Spätestens der Krieg in der Ukraine, der sich auch im Internet abspielt, legt offen, wie fragil die Sicherheit von Unternehmen und Institutionen ist. Die eklatante Bedrohung sorgt für hektische Bestrebungen, sich lieber heute als morgen abzusichern. Aber die Suche nach Fachkräften, den Rettern in der Not, gestaltet sich schwierig, gerade für kleinere und mittlere Unternehmen.
Das Wichtigste in Kürze
- Der Mangel an IT-Fachkräften hat sich weiter verschärft, gleichzeitig ist die Sicherheitslage fragiler denn je. Unternehmen drohen schweren Schaden zu nehmen – finanziell, geschäftlich, rechtlich und bezogen auf das Image –, wenn sie diese Mangellage nicht entschärfen können.
- Wer Informationssicherheit ernst nimmt, braucht einen CISO (Chief Information Security Officer), der die entsprechende Strategie erarbeitet und verantwortet, außerdem ein Team an IT-Administratoren mit speziellen Know-how, die diese im täglichen Geschäft umsetzen.
- Der Markt für Fachkräfte ist überhitzt, aber es gibt auch andere Möglichkeiten, dem Fachkräftemangel entgegenzuwirken. Es gilt die Vor- und Nachteile sorgfältig abzuwägen und den passenden Weg zu finden.
In diesem Beitrag
- Wie steht es um die Fachkräfte in der Informationssicherheit?
- Welche Positionen sollte jedes Unternehmen in der Informationssicherheit besetzen?
- Wie wirkt sich der Fachkräftemangel auf die Sicherheit in Unternehmen aus?
- Welche Qualifikationen brauchen Fachkräfte in der Informationssicherheit?
- Wie lässt sich dem Fachkräftemangel in der Informationssicherheit entgegenwirken?
- Wie kann DataGuard Unternehmen unterstützen, denen es an Fachkräften für Informationssicherheit mangelt?
Wie steht es um die Fachkräfte in der Informationssicherheit?
Laut einer aktuellen Studie der Bitkom, für die 854 Unternehmen befragt wurden, hat sich der Mangel an IT-Fachkräften weiter verschärft. Derzeit fehlen in Deutschlands Unternehmen 137.000 IT-Expertinnen und -Experten quer durch alle Branchen, deutlich mehr als die 94.000 im Vorjahr und die 124.000 im Vor-Corona-Jahr 2019. 74 Prozent der befragten Unternehmen sprechen von einem Fachkräftemangel, und 70 Prozent rechnen damit, dass sich diese Situation in Zukunft weiter verschärfen wird.
Mit Blick auf die Informationssicherheit hat dies gravierende Folgen. Die allgemeine Sicherheitslage ist bedrohlicher denn je. Zu verzeichnen sind nicht nur immer mehr Attacken, sondern immer raffiniertere. Damit Schritt zu halten, ist eine Herkulesaufgabe, vor allem für IT-Teams, die chronisch überlastet sind.
Laut einer Umfrage des Statistischen Bundesamts gaben 15 % aller Unternehmen mit mindestens zehn Beschäftigten an, dass sie im Jahr 2021 Probleme durch IT-Sicherheitsvorfälle hatten. Dabei ist die mit 86 % am häufigsten genannte Folge der Ausfall von IT-Diensten aufgrund von Hard- oder Softwarefehlern.
Welche Positionen sollte jedes Unternehmen in der Informationssicherheit besetzen?
Informationssicherheit umfasst unterschiedliche Bereiche und fordert übergreifendes Know-how rund um Sicherheit. Dafür sind Generalisten nötig, die das Unternehmen und seine IT-Systeme als Ganzes betrachten und zum Beispiel auch die ISO-27001-Norm im Blick haben.
Primär ist dies der CISO (Chief Information Security Officer), der die Belange der IT, der Sicherheit und der Geschäfte eines Unternehmens zusammenbringen muss. Er erarbeitet und verantwortet die Strategie für Informationssicherheit auf Grundlage der Businessvorgaben des Unternehmens und sorgt für umfassenden Schutz, ohne den Geschäftsbetrieb zu verlangsamen.
Ergänzt wird diese Position durch ein Team an IT-Administratoren mit Know-how im Bereich Sicherheit, die sich um die Implementierung dieser Strategie und deren Einhaltung kümmern.
