Bei Stellenausschreibungen für IT-Sicherheits-Experten sind die Arbeitgeber laut dem aktuellen Dekra-Arbeitsmarktreport nicht mehr so sehr auf Hochschulabsolventen fixiert. Zwar werde ein Informatik-Studium in rund 61 Prozent der Stellenanzeigen immer noch am häufigsten als Qualifikation genannt. Die IT-Berufsausbildung folge darauf aber mit fast 43 Prozent und in rund 37 Prozent der Fälle komme eine Berufsausbildung auch als Alternative zu einem Studium infrage. Bei der dualen IT-Ausbildung präzisierten Arbeitgeber oft auch nicht, welche Spezialisierung sie wünschen.

2018 sah das laut Dekra noch ganz anders aus – nur ein Viertel der IT-Security-Stellen habe damals Bewerbern ohne Studium offen gestanden. Berufserfahrung falle inzwischen einfach mehr ins Gewicht als formale Abschlüsse, folgert die Prüfgesellschaft. Für die Analyse des Security-Jobmarkts, die Teil eines umfassenderen Arbeitsmarktreports ist, hat die Dekra eigenen Angaben nach 250 Stellenangebote untersucht.

Zertifizierungen gefragt, KI nicht

Unabhängig vom Abschluss sind Zertifizierungen und Weiterbildungen für Bewerber im Security-Bereich von Vorteil: In jedem fünften Fall müssten Jobinteressierte IT-Security-Weiterbildungen und Zertifizierungen vorweisen. Die internationalen Zertifizierungen CISSP Certified Information Systems Security Professional (14 Prozent) sowie CISM Certified Information Security Manager (11 Prozent) führten als konkrete Nennungen die Liste an.

Trotz des allgegenwärtigen Hypes spielt KI in den Ausschreibungen für Security-Pros weder bei den Kenntnissen noch bei den Aufgaben eine Rolle. Am häufigsten würden bei den Kenntnissen „Allgemeinwissen“ in der IT und Cybersicherheit verlangt (84 Prozent), ferner in Normen, Gesetze und Standards (63 Prozent) sowie in Netzwerktechnik (59 Prozent). In 44 Prozent der Fälle werde von Jobsuchenden auch erwartet, mit dem Konzept eines Managementsystems für Informationssicherheit vertraut zu sein sowie mit der ISO/IEC-27000-Reihe. In den Stellenangeboten finden sich einige weitere Normen und Standards, wie IT-Grundschutz (BSI), NIST, ITIL, NIS2 und vereinzelt branchenspezifische Standards.

Bei den gefragten Softskills hat die Dekra leichte Verschiebungen festgestellt: 2018 waren Eigenschaften wie Durchsetzungsfähigkeit und sicheres Auftreten noch bei einem Drittel der Anzeigen gewünscht – inzwischen aber noch bei 17 Prozent. Auch die früher bei fast einem Viertel geforderte Reisebereitschaft wird derzeit nur noch bei rund 10 Prozent gefragt – was der veränderten Bürokultur mit Videotelefonaten und Homeoffice geschuldet sein dürfte. Weiterhin gefragt sind Kommunikationsstärke, Teamfähigkeit, analytisches Denken, strukturiertes Arbeiten und inzwischen mit 32 Prozent doppelt so häufig wie 2018: Verantwortungsbewusstsein.

Gehalt lieber nicht erwähnen?

Um die potenziellen Kandidaten von sich zu überzeugen, stellen die Arbeitgeber laut Dekra vor allem Work-Life-Balance und die persönliche Weiterentwicklung in den Vordergrund. Flexible Arbeitszeiten (fast 63 Prozent), Homeoffice (62 Prozent) sowie Gesundheits- und Fitnessangeboten (43 Prozent) sollen bei den begehrten Fachkräften punkten. Mehr als die Hälfte (58 Prozent) verspricht auch, bei Weiterbildung und Entwicklung zu unterstützen. Mit 27 Prozent stellen allerdings bemerkenswert wenige Unternehmen ein „attraktives Gehalt“ in Aussicht, obwohl dies laut verschiedenen Umfragen meist der wichtigste Faktor für Jobinteressenten und Wechselwillige ist. Die IT ist aber ohnehin eins der Berufsfelder, in denen Arbeitgeber selten Gehaltsangaben machen.

Insgesamt sieht die Dekra rosige Zeiten für IT-Sicherheits-Fachleute. „Wer hier sein Handwerk beherrscht, muss sich keine Sorgen um die berufliche Zukunft machen“, schätzt Katrin Haupt, Geschäftsführerin der Dekra-Akademie, die Arbeitsmarktlage ein.

