Von der Schrödinger-Wunschbäckerei

Schrödingers Katze sitzt inzwischen in der deutschen Personalabteilung. Sie schnurrt, trägt ein Corporate-Lanyard und ist gleichzeitig tot und lebendig: Es herrscht Fachkräftemangel, und zugleich wird man von Bewerbungen überrannt. Das System kollabiert erst dann in einen von zwei Zuständen, wenn man es beobachtet. Und weil Menschen gern an Magie glauben, nennt man diesen quantenmechanischen Witz Recruiting.

Der Anlass ist banal, fast schon lächerlich in seiner Gleichförmigkeit1: BOGE schreibt eine CISO-Position aus, in der Anzeige steht ein Pflichtenheft, das nach Governance, Technik, Recht, Audit, Krisenführung und Kulturarbeit ruft, also nach dem ganzen Paket.2 Ich bewerbe mich. Ich erhalte eine Standardabsage, freundlich geschniegelt, inhaltlich leer, mit der Behauptung, die schiere Menge an Bewerbungen mache Gespräche unmöglich.

Das Absurde daran liegt nicht in der Absage an sich. Absagen gehören zum Markt wie Paketverlust zur Post. Das Absurde liegt in der behaupteten Kohärenz: Fachkräftemangel als Dauerklage, zu viele Bewerbungen als situativer Schutzschild. Beides soll zugleich wahr sein, und zwar ohne weitere Erklärung. Das ist keine Kommunikation, das ist ein Ritual. Der Empfänger soll sich klein fühlen und dankbar bleiben, dass man ihm überhaupt ein paar Zeilen gönnt.

BOGE beschreibt sich als Familienunternehmen mit rund 800 Angestellten, über 100’000 Anwendern in mehr als 120 Ländern. Die ausgeschriebene Rolle heisst im perfekten GenderGaga „Chief Information Security Officer / CISO (m/w/x)“. Auch bei BOGE müssen zum Nachwuchszeugen mehr als zwei verschiedene Geschlechter zum Gruppenvögeln zusammenkommen (pun not intened). Man soll eine umfassende Informationssicherheitsstrategie entwickeln und implementieren, Governance etablieren, das ISMS3 inklusive ISO-27001-Audits4 steuern, Risiko- und Incident-Management vorantreiben, Awareness und Security-Kultur bauen, Schwachstellenmanagement und Penetrationstests5 koordinieren, eine Security-Architektur über IT und explizit auch OT6 7 hinweg entwickeln, regulatorische Anforderungen wie DSGVO8, NIS29 und Cyber Resilience Act10 im Blick behalten, und nebenbei strategischer Berater für Geschäftsführung und Führungskräfte sein.

Das ist in der Sache nicht zu viel. Das ist schlicht die Realität einer ernstgemeinten CISO-Funktion. Das Problem liegt woanders: Eine solche Rolle ist kein Job wie viele andere. Sie ist eine Machtfrage, eine Budgetfrage, eine Frage nach Mandat und Durchgriff, nach Eskalationswegen, nach dem Mut der Geschäftsleitung, sich selbst verbindlich an Security-Massstäbe zu ketten. Eine CISO ohne Zähne wird zur dekorativen Fehlallokation, die im Ernstfall als Blitzableiter dient.

Die Absage, die ich erhielt, ist ein Musterstück jener neuen, entpersonalisierten Höflichkeit, die jedes Risiko vermeidet und darum jeden Inhalt ausblutet. Sie enthält das typische Doppelpack: Dank und Bedauern, dazu der Hinweis auf so viele Bewerbungen, dass man nicht alle einladen könne. Und ja, da stehen Ausrufezeichen. Zwei sogar. Das ist nicht verpönt im Sinne einer Regel. Es ist ein Stilmarker. Ein Ausrufezeichen in formaler Korrespondenz signalisiert häufig nicht Nähe, sondern Template: Tonalität aus dem Baukasten, Emotionalität als Lack, damit die Leere weniger auffällt. Wer persönlich schreiben will, der braucht keine typografischen Krücken.

Parallel dazu läuft im Hintergrund die deutsche Dauersinfonie vom Fachkräftemangel. Interessant daran ist nicht, dass Engpässe existieren. Natürlich existieren sie. Interessant ist, wie oft Engpassrhetorik als politisch-mediale Universalfolie dient, während die Bundesagentur für Arbeit selbst nüchtern beschreibt, dass Arbeitslosigkeit und Engpässe zeitgleich auftreten können, weil Struktur, Qualifikationsprofile und Matching-Prozesse nicht zusammenpassen.11

Damit ist die Bühne aufgebaut. Jetzt kommt der Teil, den man in Deutschland gern überspringt: das Modell.

