Hadmut

Na, sowas. [Nachtrag 2]

Guck an.

Plötzlich suchen sie Sicherheits-Experten.

Vor ein paar Tagen gingen ja schon Meldungen herum, dass die Gehälter von Sicherheitsexperten höher steigen würden als die anderer Informatiker (komisch, merke davon nicht viel), und jetzt kommt die Süddeutsche um die Ecke und ernennt IT-Sicherheitsexperten gleich zu „Edel-Informatikern”. (Man stelle sich das vor, wo doch die IT-Sicherheit selbst unter den Informatikern zu einem Bereich mit dem allerniedrigsten Frauenanteil gehört, oft sind da gar keine dabei, und ausgerechnet die werden ausgerechnet von der political correctness-Postille Süddeutsche zu „Edel-Informatikern” erhoben. Wie sich die Zeiten doch ändern.)

Dass Edel-IT-Fachkräfte so händeringend gesucht werden, liegt vor allem daran, dass sie schwer zu finden sind. So mancher erfahrene IT-Spezialist fühlt sich womöglich gar nicht angesprochen, wenn ein Unternehmen einen data scientist sucht – oft aber zu Unrecht, wie der Personalberater weiß: Wer sich etwa schon seit 20 Jahren mit dem Thema data warehouse beschäftigt, ein Begriff aus den Achtzigerjahren, ist womöglich genau derjenige, der diese Arbeit machen könnte. Schließlich geht es darum, Datenbanken aus verschiedenen Quellen zu erzeugen und sie intelligent auszuwerten. Den erfahrenen Fachkräften ist nur der neue Begriff dafür nicht präsent.

Eieieiei.

Sie beschweren sich, dass sie keine Leute bekommen, wenn sie falsch danach suchen.

Data Warehouse?

Ja. Ist mir ein Begriff. Damit hatte ich in einem früheren Job sogar sehr viel zu tun, denn ich war derjenige, der denen, die das gemacht haben, regelmäßig sicherheits- und datenschutztechnisch in den Allerwertesten getreten und sie belehrt und beraten hat, was sie anders machen müssen. Allerdings würde ich mich von einer Stellenausschreibung nach „data scientist” da auch nicht angesprochen fühlen. Metaphernhaft gesprochten ginge mir da durch den Kopf, dass ich der Fuß bin und sie stattdessen den Hintern dazu suchen.

Aber das Problem ist ein Grundsätzliches, nämlich dass viele Firmen gar nicht mehr in der Lage sind, taugliche Stellenausschreibungen zu verfassen. Vor allem dieses Standardgequatsche und Schlagwortgefasel ist eine Katastrophe. Es ist immer die Rede davon, dass sich Bewerber schon durch kleinste Fehler in der Bewerbung rauskicken würden. Aber dass sich auf einem Arbeitnehmermarkt (und einen solchen haben wir bei Informatikern gerade wieder, die Guten suchen sich nämlich inzwischen eher die Firmen als andersherum) auch eine Firma mit dämlichen Ausschreibungen lächerlich machen kann, ist außerhalb der Diskussion.

Wie kommt sowas überhaupt?

Das hat verschiedene Gründe.

Ein zentrales Problem ist das Neo-Zeitgeist-Geschwafel. Das muss heute alles irgendwie in Pseudo-Englisch bezeichnet werden. Ich hätt ja noch Verständnis dafür, wenn man da international suchen und die gängigen englischen Bezeichnungen nehmen würde. Aber erstens verlangen sie dann doch meist wieder von den Leuten, dass sie fließend deutsch sprechen (wozu dann verenglischte Ausschreibungen?), und zweitens wird da heute oft einfach nachgequatscht, was in den Ausschreibungen anderer so zusammengefaselt wird. Und „data scientist” ist halt auch kein Begriff, unter dem man erkennt, was gesucht wird. Gibt’s zwar, aber googelt mal, darunter versteht jeder irgendwie was anderes.

