IT-Sicherheit bald an seine Belastungsgrenze stoßen: Besonders in Krisensituationen wird ein personell und fachlich unterbesetzter Öffentlicher Dienst die IT-Sicherheit nicht gewährleisten können – oder der Staat muss immer höhere Summen aufwenden, um externe Dienstleister einzukaufen.