19. Februar 2026 | Artikel drucken |

Security-Fachkräfte: Warum Deutschlands Cybersecurity-Talente ein heimlicher Exportschlager sind

8 Min. Lesezeit

Deutschland hat ein Cybersecurity-Problem. 149.000 IT-Stellen sind unbesetzt, 7,7 Monate dauert es im Schnitt, bis eine Position gefüllt wird. Gleichzeitig bringt das Land einige der besten Security-Forscher der Welt hervor. Das CISPA in Saarbrücken ist laut CSRankings die Nummer eins weltweit in Computer Security. Das ist kein Widerspruch – es ist Deutschlands größte verschenkte Chance. Und der Schlüssel zum Reboot.

Das Wichtigste in Kürze

  • Globaler Mangel: 4,76 Millionen Cybersecurity-Fachkräfte fehlen weltweit, Tendenz steigend um 19 Prozent gegenüber Vorjahr (ISC2 2024)
  • EU-Lücke: Knapp 300.000 Cybersecurity-Professionals fehlen in der EU, nur 3.100 Absolventen pro Jahr (ENISA)
  • Deutschland: 439.243 aktive Cybersecurity-Fachkräfte, aber 149.000 offene IT-Stellen insgesamt (ISC2/Bitkom)
  • Weltelite: CISPA Saarbrücken ist Nummer 1 weltweit in Computer Security, HGI Bochum ist Europas größtes IT-Sicherheitsinstitut
  • Gehaltsschere: Senior Security-Rollen werden in den USA mit 30 bis 50 Prozent mehr vergütet als in Deutschland

Die Paradoxie: Weltklasse-Forschung trifft Rekord-Mangel

149.000 IT-Stellen sind in Deutschland unbesetzt – ein Rekordhoch laut Bitkom. Vor fünf Jahren waren es noch 82.000. Nur 2 Prozent der Unternehmen halten das Fachkräfteangebot für ausreichend – im Vorjahr waren es immerhin noch 8 Prozent. Die Prognose für 2040: 663.000 fehlende IT-Fachkräfte, wenn keine Gegenmaßnahmen greifen. Und 77 Prozent der Unternehmen erwarten eine weitere Verschärfung der Lage.

Das ist die eine Seite. Die andere: Deutschland bildet einige der besten Cybersecurity-Experten der Welt aus. Das CISPA Helmholtz Center in Saarbrücken belegt Platz eins weltweit im Bereich Computer Security und Kryptografie – gemessen an Publikationen bei den vier führenden Konferenzen (IEEE S&P, ACM CCS, USENIX Security, NDSS) über einen Zeitraum von zehn Jahren. Das sind nicht irgendwelche Rankings. Das sind die härtesten peer-reviewed Konferenzen der Branche. 2025 erhielt das CISPA in der internationalen Helmholtz-Evaluierung die Note „Outstanding“ in allen Kategorien.

Wie passt das zusammen? Die Antwort ist unangenehm: Deutschland produziert Talente von Weltrang, verliert sie aber an internationale Arbeitgeber, an andere Branchen und an die Bürokratie des eigenen Bildungssystems. Die Forschung ist exzellent. Der Transfer in die Wirtschaft ist es nicht. Und genau hier liegt die größte Chance des Reboots: Wenn Deutschland den Transfer-Engpass löst, wird Cybersecurity vom Kostenfaktor zum Exportschlager.

4,76 Mio.
Fehlende Cybersecurity-Fachkräfte weltweit
149.000
Offene IT-Stellen in Deutschland
#1
CISPA weltweit in Computer Security

Quellen: ISC2 Cybersecurity Workforce Study 2024, Bitkom 2024, CSRankings

Die vier Säulen der deutschen Security-Ausbildung

Was Deutschland von anderen Ländern unterscheidet: Es gibt nicht ein oder zwei gute Security-Programme, sondern ein ganzes Ökosystem. Vier Standorte bilden das Rückgrat der deutschen Cybersecurity-Forschung – und jeder hat ein eigenes Profil.

CISPA Helmholtz Center, Saarbrücken: Weltweit die Nummer eins in Computer Security und Kryptografie. Über 800 Forscher arbeiten an Themen von Post-Quantum-Kryptografie bis Privacy Engineering. Die Kooperation mit Stanford (CISPA-Stanford Center for Cybersecurity) zeigt das internationale Standing. Als Helmholtz-Zentrum verfügt das CISPA über langfristige Bundesfinanzierung – ein struktureller Vorteil gegenüber projektbasierten Forschungsclustern in anderen Ländern, die alle drei bis fünf Jahre um Folgeförderung kämpfen müssen.

Horst Görtz Institut (HGI), Ruhr-Universität Bochum: Europas größtes IT-Sicherheitsinstitut mit über 150 Wissenschaftlern und 36 Professoren. Seit 2000 bietet Bochum den ersten deutschen Diplomstudiengang in IT-Sicherheit an – damals eine Pionierleistung, heute ein Qualitätsstandard. Rund 900 Studierende, über 200 Publikationen an Top-Konferenzen und 16 Best Paper Awards. Der Exzellenzcluster CASA („Securing the Digital Society“) ist seit 2019 der einzige deutsche Exzellenzcluster im IT-Sicherheitsbereich. Die Nachbarschaft zu G DATA CyberDefense zeigt den Bochumer Weg: Forschung und Industrie auf dem selben Campus.

TU Darmstadt (CROSSING/CYSEC): Der DFG-geförderte Sonderforschungsbereich CROSSING arbeitet seit 2014 mit über 65 Forschern an kryptografischen Lösungen für die Post-Quantum-Ära. 17 Kernforschungsgruppen aus sechs Fachbereichen vereint unter dem CYSEC-Dach. Die TU Darmstadt verbindet Kryptografie, Software-Engineering und Usability – ein interdisziplinärer Ansatz, den nur wenige Standorte weltweit bieten. Die Frage, wie Menschen sichere Systeme tatsächlich nutzen können, wird hier nicht als Nebensache behandelt, sondern als Kernforschungsgebiet.

KIT Karlsruhe (KASTEL): Das Kompetenzzentrum für Angewandte Sicherheitstechnologie wurde 2011 als eines von drei nationalen Cybersecurity-Kompetenzzentren gegründet. Seit 2021 ist KASTEL eine permanente Institution im Helmholtz-Forschungsprogramm „Engineering Digital Futures“. Der Fokus liegt auf dem Transfer von Grundlagenforschung in industrielle Anwendung – genau die Brücke, die Deutschland am meisten braucht.

Fraunhofer: Die Brücke zwischen Forschung und Industrie

Was das deutsche Modell von anderen unterscheidet, ist die Fraunhofer-Gesellschaft als institutionalisierter Technologietransfer. Kein anderes Land hat eine vergleichbare Struktur, die anwendungsnahe Forschung systematisch in die Wirtschaft überführt. Fraunhofer AISEC beschäftigt rund 230 Sicherheitsexperten und betreibt zehn spezialisierte IT-Security-Labore – für Automotive, Hardware, Industrie 4.0, IoT, Software und Cloud. Das sind Testumgebungen, in denen Unternehmen ihre Produkte unter realen Angriffsbedingungen prüfen lassen können.

Das Fraunhofer Cybersecurity Training Lab, gefördert mit sechs Millionen Euro pro Jahr vom BMBF, bietet berufsbegleitende Weiterbildung auf einer 90 Quadratmeter großen Übungsfläche mit echten Angriffs- und Verteidigungsszenarien. Für Unternehmen, die ihre bestehenden Mitarbeiter qualifizieren wollen, ohne sie für ein Vollzeitstudium freizustellen, ist das die pragmatischste Lösung auf dem Markt. In einer Welt, in der 76 Prozent des Cybersecurity-Personals laut ENISA keine formale Zertifizierung haben, ist diese Art der Weiterbildung kein Nice-to-have, sondern eine Notwendigkeit.