Ein zweites Problem sind die Personalabteilungen. Ausschreibungen werden heute häufig von Human Resources-Abteilungen erstellt, und die sich häufig – ganz zeitgeistig – ziemlich verschwafelt und trendig, aber wenig von Sachkunde getrübt, und meinen, sie bekämen hippe IT-Leute, wenn sie da möglichst abgefahrene schräge Ausschreibungen rausstellen. Damit bekommen sie aber eher Script-Kiddies.

Ein drittes, in meinen Augen mit das größte, Problem ist, dass viele Ausschreibungen heute über Agenturen laufen, also Externe, die selbst keine Ahnung haben, was gesucht wird, und das fachlich nicht verstanden haben und nicht beurteilen können. Da soll dann die Fachabteilung ein paar Stichworte und Anforderungen liefern, daraus macht dann irgendeine externe Agentur einen Standard-Blafasel-Text.

Und wenn man sich dann bewirbt, zählen die einfach nur, wieviele Wort-Übereinstimmungen es zwischen Anforderungsliste (die nicht öffentlich wurde) und Bewerbung vorlagen. Mir hat mal eine gesagt, ich käme für den Job nicht in Frage, weil mein Profil dazu nicht passe, obwohl es genau auf die Ausschreibung gepasst hat. Es stellte sich heraus, dass sie dann intern noch eine Liste von Stichworten bekommen haben, die sie nicht veröffentlicht haben, und bei denen sie abhaken, ob die in der Bewerbung vorkommen. Und ich hatte Synonyme oder deutsche Begriffe verwendet, und weil sie keine Ahnung vom Fach hatten, haben sie nicht gemerkt, dass es das Gleiche ist.

Das andere der beiden größten Probleme ist die neue Einkaufsmentalität, die sich aus den Quartalszielen und dem kurzen Bewertungsrhythmus ergibt. Man erlaubt Leuten nicht mehr, sich anzupassen, einzuarbeiten, zu lernen, sich zu verändern, bis es passt. Man will heute Leute, denen man heute den Vertrag gibt, die am Montag anfangen und am Mittwoch voll drin sind und abliefern. Und will deshalb Leute, die ganz exakt und hundertprozentig auf die Stelle passen (und die man dann auch sofort wieder feuert, wenn sich die Anforderung etwas verändert, weil sie dann nicht mehr passen). Es gab mal irgendwo eine Ausschreibung, wo sie Leute gesucht haben, die zwingend mindestens 5 Jahre Erfahrung mit einer ganz bestimmten Software hatten, und knallhart alle ausgesiebt haben, die das nicht erfüllten, beinharte Anforderung. Und sich dann grämten, weil sie keinen Bewerber fanden, wo sie doch so dringend einen brauchten. Die Software gab’s aber erst seit drei Jahren.

Die Probleme bestehen aber nicht nur auf Arbeitgeberseite.

Man muss es in aller Deutlichkeit (und Ehrlichkeit) auch sagen, dass die Probleme auch auf Informatiker-Seite bestehen.

Das fängt an den Universitäten an.

Ich habe das ja beschrieben, dass man da vor 20 Jahren auf Einfluss von NSA/BND Kryptologen und IT-Sicherheitsexperten rausgeschossen und die Lehrstühle mit Pfeifen besetzt hat. Leute, die nicht mal Primzahlen richtig definieren können. Die Ganzzahlarithmetik mit Fließpunktrechnung und Rundung betreiben. Oder solche Dinger wie X-Pire! oder Bingo-Voting hervorbringen.

