5second - stock.adobe.com
Die Qualifikationslücke bei der Cybersicherheit beheben
Der Mangel an qualifizierten Fachkräften in der Cybersicherheit kann Unternehmen gefährden. Und es ist nicht wirklich Besserung in Sicht. Wie lässt sich das Risiko entschärfen?
Es ist kein Geheimnis, dass Unternehmen mit einem großen Mangel an qualifizierten Mitarbeitern im Bereich Cybersicherheit konfrontiert sind. Schon seit einigen Jahren ist bekannt, dass viele gut bezahlte Stellen, die Cybersicherheitskenntnisse erfordern, nicht besetzt werden können.
Leider hat die Berichterstattung über die Qualifikationslücke im Bereich der Cybersicherheit nicht ausgereicht, um die Zahl der Beschäftigten im Bereich der Cybersicherheit zu erhöhen. Laut einer Studie der Information Systems Security Association (ISSA) und des TechTarget-Analystenunternehmens Enterprise Strategy Group gaben sechsundsechzig Prozent der Cyberexperten an, dass die Arbeit als Cybersicherheitsexperte in den letzten zwei Jahren schwieriger geworden ist, während 27 Prozent auf einen hohen Schwierigkeitsgrad hinwiesen.
Wie groß ist die Lücke? CyberSeek berichtet, dass in den USA etwa 1,1 Millionen Menschen im Bereich Cybersicherheit beschäftigt sind, aber mehr als 500.000 Stellen unbesetzt sind. Laut Cybersecurity Ventures werden bis zum Jahr 2025 weltweit etwa 3,5 Millionen Menschen im Bereich der Cybersicherheit fehlen. Ende des Jahres 2023 vermeldete der Branchenverband Bitkom, dass hierzulande 149.000 Stellen für IT-Fachkräfte nicht besetzt seien. Eine Umfrage des Sicherheitsanbieters Sophos kommt im Dezember 2023 zu dem Schluss, dass dort wo in deutschen Unternehmen IT-Fachkräftemangel besteht, es zu 71 Prozent an Security-Expertise mangele.
Die Qualifikationslücke in der Cybersicherheit und ihrer Auswirkungen
Neben den schwerwiegenden Auswirkungen des Fachkräftemangels im Bereich der Cybersicherheit gibt es laut der ISSA-Studie eine steigende Arbeitsbelastung für das bestehende Cybersicherheitsteam, viele unbesetzte offene Stellen und ein hohes Maß an Burnout.
Dies hat zur Folge, dass Unternehmen, Behörden, Bildungseinrichtungen und andere Organisationen weniger Sicherheit gewährleisten, als sie eigentlich sollten, und damit alle ihre Mitarbeiter, Kunden und Bürger einem erhöhten Risiko von Datenschutzverletzungen, Finanzbetrug und anderen nachteiligen Folgen aussetzen.
Um diese große Lücke zu schließen, muss man verstehen, warum der Fachkräftemangel im Bereich der Cybersicherheit besteht und fortbesteht. Dieser Artikel untersucht dies und schlägt mehrere Möglichkeiten vor, wie IT-Leiter und ihre Unternehmen die zugrunde liegenden Probleme angehen können.
Gründe für den Fachkräftemangel in der IT-Sicherheit
Das Defizit an Kenntnissen und Fähigkeiten im Bereich der Cybersicherheit ist auf viele Faktoren zurückzuführen. Hier sind die fünf wichtigsten Ursachen:
- Die Nachfrage nach Fachkräften im Bereich der Cybersicherheit steigt ständig. Nicht nur ist fast jedes Unternehmen vollständig von Technologie abhängig geworden, sondern die Technologie wird auch immer komplexer. Der Schutz der heutigen Systeme, Netzwerke und Daten vor Cyberangriffen ist schwieriger denn je, da noch mehr Sicherheitstechnologien und -prozesse miteinander kombiniert werden müssen. Daher müssen die Unternehmen ihre Mitarbeiter aufstocken und über ein breiteres Spektrum an Fähigkeiten verfügen als je zuvor.
- Dem Pool an Talenten im Bereich der Cybersicherheit fehlt es an Vielfalt. Laut einer aktuellen ISC2-Studie sind weltweit nur etwa 25 Prozent der Beschäftigten im Bereich der Cybersicherheit weiblich. Eine weitere ISC2-Studie ergab, dass die Diversität in den Cybersecurity-Teams zwar zunimmt, aber nur langsam voranschreitet. Der Studie zufolge sind 70 Prozent der Cybersicherheitsmitarbeiter, die 60 Jahre und älter sind, weiße Männer, 13 Prozent weiße Frauen, 15 Prozent nicht-weiße Männer und 2 Prozent nicht-weiße Frauen.
- Die Erwartungen der Arbeitgeber sind unrealistisch. Stellenbeschreibungen im Bereich Cybersicherheit erfordern oft einen Hochschulabschluss, mehrere Zertifizierungen und jahrelange Erfahrung in einer Vielzahl von Sicherheitsdisziplinen. Viele Kandidaten, die für Unternehmen von Vorteil wären, bewerben sich nicht auf diese Stellen, weil sie davon ausgehen, dass die Anforderungen wirklich erforderlich sind. Andere bewerben sich zwar, erhalten aber nicht einmal einen Rückruf, weil ihnen ein Abschluss oder ausreichende praktische Erfahrung fehlt.
