Die digitale Transformation ist mittlerweile in Unternehmen angekommen und eröffnet ihnen zahlreiche neue Möglichkeiten. Doch gleichzeitig gefährden beispielsweise Cyberattacken Firmennetzwerke, Daten sowie Anwendungen auf Computern, Tablets und Smartphones. Längst stehen bei diesen Attacken nicht mehr die Netzwerke im Mittelpunkt. Cyberkriminelle greifen zunehmend Applikationen an, da sie meist deutlich weniger geschützt werden. Ein Chief Digital Officer (CDO) muss her, der die aktuellen Herausforderungen, Risiken, Chancen und Lösungsmöglichkeiten im Blick hat.
Leichter gesagt als getan. Denn in einer aktuellen Umfrage geben 30 Prozent der IT-Sicherheitsexperten einen Mangel an qualifiziertem Personal in ihrem Unternehmen an. Die Eigenschaften und Fähigkeiten, die ein CDO mitbringen sollte, machen das Recruiting dieser Sicherheitsexperten nicht einfacher.
Anspruchsvolle Aufgabenbeschreibung
Als Verantwortlicher für die digitale Transformation im Unternehmen – mit eigenem Sitz im Vorstand – umfasst das Aufgabengebiet des CDO nicht nur die IT-Infrastruktur, sondern auch die darauf basierenden Geschäftsmodelle sowie die Entwicklung und Einführung neuer Produkte und Services. Er soll als zentrale Drehscheibe für reibungslose Prozesse zwischen Abteilungen wie Vertrieb, Marketing, Produktion oder Verwaltung sorgen und so den geschäftlichen Erfolg gewährleisten. Zudem koordiniert er alle Teilbereiche wie Netzwerke, Anwendungen, IT-Sicherheit, Fachbereiche und Geschäftsprozesse.
Denn der CDO muss dem bislang vorherrschenden Silodenken entgegenwirken, bei dem die Verantwortlichen der Fachbereiche nebeneinander statt miteinander agieren. Darüber hinaus sollte er in der Lage sein, nicht nur die Unternehmensstrategie, sondern auch ein effektives Sicherheitskonzept mitzugestalten. Als Digital Leader muss der CDO also interdisziplinäre Fachkompetenz und Führungsqualitäten vereinen.
Hacker als Sicherheitsexperten
Wie aber findet ein Unternehmen eine solche Person? Vielfach wurde mittlerweile Cybersecurity in Lehrpläne an Institutionen auf allen Ebenen integriert. Die britische Regierung versucht mit IT-Sicherheitsinitiativen wie Cyber First Talente durch Wettbewerbe zu finden und bietet zudem finanzielle Unterstützung an. Englische Unternehmen sind sogar bereit, ehemalige Hacker einzustellen, um ihre IT-Sicherheit zu erhöhen. Diese könnten durch ihr Wissen tatsächlich einen Beitrag dazu leisten, Einblicke in die innovativen Taktiken von Hackern zu erhalten. Allerdings darf das nicht auf Kosten der Investitionen in die Ausbildung zukünftiger Sicherheitsprofis oder sogar des eigenen Personals gehen.
- Fehlende Fachkenntnisse
Die IT-Industrie wächst schneller, als die Universitäten qualifizierte Fachkräfte in den Markt bringen können. So bleiben zahlreiche IT-Abteilungen unterbesetzt und unterqualifiziert. 76 Prozent der von Trustwave für die Studie Befragten fühlen sich deshalb genötigt, sich selbst in ihrer täglichen Arbeit ständig zu übertreffen, um den Fachkräftemangel etwas zu kaschieren. Trustwave-Marketingchef Cas Purdy sieht externe Security-Service-Unternehmen wie sein eigenes in einer guten Position, IT-Abteilungen zu unterstützen. - Ungeduldiger Vorstand
Vier von zehn Security-Experten mögen Vorstandssitzungen überhaupt nicht. Direkt vor oder nach einem solchen Meeting haben sie nämlich den meisten Stress. Damit ist die Zahl derer, die sich von den eigenen Chefs stark unter Druck gesetzt fühlen sogar knapp höher als die Zahl derer, die sich unmittelbar nach einem großen Datendiebstahl gestresst fühlen (39 Prozent der von Trustwave Befragten). - Erkennen vs. vorbeugen
Die Erkennung von Schwachstellen, Malware und schädlichen Netzwerkaktivitäten stellt für jeden zweiten IT-Security-Experten eine Aufgabe im Tagesgeschäft dar, die mit großem Druck verbunden ist. Es geht darum, Hintertüren in den Systemen zu entdecken, die als Einfallstor missbraucht werden könnten und diese zu schließen, bevor es zu einem Sicherheitsvorfall kommt. Ein Katz-und-Maus-Spiel, was einen gewissen Druck entstehen lässt. - Zu frühe Releases