Dazu die Frauenquoterei. Ich hab’s ja selbst erlebt, zweimal bin ich auf IT-Sicherheitsprofessorinnen gestoßen, hochgelobt, ach, wie kompetent und selbstbehauptend in der Männerwelt, und dann mussten beide vor Gericht zugeben, dass sie sich zu Kryptographie eigentlich gar nicht äußern können, weil sie sich damit nicht auskennen. Und eine ihre Vorlesungen halten lässt, weil sie selbst sich eigentlich auf ihrem Thema mit gar niemandem anlegen kann. (Mir hatte man die Dissertation abgelehnt, weil sie angeblich komplett, vollständig und offensichtlich falsch und ich für alles zu blöd sei. Deren Professorin für IT-Sicherheit käme allerdings als Ersatzprüferin nicht in Frage, weil sie mir fachlich ja hoffnungslos unterlegen sei und mir nichts entgegenzusetzen hätte. Der anderen Professorin hat ihre eigene Uni den Mund verboten, weil sie nur dummes Zeug dahergeredet hat, und ich immer wieder gezeigt habe, dass sie nicht mal Anfängerwissen hat und – erstaunlich – nicht mal ihr „eigenes” Buch kannte.)

Macht Euch das klar: In den Händen solcher Leute liegt die Berufsausbildung in Informatik.

Und die führen die politische Verblödung aus den Schulen geradewegs weiter bis zur Professur.

Ich erlebe in der Praxis immer wieder Leute mit Diplom, Bachelor, Master in Informatik, die nicht wissen, was Verschlüsselung ist, HTTP nicht von HTTPS unterscheiden können.

Ich erlebe gerade in diesem Gender-Umfeld immer wieder Leute (und schreibe auch darüber), die in der Politik als „IT-Unternehmensberaterin”, „Internet-Expertin”, „Frau Dr. sowieso” und sowas verkauft werden, oft mit einem Master oder Doktor in irgendeiner Bindestrich-Informatik (was meist bedeutet, dass sie den PC anschalten, den Bildschirm – nur im Multiple-Choice-Test – halbwegs von der Tastatur unterscheiden und die Maus zwei Stunden unfallfrei hin- und herschieben können).

Ich habe Leute erlebt, die einen Master in Informatik mit Schwerpunkt Datenbanken hatten, aber noch nie SQL gesehen haben.

Ich habe Leute erlebt, die den Bachelor in Informatik hatten, ohne dabei jemals an einem Rechner gesessen zu haben.

Ich habe Leute erlebt, die Diplom oder Master in Informatik hatten, als die großen Coder daher kamen, und in deren Bewusstsein Software-Sicherheit, sicheres Programmieren, überhaupt nicht, nicht ansatzweise vorkam, die sich darunter überhaupt nichts vorstellen konnten.

Es gibt Leute, die nicht mal über Grundlagenwissen in Informatik verfügen, die überhaupt nichts verstanden haben, die das alles nur für einen frauenfeindlichen Männerclub halten, der sich das ganze Technik-Gedöns nur ausdenkt und vorschützt, um Frauen rauszuhalten, die mit völlig technik- und wissensfreien Dissertationen den Durchmarsch bis zur Professur machen.

Leute, das ist der Einfluss unserer Politik, der Ideologie, der Korruption, geheimdienstlicher und vor allem amerikanischer Interessen, aber auch der Dummheit unserer Universitäten.

Und jetzt jammern sie plötzlich, dass wir keine Fachleute in dem Bereich haben, den man 20 Jahre lang massiv verhindert hat. Hat bisher keinen gestört, dass man Security-Forschung in Deutschland systematisch verhindert. Wollte keiner wissen, keiner erwähnen, keiner ändern.

Überlegt Euch mal, wo überall im Firmen- und Behördenbereich jahrzehntelang Microsoft durchgesetzt wurde. Dieser undurchsichtige, proprietäre Senf. Ich war mal eine Zeit lang als Security Consultant im Außeneinsatz (Kunden- und Firmenberater) unterwegs, Schwerpunkt Unix und Firewalls, und immer der Ansicht, dass ich mich mit Unix/Linux/usw. sehr gut, mit Windows aber kaum auskenne. Und hab auch mal einen Anschiss kassiert, ich möge mich mit Windows hinreichend vertraut machen, falls die Windows-Experten der Firma mal ausfallen.

