Cybersecurity

Fachkräftemangel erhöht das Sicherheitsrisiko

11.11.2020
Von 
Hans Königes war bis Dezember 2023 Ressortleiter Jobs & Karriere und damit zuständig für alle Themen rund um Arbeitsmarkt, Jobs, Berufe, Gehälter, Personalmanagement, Recruiting sowie Social Media im Berufsleben.
Weltweit fehlen über vier Millionen Spezialisten für Cybersecurity. Gleichzeitig verschärft sich die Bedrohungslage. Wie Unternehmen die Sicherheitslücken besser schließen können, lesen Sie hier.

Mit der fortschreitenden Digitalisierung werden IT-Infrastrukturen immer komplexer. Sie umfassen heute eine Vielzahl an Technologien, Geräten des Internet of Things (IoT) und verschiedene Clouds. Gleichzeitig wächst durch die zunehmende Vernetzung die Angriffsfläche, was die Absicherung zusätzlich erschwert. Deshalb ist es besonders wichtig, dass Unternehmen bei digitalen Innovationen die Security von Anfang an mitdenken. Wer hier nachlässig ist, geht hohe Risiken ein. Cyber-Kriminelle sind heute gut organisiert und professionell aufgestellt. Längst haben sie Erpressung und Datendiebstahl als lukratives Geschäftsmodell entdeckt. Während im Jahr 2000 der "I-love-you-Virus" noch vergleichsweise geringen Schaden anrichtete, kostet ein Sicherheitsvorfall ein Unternehmen heute im Durchschnitt 386 Millionen US-Dollar, so der aktuelle "Cost of a Data Breach Report" des Ponemon Instituts im Auftrag von IBM.

Cybersecurity darf bei der digitalen Transformation - auch unter den erschwerten Bedingungen des Fachkräftemangels - nicht zu kurz kommen.
Cybersecurity darf bei der digitalen Transformation - auch unter den erschwerten Bedingungen des Fachkräftemangels - nicht zu kurz kommen.
Foto: TippaPatt - shutterstock.com

Vor diesem Hintergrund ist Cybersecurity-Expertise für Unternehmen wichtiger denn je. Doch viele Betriebe leiden unter dem anhaltenden Fachkräftemangel, von dem die Security-Branche besonders stark betroffen ist. Wie eine aktuelle ISC2-Studie zeigt, fehlen weltweit mehr als vier Millionen Experten für Cybersicherheit. Das Angebot an entsprechenden Fachkräften auf dem Arbeitsmarkt müsste pro Jahr um 145 Prozent steigen, um den wachsenden Bedarf zu decken. Zwar bieten unterdessen immer mehr Universitäten Studiengänge in Cybersecurity an, doch das ist nur ein Tropfen auf dem heißen Stein.

So ist es nicht verwunderlich, dass der Mangel an qualifizierten und erfahrenen Mitarbeitern die größte Sorge von Chief Information Security Officers (CISOs) ist - sogar noch größer als der Mangel an Ressourcen. 65 Prozent der Befragten gaben an, dass sie zu wenig Personal für Security-Aufgaben haben. Dadurch sehen 51 Prozent ihr Unternehmen einem mäßigen bis extremen Risiko ausgesetzt. An der Online-Umfrage nahmen rund 3200 Cybersecurity-Verantwortliche aus Nordamerika, Europa, Lateinamerika und dem asiatisch-pazifischen Wirtschaftsraum teil.

Was ein IT Security Director/Manager können muss

"Wir suchen Menschen, die nicht nur über die entsprechenden technischen Fähigkeiten verfügen, sondern auch wissbegierig sind, Probleme verstehen und risikobasiertes Denken auf sie anwenden können. Die Fähigkeit, dies bis auf die Vorstandsebene zu transportieren, ist uns ebenfalls wichtig", erklärt Mike Hart, VP Central and Eastern Europe bei dem IT-Sicherheitsanbieter FireEye die Recruiting-Strategie. Man lege auch großen Wert auf Diversität. Menschen mit unterschiedlichem Hintergrund und aus verschiedenen Kulturen bringen neue Perspektiven in das Team ein, so dass Gruppendenken und ein Verstricken in denselben alten Prozess vermieden werde.