Vom Modell

Ich benutze für diese Sorte Widerspruch einen Begriff, den ich bereits anderswo skizziert habe: Wunschbäckerei12. Das ist die Organisationsform, in der man alles bestellt, nichts vorbereitet, wenig bezahlt und viel schweigt, und sich dann wundert, warum am Ende nur heiße Luft aus dem Ofen kommt. Gut, bald kommt dank des Scams vom Höllentod der Erde nur noch kalte Luft aus dem Ofen.

Die Schrödinger-Variante dieser Wunschbäckerei entsteht, wenn zwei Mechaniken zusammenwirken.

Die erste Mechanik ist ökonomisch und alt: asymmetrische Information. George Akerlof hat den „Market for Lemons“ als Modell dafür formuliert, wie Qualität unter Informationsasymmetrie aus dem Markt gedrängt wird, bis am Ende nur noch „Zitronen“ übrig bleiben.13 Michael Spence hat mit Signalling gezeigt, wie Marktteilnehmer versuchen, diese Asymmetrie über Signale zu kompensieren, und wie teuer und verzerrend solche Signale werden können.14

Auf Recruiting übersetzt: Arbeitgeber sehen die echte Qualität eines Kandidaten nicht. Kandidaten sehen die echte Ernsthaftigkeit eines Arbeitgebers nicht. Also senden beide Signale. Der Kandidat investiert in Lebenslaufästhetik, Zertifikate, Storytelling, Leadership-Phrasen, manchmal auch in reine Kulisse. Der Arbeitgeber investiert in Anzeigenpoesie, Benefits, attraktives Gehalt ohne Zahl, mobiles Arbeiten, Kultursprech wie Jobfahhrad für die Klimabewegten und Transbekloppten ohne Tiefe, ohne Kognition. Am Ende gewinnt nicht Substanz, sondern Signaloptimierung. Und genau hier kippt die Sache: Je höher die Rolle, desto riskanter die Fehlbesetzung, desto stärker die Tendenz zu Signalreligion und Prozessfetischismus.

Die zweite Mechanik ist institutionell und neu in der Ausprägung: Volumeninflation durch digitale Bewerbungsproduktion. Eine C-Level-Anzeige, öffentlich auf mehreren Plattformen gespiegelt, erzeugt Bewerbungswellen. Nicht zwingend, weil es so viele passende CISOs gibt. Sondern weil die Grenzkosten des Bewerbens gegen null gehen, weil Bewerbungen automatisiert werden, weil Ich probiere es mal zur Standardstrategie wurde, und weil Headhunting-Prozesse, die früher selektiv waren, heute mit öffentlichen Funnels verschmelzen.

Das Resultat ist ein paradoxes Bild: Auf dem Papier zu viele Bewerbungen, inhaltlich zu wenig passende. Und weil man sich ungern selbst kritisiert, erklärt man nicht die Filterlogik, sondern behauptet schlicht Überlastung.

Diese Volumeninflation wird zusätzlich dadurch verstärkt, dass manche Stellenanzeigen nicht primär dem Besetzen dienen, sondern dem Signalling: gegenüber Investoren, Kunden, Auditoren, dem Markt. In den USA ist der Begriff „Ghost Jobs“15 16 17 18 dafür etabliert, samt der Kritik, dass Unternehmen Stellen ausschreiben, ohne eine reale Einstellungsabsicht zu haben, oder ohne eine zeitnahe. Selbst offizielle Stellen haben das Phänomen aufgegriffen.19 Ich behaupte nicht, dass BOGE so handelt. Ich markiere nur: Das System, in dem solche Praktiken plausibel werden, existiert. Und es vergiftet Vertrauen.

Wer nun einwendet, Deutschland sei doch Fachkräftemangelland, erhält eine nüchterne Antwort: Engpässe existieren, aber nicht als metaphysischer Nebel, sondern als Matching-Problem. Die Bundesagentur zeigt genau diese Gleichzeitigkeit: steigende Arbeitslosigkeit seit 2022 und dennoch Engpassberufe, je nach Region, Qualifikation, Berufsfeld.20 Das entkräftet die Engpassrhetorik nicht. Es entromantisiert sie. Man kann Mangel nicht als moralische Erzählung führen und gleichzeitig Matching als technische Nebensache behandeln.