Bis ich dabei dann mal gemerkt habe, dass ich mich auch in Windows (damals) besser auskannte als die „Windows-Experten”, nur meine Windows-Kenntnisse selbst völlig anders bewertete, weil ich meine Unix-Kenntnisse als Vergleichsmaßstab heranzog und deshalb meine Windows-Kenntnisse für marginal und anfänger-/nutzermäßig hielt. Die Kollegen Windows-Experten hielten sich nur deshalb für Experten, weil sie das gar nicht anders kannten.

Auf diesem Konsumenten-Niveau bewegen wir uns seit Jahrzehnten.

Und das Niveau wird permanent gesenkt. Auf politischen Druck. Man will mehr Frauen in die Informatik bringen, ach, was reden wir immer davon, dass Frauen doch eigentlich die Informatik erfunden haben. Und was jubeln wir, wenn es dann wirklich mal weibliche Beiträge zur Informatik gibt: Die ökologisch faire Computermaus zum Beispiel. Wie man den Fachkräftemangel bekämpfen will, indem man die Ausbildung immer weiter absenkt und damit die Fachkraft schlechthin abschafft, konnte mir noch niemand erklären. Es heißt, technische Bildung hielte Frauen ab, also ist sie böse und muss abgeschafft werden.

Dabei ist derzeit der gegenteilige Effekt zu beobachten, ähnlich wie etwa auch bei Tierärzten: Frauen verdrängen (auch wegen besserer Schulnoten) Männer aus den Studienplätzen, suchen sich dann aber nur die bequemsten Jobs heraus. Halbtags-Streicheltier-Innenstadt-Praxis statt Landwirtschaft, führt gerade zu enormer Tierarztknappheit. Ähnliche Effekte in der Informatik. Die Frauenpolitik bringt mehr Verdrängungseffekt männlicher Fachkräfte als weibliche Fachkräfte. Zudem spricht sich langsam in den Firmen herum, dass moderne weibliche Fachkräfte problembehaftet sind. Denn sie sind nach universitärer Ausbildung oft zwar fachlich zu wenig imstande, aber ein nie versiegender Quell von Forderungen, Beschwerden, Klagen, Schadensersatzansprüchen und Bürostreit. Die feministisch geschulte Absolventin von heute macht gar zu oft vor allem eines: Sie vergiftet die Atmosphäre (siehe etwa GitHub). Auch wenn das wieder nur einen kleinen Teil betrifft: Das Risiko betrifft dann alle. Und somit führt diese Politik, die vorgibt, den Fachkräftemangel zu bekämpfen, im Ergebnis nur zu einer starken Verknappung.

Und zur Verschwendung von Ressourcen.

Ich habe in meinem Bekanntenkreis aus der Informatik inzwischen mehrere Frauen, die Informatik studiert haben, weil man das ja „als Frau” jetzt so macht, teils aufgrund Befähigung, teils aufgrund frauenfördernder Blondinenprüfungen mit guten Noten, teils sogar Promotion mit Auszeichnung abgeschlossen, und dann hingeworfen haben, weil sie das Fach eigentlich ankotzt und nicht interessiert. Lebenszeit vergeudet, Fachkräfte vom Markt verdrängt, Ausbildungsplätze und -geld verheizt.

Wirklicher Mangel herrscht bei Fachkräften für IT-Sicherheit. Überraschend ist das kaum. In einer Welt, die zunehmend von umfassender Vernetzung geprägt ist, hat die Frage nach Sicherheit der Datenströme eine besondere Bedeutung. Etwa 60 Prozent der Anfragen bei Hays drehen sich um Security-Experten. Die meisten davon werden übrigens in der IT-Industrie selber gesucht, außerdem bei Banken und Versicherungen. Sie wissen, wie wichtig das Thema für sie ist: Wer würde noch einer Bank vertrauen, bei der das Geld wegen Sicherheitslöchern verschwindet? Wegen hoher Nachfrage und guter Bezahlung wollen sich viele bewerben, die sich nicht richtig auskennen. Davon aber rät Wippich ab. Wer sich verändern will, müsse dazu lernen, bevor er die Arbeit macht. “On the job, das funktioniert heute nicht mehr.”

