Die Cyber-Bedrohungslage in Deutschland spitzt sich weiter zu. 2024 erreichte die Schadenssumme durch Cyber-Angriffe mit 178,6 Mrd. Euro den höchsten je gemessenen Wert – ein Negativrekord, der die Verwundbarkeit zentraler Infrastruktur verdeutlicht. Gleichzeitig haben neun von zehn Organisationen Schwierigkeiten, Cyber-Fachkräfte zu rekrutieren. Das zeigt die Studie „Cyber-Fachkräftemangel in Deutschland 2025“ von Strategy&, der globalen Strategieberatung von PwC, für die 1.200 Vertreter:innen aus öffentlichem und privatem Sektor befragt wurden.
Die Ergebnisse bestätigen einen Trend, der sich seit Beginn des Kriegs in der Ukraine abzeichnet: Schon 2023 berichteten rund zwei Drittel der Organisationen von einer spürbaren Zunahme von Cyber-Angriffen, und davon, dass der Aufbau von Kompetenz häufig am Fachkräftemangel scheitert. 2025 verschärft sich diese Lage nun bei einem noch höheren Angriffs- und Handlungsdruck. Ohne entschlossene Gegenmaßnahmen drohen kritische Sicherheitslücken, die Deutschlands digitale Handlungsfähigkeit erheblich schwächen könnten.
Der Cyber-Fachkräftemangel bedarf einer multidimensionalen Betrachtung
Die Studie zeigt: Der Fachkräftemangel entsteht entlang der gesamten Bewerber:innen-Journey, von der Stellenausschreibung bis zur langfristigen Mitarbeitendenbindung. Erstens bleibt die Zahl der Bewerbungen niedrig: Im öffentlichen Sektor schrieben 71% der Organisationen 2024 eine bis zehn Cybersecurity-Stellen aus. Knapp die Hälfte erhielten pro Stelle jedoch höchstens zehn Bewerbungen. 37% der Organisationen beobachteten stagnierende Zahlen und rund 27% sogar einen Rückgang. Zweitens bestehen erhebliche Qualifikationslücken: Über zwei Drittel der Bewerber:innen erfüllen die Anforderungen nur teilweise oder gar nicht. Besonders häufig fehlen Kenntnisse zu Cybersecurity-Standards und Datenschutz.
Der größte Personalmangel herrscht dabei in sicherheitskritischen Rollen wie Risikomanagement (57%), Incident Response (46%) und Cloud Security (39%). Drittens scheitern Einstellungen häufig an der Vergütung: Im öffentlichen Sektor nennen 78% der Organisationen finanzielle Gründe als Hauptursache für Absagen, im privaten Sektor 48%. Zusätzlich bremsen administrative Verzögerungen bei 65% der öffentlichen Organisationen den Prozess aus. Viertens bleibt die Vergütung auch nach der Einstellung der wichtigste Treiber für Abwanderung – im öffentlichen Sektor nennen 82% der Organisationen sie als Hauptgrund. Im privaten Sektor spielt das Gehalt ebenfalls eine große Rolle (57%), fast ebenso häufig werden jedoch bessere Karriereperspektiven als Wechselmotiv genannt (53%). Als bevorzugte Wechselziele nennen die Befragten sektorenübergreifend vor allem die Tech-Industrie und die Beratung.
„Bereits unsere Cyber-Sicherheitsstudie von 2023 legte den engen Zusammenhang zwischen Verteidigungsfähigkeit und verfügbaren Fachkräften offen. Seitdem hat sich die Situation dramatisch verschärft. Allein im vergangenen Jahr wurden die Deutsche Flugsicherung, das Statistische Bundesamt und die Gesellschaft für Osteuropakunde Ziel von Cyber-Attacken aus dem Ausland. Besonders kritisch ist die Lage im öffentlichen Sektor. Dringend benötigte Expert:innen wechseln häufig zu Tech-Unternehmen, die deutlich attraktivere Gehälter bieten. Dabei gibt es durchaus Gegenmittel: Fachkräftezulagen, bessere Einstufungen im Tarifvertrag oder gezielte Weiterbildungsprogramme. Doch diese Spielräume werden bislang kaum genutzt. Wenn wir Deutschlands digitale Wehrhaftigkeit sichern wollen, müssen wir jetzt handeln und alle verfügbaren Hebel in Bewegung setzen.“
Wirksame Hebel sind bekannt, bleiben aber ungenutzt
Sowohl dem öffentlichen Sektor als auch der Privatwirtschaft sind effektive Mittel gegen den Fachkräftemangel bekannt. Das Problem liegt jedoch in der zögerlichen Umsetzung. Nur rund 20% der Organisationen nutzen die Möglichkeiten von Künstlicher Intelligenz zur Abfederung des Personalmangels strategisch. Auch bei internationaler Rekrutierung bleibt vorhandenes Potenzial ungenutzt. Für eine wirksame Gegenstrategie braucht es laut Studie einen kombinierten Ansatz aus den Säulen Personal, Technologie und Betriebsmodell. Ohne diese Maßnahmen drohen bei stagnierender Bewerberzahl und steigendem Outsourcing-Bedarf anhaltende Engpässe in sicherheitskritischen Bereichen.
„Um dem Cyber-Fachkräftemangel entgegenzuwirken, müssen kurzfristige Entlastung und langfristiger Kompetenzaufbau Hand in Hand gehen. Konkret heißt das: Boni und Zulagen müssen gezielt eingesetzt werden, um die derzeitige Abwanderung in die Tech-Industrie zu stoppen. Routineaufgaben im Cybersecurity-Bereich lassen sich durch Outsourcing und Automatisierung effizienter gestalten und schaffen hochspezialisierten Fachkräften so dringend benötigte Freiräume. Zugleich gilt es, neue Talentpools zu erschließen, etwa durch internationale Rekrutierung oder gezielte Ansprache weiblicher Talente. Der öffentliche Sektor sollte hier mit gutem Beispiel vorangehen. Denn wenn der Staat seine Cyber-Kompetenz nicht stärkt, steht im schlimmsten Fall die Handlungsfähigkeit ganzer Institutionen auf dem Spiel – und damit auch die digitale Wehrhaftigkeit Deutschlands.“