Noch eine dritte Schicht kommt hinzu, und die ist rechtlich-politisch: Compliance-Druck. NIS2 verschärft Pflichten und Governance-Anforderungen für viele Sektoren, inklusive Managementverantwortung. Der Cyber Resilience Act adressiert Produkte mit digitalen Elementen und zieht Security-Anforderungen entlang des Produktlebenszyklus ein. DSGVO bleibt als Dauerrahmen. Wer als Industrieunternehmen in Richtung vernetzter Systeme, Remote-Service, Telemetrie, Plattformen denkt, kommt um Security nicht herum, egal wie sehr man sich nach 1998 sehnt.

Und dann, als kleiner, fast poetischer Nebensatz, kommt die Pay-Transparency-Richtlinie21 der EU: Bewerber sollen Informationen zum Einstiegsgehalt oder zur Gehaltsspanne erhalten, bevor sie in den Prozess gezogen werden. Attraktives Gehalt ohne Zahl ist kein Benefit, sondern ein Rückstand.

Dieses Modell erklärt, wie Mangel und Bewerbungsflut gleichzeitig wahr werden können, ohne dass Magie im Spiel ist: asymmetrische Information, Signalwettlauf, Volumeninflation, Prozessfetisch, Compliance-Druck, dazu ein Arbeitsmarkt, der in Segmenten ausdünnt und zugleich im Volumen rauscht.

Von der Interpretation

Nun zurück zu BOGE, zu dieser konkreten Anzeige, zu dieser konkreten Absage.

Erstens: Das Pflichtenheft ist inhaltlich konsistent mit einer Organisation, die Security ernst nehmen müsste. ISO-27001-ISMS, Auditsteuerung, Risiko, Incident Response, OT-Security, regulatorische Rahmen, strategische Beratung. Das ist kein reine IT-Sicherheitsbeauftragter-Position, sondern CISO-Scope. Wer das aufschreibt, beschreibt zwangsläufig ein Feld, in dem ein Kandidat nicht nur Technik können muss, sondern Organisationsdesign, Konfliktfähigkeit, Verhandlungsstärke, Priorisierung unter Budgetrestriktionen, Übersetzung zwischen Vorstand und Betrieb.

Zweitens: Genau hier beginnt die Inkonsistenz. Die Anzeige formuliert Breite, aber sie sagt nichts über Mandat. „Strategischer Berater“ klingt nett, nett ist bekanntlich die kleine Schwester von Scheiße, ist aber realiter ein Codewort für: Verantwortung ohne Durchgriff. Das ist die klassische deutsche Lieblingskonstruktion. Man will Sicherheit, aber man will keine Friktion. Man will Reife, aber man will keine Kosten. Man will Auditfähigkeit, aber man will keine Entscheidungen dokumentieren. Man will Kultur, aber man will keine Konflikte. In so einem Rahmen wird eine CISO zum Sicherheitslyriker, der den Sturm poetisch beschreibt, während das Dach offen bleibt.

Drittens: OT-Security in einem Industrieumfeld ist kein Anhang. OT ist eigenwillig: lange Lebenszyklen, proprietäre Protokolle, Safety-Constraints, Verfügbarkeitsdogma, heterogene Lieferanten, Wartungsfenster wie Sonnenfinsternisse. Wer OT ernst nimmt, braucht Allianzen mit Produktion, Instandhaltung, Engineering. Das ist Politik in Stahlkappen. Eine Anzeige, die OT erwähnt, ohne Ressourcen und Mandat mitzudenken, schreibt nicht eine Stelle aus, sondern einen Konflikt.

Viertens: CRA und Produktbezug sind ein Hinweis darauf, dass Security nicht nur interne IT betrifft, sondern potenziell die Produktentwicklung, Firmware, Softwarelieferketten, Updatefähigkeit, Vulnerability Handling. Das ist, nüchtern betrachtet, ein zweites Programm neben dem ISMS. Wer beides in einer Rolle bündelt, muss sehr klar sagen, wie viele Köpfe, welches Budget, welche Linienverantwortung, welche Schnittstellen existieren. Sonst wird es organisatorische Selbsttäuschung.