Mike Hart, FireEye: "Es besteht die Gefahr, hochqualifizierte Ressourcen aufgrund des Fachkräftemangels zu verbrennen."
Mike Hart, FireEye: "Es besteht die Gefahr, hochqualifizierte Ressourcen aufgrund des Fachkräftemangels zu verbrennen."
Foto: Mike Hart - FireEye

Um zu ermitteln, welche Kompetenzen ein IT Security Director besitzen sollte, hat der IT-Sicherheitsanbieter Fortinet mithilfe von Natural Language Processing Stellenangebote und Bewerbungen analysiert. Die Studie zeigt, dass Arbeitgeber heute eine ausgewogene Vielfalt an fachlichen und sozialen Fähigkeiten erwarten. Wichtig sind vor allem folgende Kompetenzen:

• Informationssicherheit

Compliance

• Menschenführung

• Verfahrensmanagement

• Urteilsvermögen

• Analysefähigkeit

• Standards

• Risikomanagement und

• Teamfähigkeit.

Bewerber betonen in ihren Unterlagen aber vorwiegend ihre fachlichen Fähigkeiten - hier bringen sie im Durchschnitt zehn Qualifikationen mehr mit, als für die Stelle erwartet werden. Zwischenmenschliche und strategische Kompetenzen erwähnen die Kandidaten dagegen kaum. Dabei sind diese gleichermaßen wichtig. Denn ein IT Security Director/Manager ist zunehmend auf strategischer Seite gefragt. Er darf sich nicht nur als Taktiker und Dienstleister verstehen, sondern muss an der Entwicklung von Sicherheitskonzepten mitwirken und dazu beitragen, Sicherheitsaktivitäten effizienter zu gestalten.

Weiterbildung als Schlüssel zu mehr Sicherheit

Um die nötigen Kompetenzen aufzubauen, spielen Aus- und Weiterbildung eine zentrale Rolle. Das fängt bereits im universitären Umfeld an. Fortinet hat dafür zum Beispiel die Fortinet Network Security Academy (FNSA) ins Leben gerufen. Sie bietet Hands-on-Trainings für Studenten und Professoren, um Nachwuchskräfte in Sachen Security gezielt auf die kommenden Anforderungen im Berufsleben vorzubereiten. Die FNSA ist Teil des Network-Security-Experts-Programms (NSE), mit dem sich Security-Fachkräfte auf insgesamt acht Ebenen weiterbilden und zertifizieren lassen können. Jede dieser acht Ausbildungsstufen befasst sich mit Sicherheitsgebieten, die von der Bedrohungslandschaft bis zur Planung, Konfiguration, Einrichtung und Fehlerbehebung im Bereich der Netzwerksicherheit reichen. Die Trainings bestehen sowohl aus von Trainern geführten Kursen als auch Einheiten zum Selbstlernen. Am Ende jedes Levels findet ein umfassendes Zertifikatsexamen statt, um die erworbenen Fähigkeiten nachzuweisen.

Christian Vogt, Fortinet: "Bei Security-Experten nimmt die Tendenz zum Jobhopping zu."
Christian Vogt, Fortinet: "Bei Security-Experten nimmt die Tendenz zum Jobhopping zu."
Foto: Fortinet

Programme wie NSE sind wichtig, um qualifizierte Security-Teams aufzubauen und den wachsenden Anforderungen zu begegnen. Dabei sollten sich Unternehmen nicht nur auf die Nachwuchskräfte fokussieren, sondern auch die bestehende Belegschaft weiterbilden. Auch lernwillige Mitarbeiter aus anderen Bereichen sollten zudem die Chance erhalten, entsprechende Kompetenzen zu erwerben und ins Security-Team zu wechseln. Das ist sinnvoll, weil es bei dem anhaltenden Fachkräftemangel nicht möglich sein wird, sich alle erforderlichen Kompetenzen über neue Mitarbeiter ins Haus zu holen.