Ach, gar.

Guckt mal, was Banken Informatikern zahlen – und was sie ihren Bankern zahlen. Vergleicht mal das Einkommen, das Informatiker dort erzielen können, mit den Boni, die sie Investmentbankern zahlen. Die würden sich dafür nicht mal die Schuhe zubinden.

Guckt mal, wieviel IT-KnowHow in den Vorständen und Chefetagen vorhanden ist. Erschreckend oft nahe bei Null. Juristen, Betriebswirtschaftler, Personaler von undefinierbarer Kompetenz, rübergemachte Politiker, Lobbyisten, abgehalfterte Ex-Verfassungsrichterinnen, ja, alle. Aber IT?

Nur mal so ein Gedanke: Der mit Abstand größte deutsche Konzern, Volkswagen, könnte sich gerade voll auf die Schnauze legen. Wegen IT.

Der Bundestag wurde massiv ausgeforscht und war kaum fähig zur Gegenwehr. Wegen IT-Sicherheit.

Die aktuelle Militärdoktrin (kann man jetzt so und so bewerten) ist, dass Kriege in Zukunft wesentlich als „Cyber-War” ablaufen.

Der Trend bei kleinen Firmen und Startups geht zur Vollvirtualisierung. Server, Speicher, Telefonanlage, Kommunikation, Arbeitsplätze – alles virtualisiert. Die Firma besteht nur noch aus IT.

Die größte Stadt Deutschlands, die Hauptstadt Berlin, ist eigentlich schon verwaltungstechnisch handlungsunfähig, und gerade kam, dass sie Probleme mit der nächsten Wahl haben. Wegen IT.

Unsere zentralen Austauschplattformen für politische Diskussion und Information sind – Facebook, Twitter, Google, Wikipedia. Irgendwas Deutsches dabei? Nöh. Sogar die politische Zensur müssen wir auf dem Bettel-Weg an einen Jung-Milliardär outsourcen.

Wer Edel-Informatiker will, möge sich an Edel-Gehälter gewöhnen und sich bei der Politik und den Universitäten über die lausige Ausbildung beschweren.

Und vor allem sollte die Industrie mal aufhören, Universitäten für miserable Ausbildung auch noch mit Riesen-Zuwendungen zu belohnen. Die SAP-Milliardäre stopfen beispielsweise Hunderte von Millionen in die Universitäten, aber nicht um Zustände zu ändern, sondern um sie zu erhalten. Und irgendwelche strohdämlichen Preise für Sicherheitsforschung werden jedes Jahr vergeben, egal wie blöde das Bewerberfeld ist. Ich kenne keinen Fall, in dem diese Geldspritzen mal irgendwie mit Qualitätsanforderungen verbunden gewesen wäre.

Selbst schuld.

Nachtrag: Ach, ich hab mich wieder verplaudert.

Was ich eigentlich sagen wollte: Ja, ich merke das, dass ich auch wieder mehr Anfragen von Head Huntern bekomme. Aber das sind meist uninteressante Brot-und-Butter-Jobs, irgendwo Pentesting machen, für irgendwen Security Policies schreiben oder irgendwen durch irgendeine Zertifizierung bringen. Und vor allem: Meist zeitlich begrenzt und mit Einkommen, die in keinem gesunden Verhältnis zum Reiseaufwand stehen.

Richtig intelligente und interessante Job-Angebote, in denen man wirklich mal stragegisch konzipieren, planen, entwickeln, aufbauen kann, bekommt man in der IT-Sicherheit selten, einfach weil es sie selten oder gar nicht gibt.

Insofern hört sich das Gejammer manchmal so an, als jammerten sie darüber, dass sie Stellen nicht besetzen können, die sie nicht haben.

Nachtrag 2: Ach, einen hab ich noch:

Wisst Ihr, was noch ein Unterschied zwischen Informatikern und Investmentbankern ist?

Gesucht werden sie beide. Aber die Informatiker per Stellenausschreibung. Die Investmentbanker per Haftbefehl.