Fünftens: Die Absageformel zu viele Bewerbungen kann wahr sein, und doch inhaltlich ausweichend bleiben. Ein C-Level-Prozess funktioniert nicht wie ein Azubi-Screening. Wenn ein Unternehmen auf C-Level überrannt wird, ist das zunächst kein Argument gegen Gespräche, sondern ein Argument für Selektion. Selektion ist der Job. Der CFO sagt auch nicht, es seien zu viele Buchungen eingegangen, man könne leider keine Bilanz erstellen.

Hier drängt sich eine Hypothese auf, und ich kennzeichne sie als Spekulation: Die Bewerbungsflut ist oft das Symptom eines Recruiting-Setups, das auf Volumen, nicht auf Qualität gebaut ist. Man schaltet öffentlich, man sammelt, man lässt ATS-Filter laufen, man produziert höfliche Absagen, man vermeidet jede individuelle Begründung. Das ist prozessual bequem. Es ist kulturell feige. Und es kostet am Ende genau jene Kandidaten, die man angeblich sucht, weil sie Substanz nicht zum Nulltarif anbieten, auch nicht emotional.

Eine zweite Spekulation: C-Level-Stellen werden nicht selten bereits intern oder über vertrauliche Netzwerke besetzt, während die öffentliche Anzeige parallel läuft, als Formalie, als Compliance-Absicherung, als Signal. Ich weiss nicht, ob das hier zutrifft. Ich weiss nur, dass die Struktur existiert, und dass sie exakt diese Art von E-Mail produziert.

Eine dritte Spekulation, noch unangenehmer: Die Anzeige ist ein Wunschzettel, der in der Vergütung nicht gespiegelt wird. Ich habe keine Gehaltszahl von BOGE, also behaupte ich keine. Ich notiere nur: Wenn man attraktiv schreibt, aber nicht präzisiert, dann gilt: Man will alles, man kann nichts, man zahlt wenig, man schweigt viel.

Vom Untergang

Die gute Nachricht vorweg: Deutschland ist in solchen Vorgängen nicht auf dem falschen Weg. Deutschland ist in vielen Teilen bereits im Verwaltungsmodus seiner eigenen Erosion angekommen. Wer Qualität will, muss Qualität aushalten. Wer Substanz will, muss Substanz bezahlen. Wer Verantwortung delegiert, muss Mandat und Ressourcen mitdelegieren. Stattdessen beobachte ich in Unternehmen und Institutionen eine auffällige Neigung zur Simulation: Man simuliert Ernsthaftigkeit über Prozesse, man simuliert Kultur über Slogans, man simuliert Handlungsfähigkeit über Gremien, man simuliert Mut über PowerPoint.

Ich habe diese Anatomie der Lähmung in anderen Texten bereits anders adressiert: deutsche Bräsigkeit als Mischung aus moralischer Selbstberuhigung, Statusverwaltung, Konfliktvermeidung;22 das „Land der Wirbellosen“ als Diagnose einer Gesellschaft, die lieber konform funktioniert als wahrhaftig denkt.23 Eine CISO-Stellenanzeige ist kein philosophisches Traktat. Und doch ist sie ein Seismograph. Sie zeigt, ob eine Organisation bereit ist, sich zu binden, oder ob sie nur so tun will.

Die Schrödinger-Wunschbäckerei ist am Ende keine Pointe über HR. Sie ist ein Organisationsmuster: Man hält sich beide Narrative bereit, Mangel und Flut, und wählt situativ das bequemere. Man sagt wir finden niemanden, wenn man den eigenen Mangel an Attraktivität kaschieren will. Man sagt zu viele Bewerbungen, wenn man die eigene Unlust auf Selektion kaschieren will. Man spricht vom War for Talents, aber führt einen Krieg gegen Inhalt.

Der Clou ist: Dieses Muster ist selbstverstärkend. Gute Leute meiden Systeme, die sie wie Seriennummern behandeln. Übrig bleiben jene, die entweder verzweifelt sind, oder hochgradig signaloptimiert, oder beides. Akerlof würde sagen: Die Zitronen verdrängen die Pfirsiche. Spence würde ergänzen: Das Signalling wird so teuer und so verzerrt, dass es den Markt selbst beschädigt.

Man kann dieses Spiel lange treiben, weil der Preis nicht sofort in der GuV erscheint. Er erscheint später: in Projekten, die aus Angst vor Verantwortung nicht entschieden werden; in Auditfindings, die seit Jahren offen sind; in Incident-Response-Plänen, die niemand geübt hat; in Lieferketten, die bei der nächsten Schwachstellenwelle hektisch reagieren; in einem Sicherheitsprogramm, das nicht an fehlender Technik scheitert, sondern an fehlender Führung.