- Die Mitarbeiter halten ihre Fähigkeiten nicht auf dem neuesten Stand. Die Herausforderungen, denen sich Arbeitgeber stellen müssen, ändern sich im Laufe der Zeit, beispielsweise die zunehmende Abhängigkeit von der Cloud-Sicherheit und die sich entwickelnden Bedrohungen für Daten und Systeme. Doch die Mitarbeiter sind so überlastet, dass sie oft nicht die Möglichkeit haben, neue Fähigkeiten zu erlernen, an Schulungen teilzunehmen, Online-Kurse zu belegen oder neue Zertifizierungen zu erwerben. Und dabei geht es nicht nur um technische Fähigkeiten, sondern auch um Soft Skills wie Kommunikation.
- Experten für Cybersicherheit wechseln den Beruf. Eine von Trellix in Auftrag gegebene Umfrage ergab, dass mehr als ein Drittel der Cybersecurity-Mitarbeiter einen Berufswechsel plant. Es gibt ein großes Problem bei der Mitarbeiterbindung, was zum großen Teil auf den ständigen Personalmangel und den unglaublichen Druck bei vielen Cybersecurity-Jobs zurückzuführen ist. Wenn Mitarbeiter die Branche verlassen, verschärft sich der Personalmangel noch weiter, was wiederum dazu führen kann, dass noch mehr Mitarbeiter die Branche verlassen.
Wie Unternehmen die Qualifikationslücke schließen können
Ein kurzfristiges Schließen der Qualifikationslücke in Sachen Cybersicherheit in Unternehmen wird eher schwierig. Aber Unternehmen können mit einigen Maßnahmen dafür sorgen, dass sich die Situation absehbar verbessert.
Die Suche nach Talenten erweitern. Stellen Sie sicher, dass Ihre Einstellungs- und Rekrutierungspraktiken der Vielfalt der Gesellschaft Rechnung tragen. Dies beinhaltet auch einzelne Gemeinschaften, die bislang in der IT oft unterrepräsentiert sind, gezielt anzusprechen. Informieren Sie die Mitglieder dieser Gemeinschaften über die Vielfalt der Möglichkeiten im Bereich der Cybersicherheit und zeigen Sie ihnen, wie sie in die Belegschaft eintreten können. Denken Sie über Partnerschaft oder Initiativen mit Bildungseinrichtungen wie Fachhochschulen, Universitäten oder anderen Ausbildungsstätten nach.
Fähigkeiten intern aufbauen. Unternehmen können auf einen viel größeren Pool von Arbeitskräften zurückgreifen, wenn sie die Stellenanforderungen lockern und stattdessen den Aufbau von Cyberfähigkeiten intern planen, indem sie Mitarbeitern Schulungen, Weiterbildungen und Zertifizierungen anbieten, um sie auf den neuesten Stand zu bringen. Geben Sie Hochschulabsolventen, erfahrenen Mitarbeitern, Quereinsteigern und Personen mit Interesse und Eignung für Cybersicherheit die Möglichkeit, zu lernen und sich weiterzuentwickeln. Hochschulabschlüsse, Zertifizierungen und mehrjährige Erfahrung sind für den Erfolg in den meisten Positionen im Bereich der Cybersicherheit nicht erforderlich.
Fördern Sie Ihre vorhandenen Talente. Burnout ist heute in vielen Organisation weit verbreitet. Insbesondere bei einem solchen Mangel an qualifizierten Mitarbeitern ist es für jeden, der unzufrieden ist, ein Leichtes, Ihr Unternehmen zu verlassen und anderswo eine bessere Chance zu finden. Umso schwerer wird es dann, ein kritisches Maß an Cybersicherheit aufrecht zu erhalten. Unternehmen müssen sich in diesen Zeiten auch darauf konzentrieren, Mitarbeiter zu halten.
Im Folgenden finden Sie einige Strategien, mit denen Sie Ihre bestehenden Mitarbeiter unterstützen können, damit sie nicht so leicht abwandern:
- Wann immer möglich, sollten Sie Routineaufgaben automatisieren - insbesondere solche, die sich wiederholen, langweilig sind oder viel Stress verursachen. Auf diese Weise können Sie Ihren Personalbedarf verringern und Ihren Mitarbeitern interessante, weniger stressige Aufgaben geben.
- Ziehen Sie die Inanspruchnahme von verwalteten Sicherheitsdiensten (Managed Security Services) in Betracht, insbesondere für die Überwachung außerhalb der Geschäftszeiten, die Analyse und die Reaktion auf Zwischenfälle. Kleine Unternehmen sollten den größten Teil ihrer Sicherheitsdienste auslagern, um den Bedarf an speziellem Security-Personal zu verringern und stattdessen ihr IT-Personal so zu schulen, dass es auch gelegentliche Security-Aufgaben übernehmen kann.
- Bei besonders belastenden oder anspruchsvollen Positionen sollten Sie die Möglichkeit einer Job-Rotation in Betracht ziehen. Ein Beispiel ist die Rotation von Sicherheitspersonal nach zwölf oder 18 Monaten in eine Position, die nichts mit dem operativen Geschäft zu tun hat. Dies kann dazu beitragen, Burnout vorzubeugen, und gibt den Mitarbeitern die Möglichkeit, zusätzliche Fähigkeiten zu erwerben, die sie für Ihr Unternehmen noch wertvoller machen.
- Wenn Ihre Mitarbeiter Urlaub nehmen, krank oder anderweitig abwesend sind, dann lassen Sie sie auch tatsächlich abwesend sein. Jeder braucht eine Auszeit von der Arbeit. Von den Mitarbeitern zu erwarten, dass sie sich während ihrer Abwesenheit ständig melden - und vor allem auf Abruf zur Verfügung stehen oder operative Unterstützung leisten - ist ihnen gegenüber unfair und wird mit Sicherheit zu Unmut führen. Dies mag für manche in der IT eine große kulturelle Veränderung bedeuten, aber es wird sich wahrscheinlich lohnen, sowohl für die Bindung bestehender Mitarbeiter als auch für die Gewinnung neuer Mitarbeiter.