Christian Vogt, Vice President DACH bei Fortinet ist überzeugt: "Mit entsprechenden Trainings und Mentorenprogrammen kann es gelingen, starke Sicherheitsteams aufzubauen." Es lohne sich, in die eigenen Mitarbeiter zu investieren. CISOs bereichern dadurch ihr Unternehmen und machen sich ein Stück weit unabhängig von der Suche nach neuen Talenten. Zudem gewinnen Mitarbeiter nicht nur neue Fähigkeiten, sondern auch mehr Selbstvertrauen. Nicht zuletzt tragen Weiterbildungsmaßnahmen dazu bei, dass Mitarbeiter zufriedener seien und sich geschätzt fühlen. Das, so Vogt weiter, sei nicht zu vernachlässigen. Denn wie die Studie zeige, nehme auch bei Security-Experten die Tendenz zum Jobhopping zu. Zufriedene Mitarbeiter bleiben eher bei ihrem Arbeitgeber.

Mit Automatisierung Mitarbeiter entlasten

Auch wenn Weiterbildung eine wichtige Rolle spielt, reicht sie allein nicht aus, um das Sicherheitsdefizit auszugleichen, das durch den Personalmangel entsteht. Denn in unterbesetzten Security-Abteilungen fehlt es häufig nicht nur an Spezialwissen. Mitarbeiter arbeiten auch kontinuierlich an ihrer Belastungsgrenze, während sie sich mit wachsenden Anforderungen konfrontiert sehen. So steigt zum einen das Risiko für menschliche Fehler sowie eines Burnout. "Es besteht die Gefahr, hochqualifizierte Ressourcen aufgrund des Fachkräftemangels zu verbrennen. Deshalb stellen wir sicher, dass sie nicht überlastet werden", erklärt Hart. Sicherheitsteams seien mit ihrem routinemäßigen Tagesgeschäft bereits mehr als ausgelastet. Für dringend erforderliche strategische Aufgaben bleibe häufig keine Zeit mehr.

Was aber tun, wenn selbst die großen DAX-Konzerne nicht genügend Security-Experten finden? Verstärkt Security-Spezialisten aus dem Ausland anzuwerben oder gar eine Neuauflage der Greencard würde die Lage nicht entspannen. Schließlich ist der Mangel an Experten für Cybersecurity ein weltweites Problem. Hart empfiehlt deshalb einen pragmatischen Ansatz: "Security-Abteilungen müssen ihre verfügbaren Ressourcen besser nutzen. Dies gelingt mit modernen Sicherheitstechnologien und Automatisierung." Indem solche Lösungen zum Beispiel das digitale Threat Monitoring stark vereinfachen, automatisieren und Abwehrmaßnahmen einleiten, entlasten sie die Mitarbeiter. Kein Mensch, so Hart, könne aus 2000 Sicherheitswarnungen pro Stunde die tatsächlichen Bedrohungen herausfiltern. Moderne Security-Systeme hingegen schaffen das. So behalten Security-Teams den Überblick und gewinnen Zeit, sich auf wichtige Aufgaben zu konzentrieren."

Fazit

Cybersecurity darf bei der digitalen Transformation - auch unter den erschwerten Bedingungen des Fachkräftemangels - nicht zu kurz kommen. Daher brauchen Unternehmen Strategien, wie sie mit ihren bestehenden Teams der wachsenden Bedrohungslage die Stirn bieten können. Weiterbildung ist eine wichtige Maßnahme, um Kompetenzen aufzubauen. Zusätzlich benötigen Security-Mitarbeiter Unterstützung durch intelligente Tools und Automatisierung. Wenn moderne Technologien, Security Best Practices und gesunder Menschenverstand zusammenwirken, lässt sich die Sicherheitslücke schließen, die durch den Fachkräftemangel entstanden ist.