Wenn IT-Produkte veröffentlicht werden, bevor sie wirklich fertig sind – das ist ein Problem, das 77 Prozent der von Trustwave Befragten nur zu gut kennen. Denn zumeist mangelt es den neuen Errungenschaften gerade an einem – an Sicherheit. Dennoch werden Sicherheitsspezialisten häufig von ihren Unternehmen dazu genötigt, das unfertige Produkt so schnell wie möglich aus der Tür zu bringen. - Internet der Dinge
Wenn alles mit allem vernetzt ist und entsprechend viele neue Angriffspunkte entstehen, sind neue Aufgaben für Security-Experten nicht weit. Das Internet der Dinge (IoT) beherrscht viele Unternehmen und stellt IT-Verantwortliche vor die Aufgabe, entsprechende Lösungen zu entwickeln und zu integrieren. Mehr als jeder zehnte Security-Verantwortliche fühlt sich dadurch unter Druck gesetzt, dass ihm gar nicht die Wahl gelassen wird, ob er IoT-Technologie überhaupt als sinnvoll erachtet. Es geht oftmals nur darum, sie schnellstmöglich einzubauen – unter Sicherheitsaspekten alle andere als schnell erledigt. - Big Data
Der Diebstahl von Kundendaten und von Intellectual Property bestimmt die Schlagzeilen – entsprechend groß ist die Angst von Unternehmensverantwortlichen, dass ihnen so etwas auch widerfahren könnte. Security-Verantwortliche haben großen Druck dadurch, fast die Hälfte von ihnen fürchtet sich vor einem Hack im großen Stil – dass erst Kundendaten abhandenkommen, dann auch noch Firmengeheimnisse verschwinden und es anschließend neben dem herben Imageverlust auch noch zu Gerichtsverfahren kommt. Ganz unbegründet ist diese Angst nicht – zahlreiche reale Fälle, die genau so oder ähnlich abgelaufen sind, geben dieser Befürchtung Nahrung. - Angebot und Nachfrage
Dass es an Security-Personal fehlt, wurde bereits deutlich. Der Bedarf an Experten ist dennoch erstaunlich: Fast jeder Dritte für die Trustwave-Studie Befragte wünscht sich eine Vervierfachung des IT- und IT-Security-Personalstamms im eigenen Unternehmen. Jeder zweite immerhin eine Verdoppelung. Ähnlich groß ist der Wunsch nach einem höheren IT-Security-Budget. - Sicherheit des Arbeitsplatzes
Wenn es zu einem Security-Vorfall gekommen ist, fürchtet nur jeder zehnte Verantwortliche um seinen Job – was maßgeblich mit dem Fachkräftemangel zusammenhängt. Sollte doch einmal die Entlassung drohen, finden Security-Experten schnell wieder einen Arbeitgeber. Also immerhin ein Punkt, an dem sich nur wenige größere Sorgen machen müssen.
Einheitlichen Rahmen schaffen
Die Wirtschaft muss einheitliche Rahmenbedingungen schaffen, beispielsweise durch die Standardisierung von Berufsbezeichnungen und Aufgaben, die länderspezifisch und teilweise auch von Organisation zu Organisation bislang sehr unterschiedlich sind. So könnte es gelingen, mehr Sicherheitsexperten zu rekrutieren. Denn Cyberangriffe verbreiten sich immer stärker und gemeinsam können Unternehmen dieses Problem am ehesten in den Griff bekommen.
Ein erster Schritt in diese Richtung wurde mit der Einführung des ISSA Cybersecurity Career Lifecycle gemacht, der auf internationaler Ebene standardisierte Definitionen von Cybersecurity-Aufgaben gibt. Zudem müssen sich Unternehmen mehr auf die Ausbildung von Sicherheitskräften fokussieren, Jobs klar definieren und innerhalb der Branche enger zusammen arbeiten. So sind wir in der Lage, Qualifikationsdefizite zu schließen, die unsere Daten und Infrastruktur gefährden und können den Kampf gegen den Fachkräftemangel gewinnen, um den zunehmenden Cyber-Bedrohungen entgegenzuwirken, die der digitale Wandel mit sich bringt.
Natürlich ist es nicht die Aufgabe des CDOs Sicherheitsexperte im Detail zu sein, da er interdisziplinär weitere Felder besetzen muss. Die IT hat sich zum Business Enabler entwickelt und vor diesem Hintergrund wird die Rolle eines CDOs mit der Gesamtübersicht und Handlungsbefugnis zu einer wichtigen Konstante für erfolgreiche Unternehmen werden. (bw)