Ich halte es für symptomatisch, dass eine Absage-Mail mit freundlichem Tonfall keinerlei Substanz enthält. Substanz würde bedeuten: Rolle und Prozess kurz erklären, Zeitachse nennen, vielleicht ein Satz zur Passung, selbst wenn er knapp ist. Das wäre Risiko, weil man sich festlegt. Also legt man sich nicht fest. Man lächelt. Man drückt zwei Ausrufezeichen hinein, damit der Empfänger sich für die Abfuhr auch noch bedankt.

Am Ende bleibt ein Satz, sinngemäss und als kulturelle Markierung: Je verständlicher das Universum wirkt, desto sinnloser wirkt es manchmal. Steven Weinberg wird dafür gern zitiert. In der deutschen Recruiting-Praxis gilt das im Kleinen: Je professioneller die Prozesse aussehen, desto leerer wird die Verantwortung dahinter sein.

Die Katze schnurrt weiter. Bis zum nächsten Messvorgang. Und immer gilt in Deutschland, dem Land der Wirbellosen, ein weiterer quantenphysikalischer Überlagerungszustand: Aufrecht in den totalen Untergang.

  1. https://coresecret.eu/2025/12/15/vom-land-der-wirbellosen/ ↩︎
  2. https://karriere.boge.com/jobs/chief-information-security-officer-ciso-m-w-x/ ↩︎
  3. https://de.wikipedia.org/wiki/Information_Security_Management_System ↩︎
  4. https://de.wikipedia.org/wiki/ISO/IEC_27001 ↩︎
  5. https://de.wikipedia.org/wiki/Penetrationstest_(Informatik) ↩︎
  6. https://www.gartner.com/en/information-technology/glossary/operational-technology-ot ↩︎
  7. https://en.wikipedia.org/wiki/Operational_technology ↩︎
  8. DSGVO: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 119 vom 4.5.2016, S. 1 ff., CELEX: 32016R0679. ↩︎
  9. NIS2: Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Massnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), ABl. L 333 vom 27.12.2022, S. 80–152, CELEX: 32022L2555. ↩︎
  10. CRA: Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 sowie der Richtlinie (EU) 2020/1828 (Cyber Resilience Act), ABl. L, 2024/2847, 20.11.2024, CELEX: 32024R2847. ↩︎
  11. https://statistik.arbeitsagentur.de/DE/Statischer-Content/Statistiken/Themen-im-Fokus/Fachkraeftebedarf/Generische-Publikationen/Arbeits-und-Fachkraeftemangel-trotz-Arbeitslosigkeit.pdf ↩︎
  12. https://coresecret.eu/2025/12/30/von-der-wunschbaeckerei/ ↩︎
  13. https://www.sfu.ca/~wainwrig/Econ400/akerlof.pdf ↩︎
  14. https://competitionandappropriation.econ.ucla.edu/wp-content/uploads/sites/95/2017/08/Spence1973.pdf ↩︎
  15. https://arxiv.org/abs/2410.21771 ↩︎
  16. https://doi.org/10.1057/s11369-025-00436-z ↩︎
  17. https://www.columbialawreview.org/content/ghost-jobs/ ↩︎
  18. https://www.columbialawreview.org/wp-content/uploads/2025/11/November-2025-Forum-Grimm.pdf ↩︎
  19. https://www.congress.gov/crs-product/IF12977 ↩︎
  20. Siehe Fn. 11. ↩︎
  21. Pay-Transparency-Richtlinie (Erstzitat): Richtlinie (EU) 2023/970 des Europäischen Parlaments und des Rates vom 10. Mai 2023 zur Stärkung der Anwendung des Grundsatzes des gleichen Entgelts für gleiche oder gleichwertige Arbeit von Männern und Frauen durch Entgelttransparenz und Durchsetzungsmechanismen, ABl. L 132 vom 17.5.2023, S. 21–44, CELEX: 32023L0970. ↩︎
  22. https://coresecret.eu/2025/12/21/von-deutscher-braesigkeit/ ↩︎
  23. https://coresecret.eu/2025/12/15/vom-land-der-wirbellosen/ ↩︎

Categories: Deutschland, Digitalisierung, Gesellschaft, IT, Volkswirtschaft
Tags: , , , ,

You may also like

Search: