🇩🇪 +49 89 62826175 🇦🇹 +43 1 4420022
|
kontakt@indivhr.com

Cybersecurity-Fachkräfte in DACH: Warum der Mangel kein Zufall ist – und was jetzt hilft

dotnet azure rollen

Die Cybersecurity-Lücke in Deutschland, Österreich und der Schweiz ist kein temporärer Engpass – sie ist strukturell. Laut (ISC)² fehlen in Europa über 350.000 Fachkräfte, in DACH stammen viele Vakanzen aus sicherheitskritischen Bereichen wie Energieversorgung, Finanzsektor oder Behörden. Die Rollen sind nicht nur hoch spezialisiert, sondern oft sicherheitsrelevant im rechtlichen Sinn – und unterliegen damit zusätzlichen Hürden wie Sicherheitsüberprüfungen nach SÜG oder branchenspezifischen Audits (KRITIS, ISO 27001, PCI DSS).
Wer hier besetzen will, muss mehr können als Jobtitel googeln.

Warum die Talent-Lücke im Security-Bereich immer größer wird

In den letzten fünf Jahren ist die Zahl der Security-Stellen in DACH jährlich um 9–12 % gewachsen, während der Output spezialisierter Ausbildungsgänge nahezu konstant geblieben ist. Klassische Informatikstudiengänge vermitteln Grundlagen, aber keine tiefe Spezialisierung in Themen wie OT-Security, Cloud-Security-Architekturen oder Incident Response-Playbooks.
Unternehmen brauchen aber genau dieses Spezialwissen – oft kombiniert mit regulatorischem Know-how: Ein Cloud-Security-Engineer für den Finanzsektor muss nicht nur AWS Security Hub und IAM-Richtlinien beherrschen, sondern auch BaFin-Vorgaben interpretieren und umsetzen können.

Erschwerend kommt hinzu: Erfahrene Profis sind extrem mobil. Viele wechseln in internationale Remote-Jobs, die nicht an DACH-Gehälter gebunden sind, oder in Beratungshäuser, die projektbasiert spannende Angriffe und Penetrationstests durchführen. Für lokale Arbeitgeber bleibt so nur ein Bruchteil des ohnehin knappen Marktes.

Wo man Security-Talente wirklich findet – und wo nicht

Wer glaubt, dass Security-Expert:innen auf StepStone oder LinkedIn aktiv suchen, hat den Markt nie von innen gesehen. Die Szene ist dezentral, oft abgeschottet und bewegt sich in Räumen, die für klassische Recruiter:innen unsichtbar sind.
Beispiele:

  • Technische Plattformen: HackTheBox und TryHackMe für praktische Labs, GitHub-Repositories mit Security-Tools wie nmap, Burp Suite oder Metasploit.

  • Communities: OWASP-Channels, Closed Slack-Gruppen für Incident Response, Foren wie „Exploit.in“ (teilweise nur mit Einladung).

  • Events: DEF CON, Troopers, BSides, it-sa – dort entstehen Kontakte und Empfehlungen.

Ein Security-Profil erkennt man selten am CV, sondern an der Summe seiner Spuren: Git-Commits zu CVE-Fixes, Präsentationen zu Reverse Engineering, Ranglistenplatzierungen bei Capture-the-Flag-Events. Der Schlüssel ist OSINT-basiertes Cross-Matching – Pseudonyme und Handles mit öffentlichen Beiträgen verknüpfen, um die reale Person dahinter zu identifizieren.

Skill-basiertes Sourcing: Wie man unsichtbare Expert:innen sichtbar macht

Jobtitel sind im Security-Bereich trügerisch. Viele Senior-Spezialist:innen führen generische Titel wie „IT-Consultant“ oder „System Engineer“, obwohl sie hochkarätige Red-Team-Projekte geleitet haben. Entscheidend ist die Fähigkeit, Skills und Projektspuren semantisch zu erkennen.

Ein praktischer Ansatz ist die Arbeit mit Vector Search und semantischem Matching:

  • Statt title:"Security Engineer" sucht das System nach technischen Signaturen: skills: [Burp Suite, SIEM, CloudTrail, Threat Modelling].

  • Über semantische Vektoren lassen sich Profile finden, die in Projekten ähnliche Patterns aufweisen, auch wenn sie kein einziges Keyword matchen.

  • So lassen sich z. B. Incident-Response-Spezialist:innen identifizieren, die in mehreren GitHub-Repos an Log-Parsing-Tools mitgewirkt haben, ohne jemals „Incident Response“ zu schreiben.

Ein DACH-Beispiel: Für eine OT-Security-Rolle in der Energieversorgung fanden klassische Tools nichts. Erst die Analyse von GitHub-Commits zu SCADA-Projekten brachte einen Kandidaten ins Spiel, der dann von unserem Kunden eingestellt wurde.

