Login

u/Effective_Diver9072

▲ 132 r/fachinformatiker

Wir jammern über 109.000 unbesetzte IT-Stellen und kriegen es nicht hin, einen vernünftigen Ausbildungsberuf für IT-Security zu schaffen

Bin seit 15+ Jahren in der IT-Security, mittlerweile selbstständig. Das Thema treibt mich seit Jahren um, mich interessiert eure ehrliche Sicht.

In Deutschland hat sich seit 20 Jahren eine bestimmte Erzählung durchgesetzt: Wer kein Abi macht und nicht studiert, hat's nicht "geschafft". Handwerk = Notlösung, Ausbildung = Plan B für die, die im Hörsaal nicht mithalten.

Die Quittung kommt jetzt:

  • Fast jeder Zweite eines Jahrgangs studiert, 28 % brechen ab (DZHW/Destatis)
  • 250.000 Fachkräfte fehlen im Handwerk (ZDH)
  • 109.000 in der IT (Bitkom 2025)
  • Eine IT-Stelle bleibt im Schnitt 7,7 Monate offen, eine Handwerksstelle 6,2 Monate

Und parallel haben wir bis heute keinen eigenständigen IHK-Ausbildungsberuf für IT-Sicherheit. Im aktuellen FI (egal welche FR) sind rund 6 Wochen IT-Security drin. Bei der Bedrohungslage 2026 ist das ein Witz.

Was mich am meisten nervt: Gerade in der IT ist die formale Qualifikation eigentlich am wenigsten relevant. Wer Zertifikate und Praxis hat, redet jeden frisch Studierten in Grund und Boden. Trotzdem haftet vielen FIs noch dieses "zweite Wahl"-Gefühl an, weil das Bildungssystem es ihnen jahrelang eingetrichtert hat.

Ein konkretes Beispiel aus der Praxis (ISO 27006): Ein studierter Literaturwissenschaftler erfüllt die formalen Hürden für IT-Prüfrollen oft allein durch sein Studium plus ein paar Schnellkurse. Ein Fachinformatiker mit 10 Jahren Praxis und denselben Zertifikaten kommt formal nicht rein, weil der akademische Stempel fehlt.

Ehrliche Fragen an euch:

  • Wie habt ihr das in eurer Laufbahn erlebt?
  • Wer hat sich schon mal als "zweite Wahl" gefühlt, weil das Studium fehlt?
  • Was haltet ihr von der Forderung nach einem eigenständigen "Fachinformatiker für IT-Sicherheit"?
  • Welche Zertifikate haben euch wirklich was gebracht – und welche waren rausgeschmissenes Geld?
reddit.com
u/Effective_Diver9072 — 1 day ago
▲ 60 r/de_EDV

Moin zusammen,

wer aktuell im Mittelstand die IT leitet oder als ISO unterwegs ist, kennt das vermutlich: Man wird gefühlt täglich von MSPs, Systemhäusern und Beratern belästigt. Die Story ist immer gleich: "Wegen NIS-2 / DORA braucht ihr zwingend ein 24/7 Security Operations Center (SOC), sonst seid ihr nicht compliant. Bitte hier unterschreiben."

Spoiler: Bullshit. Das steht in keinem Gesetzestext. Es steht nur in deren Vertriebshandbüchern.

Ich arbeite seit 10 Jahren im Bereich Security Operations und dieses schamlose Upselling unter dem Deckmantel der Compliance geht mir aktuell massiv auf den Zeiger. Deshalb hier mal ein kurzer Realitätscheck aus der Praxis, den euch euer Dienstleister eher nicht verrät (weil es seine Marge ruiniert):

Gesetze fordern Fähigkeiten, keine Betriebsmodelle Egal ob NIS-2, DORA oder ISO 27001: Die Texte sprechen von Fähigkeiten wie Detektion, Reaktion, Wirksamkeitsnachweisen und Meldefristen. Wie ein Unternehmen diese Fähigkeiten organisatorisch abbildet, ist nirgends festgelegt. Ein SOC kann diese Fähigkeiten abbilden. Ein gut orchestriertes Zusammenspiel aus Endpoint Detection and Response (EDR), Managed Detection and Response (MDR) und einem dokumentierten Incident-Response-Prozess (Retainer) aber auch.

Ein eigenes SOC aufzubauen (Intern oder Full-Managed) kostet je nach Stack und FTEs schnell zwischen einer halben und 5 Millionen Euro im Jahr. Für den Standard-Mittelständler ist das völliger Wahnsinn.

Das Setup aus EDR + MDR + IR-Retainer nennt sich bei MITRE „Security as Additional Duty“. Das ist ein anerkanntes Organisationsmodell und kein dreckiger Kompromiss. Kostenpunkt? Oft eher 50.000 bis 200.000 Euro im Jahr. Es reicht für viele mittelständische Einrichtungen völlig aus, um die Compliance-Haken dranzumachen und echte Sicherheit zu schaffen. Es wird euch im Vertrieb nur selten aktiv angeboten, weil man daran weniger verdient.

Die wichtigste Regel: Tooling kommt zum Schluss Ein SOC ist der letzte Baustein einer Architektur, nicht der erste. Solange ihr keinen belastbaren Logging-Plan, kein Bedrohungsmodell und keine Asset-Inventur habt, bringt euch ein SOC oder SIEM exakt gar nichts. Es produziert dann nur Alerts, die niemand bearbeitet.

Deshalb: Trennt Architekten und Umsetzer. Lasst euch euren Grundriss nicht von dem Bauträger zeichnen, der am liebsten teure Villen verkauft. Wer berät, darf kein Produkt verkaufen.

Wer das Thema im Detail nachlesen will inkl. der konkreten Kostenspannen und Vor-/Nachteile der 4 realistischen Modelle für den DACH-Raum: Ich habe dazu einen Fachartikel geschrieben, der morgen erscheint. Ihr könnt ihn hier komplett ohne Paywall lesen: https://www.itsicherheit-online.com/security-management/der-mythos-vom-security-operations-center/

Mich würde mal interessieren: Wie ist die Lage bei euch? Versuchen eure Systemhäuser euch auch gerade mit der NIS-2-Keule sündhaft teure SOC-Verträge anzudrehen, oder fahren die einen ehrlichen Ansatz?

u/Effective_Diver9072 — 5 days ago
▲ 21 r/isaca+1 crossposts

Heads up for anyone planning to buy a CISA, CISM, CRISC, CGEIT, or CDPSE exam, QAE database, or online course from ISACA:

As of April 16, 2026, the access window for newly purchased products has been cut in half:

  • Exams, QAE, and online courses: 6 months (previously 12)
  • Non-sponsored webinars and virtual workshops: also 6 months

ISACA's stated reasoning is that most candidates complete their prep in under 6 months and that pass rates in that window are demonstrably higher — so they're "aligning offerings with actual usage."

Fair enough on the stats, but a few things I haven't been able to confirm and would love input on:

  1. Did the price change? Same MSRP for half the access feels like a soft price hike. Anyone bought before vs. after April 16 and compared?
  2. Any extension option? Previously you could sometimes buy a top-up. Still available, or is it strictly 6 months now?
  3. Does this apply to bundles (Exam + QAE + Review Manual)? The wording suggests yes for the digital portion, but unclear for bundled physical materials.
  4. Existing purchases — confirmed grandfathered at 12 months, right?

If anyone has talked to ISACA support recently or has the new T&Cs handy, would appreciate a sanity check.

reddit.com
u/Effective_Diver9072 — 17 days ago