Deutschland hat vier der weltweit führenden Cybersecurity-Forschungsinstitute, die Fraunhofer-Gesellschaft als Transferbrücke und einen Exzellenzcluster. Was fehlt, ist nicht Kompetenz – es ist der politische Wille, diese Stärke systematisch als Standortvorteil zu vermarkten und wirtschaftlich zu nutzen.

Made in Germany: Wenn Security-Firmen aus der Uni entstehen

Die besten deutschen Security-Unternehmen haben ihre Wurzeln in genau diesem Forschungsökosystem. Drei Beispiele zeigen, wie der Transfer funktionieren kann – und wie unterschiedlich die Modelle sind.

secunet Security Networks aus Essen ist der IT-Sicherheitspartner der Bundesrepublik und das erste deutsche Cybersecurity-Unternehmen, das die 400-Millionen-Euro-Marke überschritten hat. 2024 lag der Umsatz bei 406,4 Millionen Euro (plus 4 Prozent), das internationale Geschäft wuchs um 14 Prozent auf 40,1 Millionen Euro. Mit über 1.000 Mitarbeitern und elf Jahren ununterbrochenen Umsatzwachstums zeigt secunet, dass Cybersecurity Made in Germany ein skalierbares Geschäftsmodell ist – nicht nur ein Forschungsprojekt.

G DATA CyberDefense aus Bochum – in direkter Nachbarschaft zum HGI – entwickelte 1987 das weltweit erste Antivirenprogramm für den Atari ST. Fast 40 Jahre später ist das Unternehmen in über 90 Ländern aktiv und trägt das ECSO-Siegel „Cybersecurity Made in Europe“. Die Verflechtung mit der Ruhr-Universität Bochum als Forschungspartner ist bis heute eng. Was Bochum zeigt: Kontinuität und enge Verzahnung von Campus und Unternehmen schaffen einen sich selbst verstärkenden Kreislauf.

Cure53 aus Berlin, gegründet 2007 vom Sicherheitsforscher Mario Heiderich, ist ein Gegenmodell: 30 Spezialisten mit Doktor- und Masterabschlüssen, die für internationale Klienten wie Proton, Coinbase, Mozilla, Threema und Bitwarden tiefe Quellcode-Audits und Kryptografie-Reviews durchführen. Cure53 zeigt, dass deutsches Security-Know-how nicht abwandern muss, um international relevant zu sein. Die Klienten kommen nach Berlin, weil die Expertise dort sitzt. Das Modell: klein, hochspezialisiert, global vernetzt.

Die Gehaltsschere: Warum Talente abwandern

Laut dem Optima Europe Cybersecurity Salary Guide 2026 verdient ein Senior Cybersecurity Engineer in Deutschland zwischen 100.000 und 140.000 Euro. In den USA liegt das Vergleichsgehalt bei 180.000 Dollar aufwärts. Ein CISO im deutschen Mittelstand kommt auf 140.000 bis 190.000 Euro, in Großkonzernen auf bis zu 260.000 Euro. Im US-Markt sind es 245.000 Dollar und mehr. Die Schere beträgt je nach Rolle zwischen 30 und 50 Prozent.

Das ist der strukturelle Grund, warum deutsche Cybersecurity-Talente international begehrt sind. Google, Microsoft und Amazon haben Büros in München und Berlin, die gezielt aus dem deutschen Security-Ökosystem rekrutieren. Das ist kein Brain Drain im klassischen Sinne – die Menschen bleiben oft physisch in Deutschland. Aber sie arbeiten für ausländische Unternehmen, und ihre Expertise fließt in amerikanische Produkte statt in den Aufbau eines deutschen Security-Ökosystems.