Retention: Warum das Halten von Security-Talenten die eigentliche Königsdisziplin ist

Im Security-Bereich ist die Wiederbesetzung teurer als fast überall sonst. Ein:e Senior Security Architect mit Branchen-Know-how kostet Monate an Einarbeitung – und jede Lücke schwächt die Abwehr.
Retention beginnt bei den Rahmenbedingungen:

  • Technische Entwicklungsspielräume statt reiner Betriebsarbeit.

  • Kontinuierliche Zertifizierungen wie OSCP, OSWE oder Cloud Security Alliance-Trainings.

  • Rotationsmodelle zwischen Red Team, Threat Hunting und Governance, um Abwechslung zu schaffen.

  • Sichtbarkeit und Community-Engagement, etwa durch Sponsoring eines CTF-Teams oder Fachvorträge auf Konferenzen.

Unternehmen, die eine klare Weiterbildungs- und Karrierearchitektur bieten, senken ihre Fluktuationsrate im Security-Bereich um bis zu 40 % – eine Zahl, die sich direkt in reduzierter Recruiting-Last niederschlägt.

Handlungshebel für den DACH-Markt – sofort umsetzbar

Wer in DACH heute eine Security-Rolle sucht, muss drei Dinge sofort anpassen:

  1. Community-Präsenz: Mindestens eine Person im Recruiting muss technisches Security-Verständnis haben und in Fachforen aktiv sein.

  2. Skill-Mapping: Lebensläufe sind zweitrangig – entscheidend sind aktuelle Tools, Frameworks und CVEs.

  3. Technische Authentizität: Interviews ohne Fachfragen disqualifizieren. Kandidat:innen merken innerhalb von Sekunden, ob ihr Gegenüber nur Buzzwords wiederholt oder weiß, wovon er/sie spricht.

Zusätzlich lohnt sich der Aufbau strategischer Kooperationen mit Hochschulen und Fachschulen mit Security-Schwerpunkten – beispielsweise FH St. Pölten, Hochschule Offenburg oder die ETH Zürich. Hier lassen sich Beziehungen aufbauen, bevor Talente auf den Markt kommen.

Wenn Security-Positionen monatelang unbesetzt bleiben, liegt es selten am Fehlen von Talenten – sondern daran, wie und wo gesucht wird. indivHR kombiniert technologische Suchmethoden, OSINT-Strategien und tiefe Branchenkenntnis, um genau diese Lücke zu schließen – und liefert vorqualifizierte Profile in Ø 14 Tagen.


Kontakt aufnehmen

Wie groß ist der Fachkräftemangel in Cybersecurity in DACH?

In Deutschland, Österreich und der Schweiz fehlen tausende Security-Expert:innen. Laut (ISC)² klafft europaweit eine Lücke von über 350.000 Fachkräften.

Warum sind Cybersecurity-Rollen so schwer zu besetzen?

Hohe Spezialisierung, regulatorische Anforderungen und fehlende Ausbildungsprogramme verknappen den Talentpool erheblich.

Welche Plattformen eignen sich für Security-Sourcing?

HackTheBox, TryHackMe, GitHub, OWASP-Slack und spezialisierte CTF-Foren sind besonders relevant.

Welche Skills sind für Security-Positionen entscheidend?

Kenntnisse in Burp Suite, SIEM, MITRE ATT&CK, Cloud Security und Incident Response sind häufig gefragt.

Wie findet man Talente ohne passenden Jobtitel?

Durch Skill-basiertes Sourcing, semantische Suche und OSINT lassen sich auch unauffällige Profile identifizieren.

Was ist Vector Search im Recruiting?

Vector Search erkennt inhaltliche Zusammenhänge zwischen Skills und Projekten, auch ohne exakte Keyword-Übereinstimmung.

Wie kann man Security-Talente halten?

Durch technische Entwicklungsspielräume, kontinuierliche Weiterbildung und Sichtbarkeit in der Security-Community.

Welche Zertifizierungen sind besonders wertvoll?

OSCP, OSWE, CISSP sowie Cloud-Security-Zertifikate wie CCSK oder AWS Security Specialty.

Wie schnell lassen sich Security-Positionen besetzen?

Mit gezieltem Community-Sourcing und technischem Matching sind Besetzungen in unter 3 Wochen möglich.

Welche Rolle spielt OSINT im Security-Recruiting?

OSINT ermöglicht es, Pseudonyme, Handles und digitale Spuren zu echten Profilen zu verbinden.

Welche Hochschulen in DACH sind Security-relevant?

FH St. Pölten, Hochschule Offenburg, ETH Zürich und TU München bieten Security-Schwerpunkte.

Kann man Security-Profis mit Standard-Interviews gewinnen?

Nein. Technische Fachfragen und authentische Gesprächspartner:innen sind Pflicht, um Glaubwürdigkeit zu schaffen.

Artikel teilen:

Weitere Artikel