Welche Positionen konkret erforderlich sind, ist abhängig von der Größe der Organisation. Je mehr Mitarbeiterinnen und Mitarbeiter ein Unternehmen hat, desto mehr Angestellte braucht es auch im Bereich Sicherheit, um angemessenen Schutz zu gewährleisten. In großen Unternehmen verteilen sich die Aufgaben oft auf spezialisierte Teams, zum Beispiel für Disaster Recovery, Access Management oder ein Security Operations Center.
Wie wirkt sich der Fachkräftemangel auf die Sicherheit in Unternehmen aus?
Social-Engineering-Attacken, Phishing, Erpressung durch Ransomware, Bots, die Falschinformationen verbreiten, Hacker, die kritische Infrastruktur zum Ziel haben – Sicherheitsrisiken lauern überall und jederzeit. Es erfordert eine Menge an Fachwissen und Fokus, auf dem Laufenden zu bleiben, Bedrohungen zu erkennen, zu vermeiden und im Ernstfall schnell und richtig zu reagieren.
Mangelndes Bewusstsein für Sicherheit und deren Gefährdung ist die größte Gefahr für Unternehmen. Und wo es kaum Fachkräfte gibt und wenig Zeit bleibt, fehlt oft auch die systematische Bewertung der Geschäfts- und Sicherheitsrisiken. Diese ist jedoch zwingend nötig, wenn es darum geht, knappe Ressourcen so einzusetzen, dass sie sich auf die kritischsten Geschäftsbereiche und damit verbundene Risiken konzentrieren. In Handelsunternehmen stehen zum Beispiel Transport und Verkauf von Waren im Fokus, in Fertigungsunternehmen die Produktionsanlagen.
Angriffe auf die Sicherheit dieser kritischen Infrastruktur, etwa durch Social Engineering, können Unternehmen erheblichen Schaden zufügen – finanziell, geschäftlich, rechtlich und mit Blick auf das Image. Fachkräfte sorgen dafür, diese Risiken weitestgehend in Schach zu halten.
Welche Qualifikationen brauchen Fachkräfte in der Informationssicherheit?
Die Anforderungen an den CISO sind breit gefächert. Voraussetzung ist eine solide technische Ausbildung. Laut Cyberdegrees.org ist mindestens ein Bachelor-Abschluss in Informatik oder einem ähnlichen Feld notwendig, oft auch einen Master-Abschluss mit Schwerpunkt auf Sicherheit. Zudem wird solide einschlägige Berufserfahrung vorausgesetzt.
Abgesehen vom Studienabschluss sollte ein CISO generelle technische Fähigkeiten mitbringen, etwa in der Systemadministration. Und vor allem braucht er umfangreiches Wissen über Sicherheitstechnologien, aktuelle Bedrohungen und regulatorische Vorgaben, die in seiner Branche gelten – abgesehen von der DSGVO sind dies zum Beispiel HIPAA, NIST oder SOX.
Da der CISO eine Management-Funktion innehat und idealerweise eng mit der Geschäftsleitung zusammenarbeitet, sollte er außerdem ein Grundverständnis für das Geschäft des Unternehmen mitbringen. Gute Voraussetzungen haben deshalb auch Wirtschaftswissenschaftler mit technischer Ausrichtung, Wirtschaftsinformatiker oder erfahrene Consultants.
IT-Administratoren, die sich um Sicherheit kümmern, brauchen solide Kenntnisse über aktuelle Bedrohungen und deren Bedeutung für das tägliche Geschäft. Gut geeignet sind zum Beispiel Fachinformatiker, die sich im Bereich Sicherheit weitergebildet haben.
Wie lässt sich dem Fachkräftemangel in der Informationssicherheit entgegenwirken?
Wer etwas gegen den Mangel an Fachkräften in der Informationssicherheit tun will, hat verschiedene Ansatzpunkte, zum Beispiel:
Anwerben neuer Mitarbeiterinnen und Mitarbeiter
- Die Lösung des Problems scheint naheliegend, aber der Markt für Fachleute im Bereich Informationssicherheit ist sehr überschaubar. Die Kandidaten sind rar gesät und deshalb meistens teuer. Gerade kleinen und mittleren Firmen fällt es schwer, die Gehälter und Arbeitsbedingen zu bieten, die große Unternehmen oder Technologiefirmen aufrufen können.