Die Konsequenz für die NIS2-Compliance: 89 Prozent der Organisationen brauchen laut ENISA zusätzliches Personal, um die neuen Anforderungen zu erfüllen. Gleichzeitig haben 76 Prozent des bestehenden Cybersecurity-Personals keine formale Zertifizierung. Das Angebot an qualifizierten Kräften schrumpft relativ zur Nachfrage, die durch NIS2, DORA und AI Act in den nächsten zwei Jahren massiv steigen wird.

Was Deutschland richtig macht – und was fehlt

Richtig: Die Cyber-Sicherheitsstrategie 2021 (gültig bis 2026) hat wichtige Weichen gestellt. Die Agentur für Innovation in der Cybersicherheit finanziert ambitionierte Forschungsprojekte. Die Universität der Bundeswehr München bildet Offiziere und Bundesbehörden in Cybersicherheit aus und erzeugt damit einen Talentpool, der nach dem Dienst in die Wirtschaft wechselt. Die BSI-Zertifizierung ist international anerkannt über SOGIS-MRA (Europa) und CCRA (weltweit) – das ist die Grundlage für den Export deutscher IT-Sicherheitsprodukte und ein Alleinstellungsmerkmal, das kein anderes europäisches Land in dieser Breite bietet.

Falsch: Es gibt keine koordinierte nationale Strategie, um die Forschungsexzellenz in wirtschaftliche Stärke zu übersetzen. Israel hat das mit der Unit 8200 geschafft – ehemalige Geheimdienstmitarbeiter gründen Security-Startups, der Staat fördert den Transfer aktiv und systematisch. Deutschland hat vier Spitzenforschungsinstitute, aber keinen vergleichbaren Mechanismus, um Gründungen zu incentivieren. Die EXIST-Förderung ist zu langsam, die Venture-Capital-Landschaft für Security-Startups zu dünn und die regulatorischen Hürden für Ausgründungen aus Helmholtz-Zentren zu hoch.

Auch die Ausbildungskapazität reicht bei weitem nicht: In der gesamten EU werden laut ENISA jährlich nur 3.100 Cybersecurity-Absolventen produziert – ein Anstieg von 25 Prozent in zwei Jahren, aber bei einer Lücke von 300.000 Fachkräften allein in Europa eine mathematische Unmöglichkeit. Deutschland müsste seine Ausbildungskapazitäten vervielfachen, nicht nur inkrementell steigern.

Die Exportchance: BSI-Siegel als Türöffner

Es gibt einen Hebel, den Deutschland bisher kaum nutzt: die BSI-Zertifizierung als internationales Qualitätssiegel. Die Common-Criteria-Zertifizierung des BSI wird in über 30 Ländern anerkannt. Deutsche Security-Produkte können mit diesem Siegel in jeden CCRA-Mitgliedsstaat exportiert werden, ohne lokale Rezertifizierung. secunet nutzt das für sein internationales Wachstum (plus 14 Prozent, 40 Millionen Euro internationaler Umsatz), aber die meisten deutschen Security-Firmen verschenken diesen Vorteil, weil sie ihn schlicht nicht kennen oder den Zertifizierungsprozess scheuen.

Der Incident-Response-Apparat rund um BSI und CERT-Bund ist ein weiteres Exportgut. Deutsche Incident-Response-Methodik – systematisch, dokumentiert, compliance-konform – ist international gefragt, weil sie den Anforderungen von DSGVO, NIS2 und branchenspezifischen Regulierungen standhält. Kein anderes Land hat einen vergleichbaren regulatorischen Druck erzeugt und gleichzeitig die Methodik entwickelt, um ihm standzuhalten. Das ist kein Zufall. Das ist ein Wettbewerbsvorteil, der nur noch vermarktet werden muss.

Was jetzt passieren muss: Drei Hebel

Hebel 1: Gründungsförderung aus dem Forschungsökosystem. Jedes CISPA-, HGI- und KASTEL-Projekt, das kommerzielles Potenzial zeigt, braucht einen Fast Track zur Ausgründung. Nicht über EXIST-Anträge mit 18 Monaten Vorlauf, sondern über einen dedizierten Security-Accelerator mit direkter BSI-Zertifizierungsunterstützung. Israel hat vorgemacht, dass der Staat dabei nicht nur Fördergeber sein kann, sondern auch erster Kunde.