(axk)

Aufgrund von mehreren Softwareschwachstellen können Angreifer Systeme mit den Adobe-Anwendungen After Effects, Audition, ColdFusion, Connect, Dimension, Experience Manager Forms, Experience Manager Screens, FrameMaker, Illustrator, InCopy, InDesign, Substance 3D Stager und Substance 3D Viewer attackieren. Bislang gibt es Adobe zufolge keine Hinweise auf Attacken.

Sicherheitspatches installieren

Von den Schwachstellen sind macOS und Windows betroffen. Am gefährlichsten gilt eine „kritische“ Lücke (CVE-2025-49535) in ColdFusion, über die Angreifer lesend auf Systemdateien zugreifen können. Wie so eine Attacke ablaufen könnte, ist bislang nicht bekannt. Dagegen sind die Ausgaben ColdFusion 2021 Update 21, ColdFusion 2023 Update 15 und ColdFusion 2025 Update 3 geschützt.

Ebenfalls als „kritisch“ eingestuft sind Schwachstellen in Connect (CVE-2025-27203) und Experience Manager Forms (CVE-2025-2025-49533). An diesen Stellen kann Schadcode auf PCs gelangen. Ein Sicherheitspatch ist in Connect Windows App 25.1 und Experience Manager (AEM) Forms on JEE 6.5.0.0.202505270 implementiert. Auch InCopy und InDesign sind anfällig für Schadcode-Attacken. Wenn Angreifer eigenen Code auf Systemen ausführen, übernehmen sie in der Regel im Anschluss die volle Kontrolle über Systeme.

Die verbleibenden Sicherheitspatches listet Adobe in den verlinkten Warnmeldungen auf. Aus den Beiträgen geht leider nicht hervor, woran Admins bereits attackierte Systeme erkennen können.

(des)

Microsoft schließt mehrere Sicherheitslücken in seinem Softwareportfolio. Davon stuft der Hard- und Softwareentwickler mehrere Schwachstellen als „kritisch“ ein. In vielen Fällen kann Schadcode Computer vollständig kompromittieren.

Verschiedene Gefahren

Eine Lücke (CVE-2025-49719 „hoch„) in Microsoft SQL Server ist öffentlich bekannt und es können Angriffe bevorstehen. Daran können der Beschreibung der Schwachstelle zufolge Angreifer ohne Authentifizierung ansetzen, um über ein Netzwerk auf eigentlich abgeschottete Informationen zuzugreifen. Die dagegen geschützten Versionen sind in einem Beitrag aufgelistet.

Mehrere Schadcodelücken, die Angreifer aus der Ferne ausnutzen können sollen, stuft Microsoft als „kritisch“ ein, auch wenn die CVE-Einstufung niedriger ist. Davon sind unter anderem Office (etwa CVE-2025-49695 „hoch„), SharePoint (CVE-2025-49704 „hoch„) und Hyper-V (CVE-2025-48822 „hoch„) betroffen. Die Office-Sicherheitsupdates sind aber Microsoft zufolge bisher nicht komplett verfügbar. Sie sollen aber so schnell wie möglich folgen.

Die genannte SharePoint-Lücke haben Sicherheitsforscher während des Hacker-Wettbewerbs Pwn2Own in Berlin entdeckt. Dafür haben sie eine Prämie von 100.000 US-Dollar kassiert. 

Überdies können Angreifer noch an Softwareschwachstellen in unter anderem BitLocker, Edge und verschiedenen Windows-Komponenten wie dem Kernel ansetzen. An diesen Stellen können sie sich etwa höhere Nutzerrechte aneignen oder Dienste via DoS-Attacke abstürzen lassen.

Reparaturen und erweiterter Schutz

Mit den aktuellen Updates reparieren die Entwickler einen Firewall-Fehler und die Update-Vorschau, die durch den Patchday im Juni kaputtgegangen sind. Zusätzlich hat Microsoft das im Zuge der April-Updates demolierte Windows-Recovery-Enviroment-Update unter Windows 10 und Server 2022 wieder zum Laufen gebracht.

Außerdem wurde die Kerberos-Authentifizierung gehärtet. Seit 8. Juli 2025 gelten standardmäßig nur noch Zertifikate als vertrauenswürdig, die von Zertifikatsausstellern signiert wurden, die Teil des NTAuth-Speichers sind. Bis 14. Oktober 2025 können Admins das über den Registryeintrag AllowNtAuthBypass noch umgehen. Ab dem zuletzt genannten Datum geht das dann nicht mehr.

Weitergehende Informationen zu allen an diesem Patchday geschlossenen Lücken listet Microsoft im Security Update Guide auf.

(des)