Weiterbildung und Talentförderung
- Oft finden sich Berufene in den eigenen Teams – gerade für mittelständische Firmen ist dies eine probate Alternative zum überhitzten Markt. Es gilt die Talente in den eigenen Reihen zu finden und durch gezielte Weiterbildung, möglicherweise kombiniert mit Incentives, zu fördern. Oft kennen die eigenen Mitarbeiter ihren Arbeitgeber von der Pike auf und danken die Möglichkeit, sich intern weiterzuentwickeln, mit großer Loyalität. Für kleine, chronisch überarbeitete IT-Teams kann es jedoch schwierig sein, Zeit für Schulungen freizumachen oder Teammitglieder aus dem Alltagsgeschäft zu lösen.
Hinzuziehen externer Dienstleister oder Outsourcing
- Das Thema Sicherheit haben zwar sehr viele Dienstleister im Programm, die Suche nach dem richtigen Partner für das eigene Unternehmen gleicht jedoch der nach der Nadel im Heuhaufen. Laut dem BSI Lagebericht zur IT-Sicherheit stellen gerade kleine und mittleren Unternehmen häufig fest, dass es in ihrer Region entweder zu wenig qualifizierte Dienstleister gibt oder nur solche, die nicht zu ihrer eigenen Unternehmensgröße passen.
Technische Lösungen
- Namhafte Technologieanbieter, die sich auf das Thema Sicherheit spezialisiert haben, stellen ausgefeilte Lösungen bereit, die dazu dienen, Aufgaben zu automatisieren und IT-Teams zu entlasten. Aber jedes Unternehmen, das sich darum bemüht, ist anders, und es erfordert Fachwissen und Vertrauen in den Anbieter, die Lösung zu finden, die genau zu den eigenen Fragestellungen passt.
Wie kann DataGuard Unternehmen unterstützen, denen es an Fachkräften für Informationssicherheit mangelt?
Nicht jedes Unternehmen will oder kann eigene Fachkräfte für Informationssicherheit einstellen oder eigene Mitarbeiter weiterbilden. DataGuard unterstützt Sie mit Know-how und Beratungsleistungen rund um das Thema, zum Beispiel zum Aufbau und Betrieb eines ISMS, oder bietet Ihnen „Informationssicherheit as a Service“. Ein ganzes Team von Expertinnen und Experten verfügt über fundiertes Wissen und Best Practices aus einer Vielzahl von Projekten und Assessments – und versorgt Sie mit dem Know-how, das Sie brauchen.
Die Plattform von DataGuard bietet Ihnen Zugriff auf zahlreiche Richtlinien zur Umsetzung eines ISMS. Sie liefert Ihnen eine wertvolle Grundlage, die Sie nutzen und an Ihre eigenen Prozesse anpassen können, um fehlendes Fachwissen auszugleichen.
Hilfreich ist auch die DataGuard Academy, mithilfe derer Ihre Belegschaft plattformgestützt und effizient grundlegende Schulungen zur Informationssicherheit absolvieren und sich mit allen damit verbundenen Themen vertraut machen kann.
Fazit
Fachkräfte für Informationssicherheit sind rar gesät und teuer, aber der Bedarf danach ist angesichts allgegenwärtiger Bedrohungen größer denn je. Nicht jedes Unternehmen kann mit den Großen mithalten und die Gehälter und Arbeitsbedingungen bieten, die erfahrene Fachexperten in dieser Mangelsituation fordern.
Eigenes Personal im Bereich Sicherheit aus- und weiterzubilden, ist aufwendig und kostet Zeit – die angesichts kleiner Teams und ständig veränderlicher Bedrohungen eine knappe Ressource ist.
DataGuard ist Ihr Partner in Sachen Informationssicherheit – sowohl permanent als auch interimsweise, wenn es eine Mangellage zu überbrücken gilt. Lesen Sie nach und machen Sie sich ein Bild, zum Beispiel zur Rolle des CISO oder zu effektiver Informationssicherheit.
Benötigen Sie Beratung durch externe Fachkräfte, beim Aufbau eines ISMS oder bei der Schulung Ihrer Belegschaft? Wir helfen Ihnen gerne weiter – wenden Sie sich noch heute an einen unserer Experten für Informationssicherheit.
Die Zukunft der Informationssicherheit: 3 wichtige Strategien für 2023
3 Schlüsselstrategien, die Sie umsetzen können, um für die Zukunft gerüstet zu sein und wettbewerbsfähig zu bleiben.
Jetzt kostenlos herunterladen