Hebel 2: Wettbewerbsfähige Vergütung im öffentlichen Sektor. Das BSI, die Bundeswehr und Landesbehörden konkurrieren um dieselben Talente wie Google und Amazon. Solange öffentliche Tarife 40 bis 60 Prozent unter Marktgehältern liegen, wird der Staat seine eigene Cybersicherheit nicht personell absichern können. Sondertarife für Security-Fachkräfte sind überfällig – nicht als Ausnahme, sondern als systematische Lösung.

Hebel 3: Ausbildungskapazität vervielfachen. 3.100 Cybersecurity-Absolventen pro Jahr in der gesamten EU sind nicht tragfähig bei 300.000 offenen Stellen. Deutschland braucht eine Verdreifachung der Studienplätze an den bestehenden Exzellenzstandorten und parallele Aufbauprogramme für berufsbegleitende Qualifikation über die Fraunhofer-Infrastruktur. Die sechs Millionen Euro BMBF-Förderung für das Cybersecurity Training Lab sind ein Anfang – aber gemessen am Problem ein Bruchteil dessen, was nötig wäre.

Häufige Fragen

Wie viele Cybersecurity-Fachkräfte fehlen in Deutschland?

Laut ISC2 arbeiten in Deutschland 439.243 Cybersecurity-Professionals. Bitkom beziffert die Gesamtzahl offener IT-Stellen auf 149.000 bei einer Besetzungsdauer von durchschnittlich 7,7 Monaten. In der gesamten EU fehlen laut ENISA knapp 300.000 Cybersecurity-Fachkräfte.

Welche deutschen Universitäten sind führend in Cybersecurity?

CISPA Saarbrücken (Platz 1 weltweit laut CSRankings), HGI Bochum (Europas größtes IT-Sicherheitsinstitut mit 150+ Forschern), TU Darmstadt (CROSSING/CYSEC, DFG-gefördert) und KIT Karlsruhe (KASTEL, Helmholtz-Programm). Dazu kommen die Fraunhofer-Institute SIT und AISEC als anwendungsnahe Forschungspartner.

Warum wandern deutsche Security-Talente ab?

Die Gehaltsschere beträgt 30 bis 50 Prozent zwischen Deutschland und den USA für vergleichbare Senior-Positionen. Internationale Technologiekonzerne mit Standorten in München und Berlin rekrutieren aktiv aus dem deutschen Forschungsökosystem. Die Talente bleiben oft physisch in Deutschland, arbeiten aber für ausländische Arbeitgeber.

Was ist die BSI-Zertifizierung und warum ist sie ein Exportvorteil?

Die Common-Criteria-Zertifizierung des BSI wird über SOGIS-MRA und CCRA in über 30 Ländern anerkannt. Deutsche Security-Produkte können damit ohne lokale Rezertifizierung international exportiert werden. secunet nutzt dies für 40 Millionen Euro internationalen Umsatz.

Wie viele Cybersecurity-Absolventen produziert Europa pro Jahr?

Laut ENISA CyberHEAD-Datenbank nur rund 3.100 pro Jahr in der gesamten EU. Bei einer Lücke von 300.000 Fachkräften ist das völlig unzureichend. Die Absolventenzahl ist in den letzten zwei Jahren um 25 Prozent gestiegen, aber die Lücke wächst schneller als die Ausbildungskapazität.

Weiterlesen

Quelle Titelbild: Pexels / Tima Miroshnichenko (px:5380649)

Artikel drucken

Hier schreibt Elias für Sie

Mehr Artikel vom Autor

Auch verfügbar in

EspañolEnglish

Lesen Sie weiter

Ein Magazin der Evernine Media GmbH