Categories: Unternehmen

Experten für IT-Sicherheit gesucht – wo sollen die herkommen?

Die NSA-Affäre ist nun etwas mehr als ein Jahr alt: Am 5. Juni 2013 hat Edward Snowden begonnen, sein Wissen über die Abhörpraktiken des US-Geheimdienstes zu veröffentlichen. Mittlerweile hat sich die extrem emotional geführte Debatte um IT-Sicherheit glücklicherweise etwas versachlicht. Auch die Industrie-Analysten – allen voran PAC – haben sich inzwischen dem Thema angenommen. Damit werden nun die ersten Studien mit harten Fakten zum Stand der IT-Sicherheit in deutschen Unternehmen und Behörden veröffentlicht.

Die gute Nachricht vorweg: Das Thema IT-Sicherheit ist ein Führungsthema. 65 Prozent der von PAC befragten Unternehmen und Behörden gaben an, den Schutz und die Sicherheit ihrer IT-Infrastruktur auf Führungsebene zu diskutieren. Über IT-Sicherheit muss übergreifend und ganzheitlich entschieden werden, sonst bleibt sie lückenhaft und durchsetzungsschwach. Das Thema darf daher nicht in der Hoheit eines einzelnen Fachbereichs liegen.

Bei der Frage nach dem Bedrohungspotenzial werden vermehrt die eigenen Mitarbeiter als Bedrohungsurheber wahrgenommen. Als größtes technisches Risiko sehen die Befragten den Einsatz von mobilen Endgeräten und Cloud Computing, das größte organisatorische Risiko sind die Anwender. Die Bedrohung durch organisierte Kriminalität beziehungsweise durch Spionage wird zwar gesehen, deutsche IT-Manager messen dem Thema allerdings einen geringeren Stellenwert bei.

Interessant wird die Untersuchung von PAC, wenn es um die Frage nach den tatsächlichen Handlungen geht: Einerseits kennen die deutschen IT- und Sicherheitsverantwortlichen ihren Bedarf an neuen Schutzmaßnahmen, sie leiten daraus aber nicht automatisch konkrete und zeitnahe Projekte ab: 65 Prozent der Befragten beispielsweise benötigen Sicherheitslösungen für mobile Endgeräte, nur die Hälfte dieser Gruppe allerdings plant kurz- oder mittelfristig auch tatsächlich welche einzuführen. Das heißt, die Sensibilität ist zwar da, die Budgetfreigabe aber noch nicht.

Besonders schwierig wird es bei der Frage nach der Expertise: Die meisten Unternehmen sehen sich beim Thema Cyber-Security gut gerüstet. Allerdings mussten über 50 Prozent der Befragten zugeben, dass sie weder das Wissen noch die technischen Möglichkeiten haben, um in Echtzeit auf Attacken reagieren zu können. Einfach formuliert heißt das: Die Mauern der Burg sind dick, wenn aber ein gezielter und aufwändiger Cyber-Angriff kommt, ist der Burgherr machtlos. Um diesem Problem zu begegnen, planen die befragten Unternehmen und Behörden einerseits Schulungsmaßnahmen für Mitarbeiter und Partner. Andererseits wollen sie personelle Ressourcen im Sicherheitsumfeld ausbauen. 46 Prozent der Unternehmen und Behörden planen, personelle Ressourcen auf- bzw. auszubauen.

Wenn man die von PAC repräsentativ nach Branchen erhobenen Daten als Zukunftsszenario annimmt, dann kann eine unglaubliche Einstellungswelle folgen – nur wo sollen diese Experten herkommen? PAC hat für diese Umfrage gut 100 IT-Sicherheitsverantwortliche in deutschen Unternehmen und Behörden mit mehr als 1.000 Mitarbeitern befragt. Wenn alleine die einstellungsbereiten Unternehmen der Umfrage in den nächsten zwei Jahren jeweils einen zusätzlichen Sicherheitsspezialisten einstellen, dann wird es am Markt bereits schwierig qualifizierte Sicherheitsexperten zu finden. Rechnet man dann die Daten auf die deutsche Wirtschaft hoch, dann erwartet uns ein enormer Nachfragedruck auf dem Arbeitsmarkt, dem kaum nachzukommen ist.

Weniger als zehn von insgesamt über 400 Hochschulen in Deutschland bieten den Studiengang IT-Security an, daneben gibt es noch eine Reihe von Fortbildungsmaßnahmen. Diese Angebote werden allerdings absehbar die Nachfrage nach Sicherheitsexperten nicht decken können.

Zwei Erkenntnisse leiten sich hieraus für die IT-Branche ab. Erstens: Da der Arbeitsmarkt den Bedarf kurzfristig nicht bedienen kann, müssen Service Provider für IT-Security einspringen und mit ihren Consultants die Lücke schließen. Dies ist problemlos möglich, deckt den Bedarf aber nur übergangsweise.

Zweitens müssen wir langfristig das Ausbildungsangebot für IT-Security-Experten erhöhen. Viel mehr Hochschulen müssen sich auf dieses Fachgebiet spezialisieren und Lehrstühle für IT-Sicherheit einrichten. Alternativ müssen einschlägige Zertifizierungen und Weiterbildungen zur IT-Sicherheit für das bestehende IT-Personal genutzt werden.

Wenn wir konsequent und unternehmensübergreifend an diesem Ziel arbeiten und bedarfsgerecht praxisorientierte IT-Sicherheitsfachleute in Deutschland ausbilden und in den Unternehmen und öffentlichen Verwaltungen einsetzen, dann ist ein großer Schritt zur sicheren digitalen Wirtschaft getan.

Redaktion

View Comments

  • Immer wenn ein IT Problem diskutiert wird, versucht man dieses mit neuen Dingen zu erledigen. Vorhandene Strukturen werden nur bei der Implementierung berücksichtigt, Fachwissen oder internes Personal wird überhaupt nicht genutzt. Sicherheit scheint da keine Ausnahme und wie schon bei Nachhaltigkeit oder Energie Themen wird auch dies nur zusätzliche Arbeit bringen. Wann fängt die Wirtschaft an IT Themen als Unternehmenskritisch einzuordnen und ernst zu nehmen? Solange IT nur ein Kostenfaktor bleibt kann man nicht auf Änderungen hoffen. Risiko wird immer noch nicht als Chance gesehen. Behörden und Regierungen meinen immer noch sie bräuchten nicht wirtschaftlich handeln. So lange sich die Denke nicht ändert brauch man sich über Sicherheit keine Sorgen zu machen.

  • Ein sehr interessanter Artikel, der insbesondere die Personalplaner, CIOs und Universitäten aufhorchen lässt oder besser "aufhorchen lassen sollte". Doch lesen diese solche Informationen bzw. bestehen Ressourcen um die entsprechenden Initiativen zu ergreifen ?

    Es wäre schön, wenn der fachlich kompetente Autor Herr Holz in einer der nächsten Beiträge auf die Unterschiede IT-Sicherheit (IT-Security), Sicherheit (Security) und Safety eingehen würde. Dies würde den Verantwortlichen helfen. Interessant wäre es auch zu diskutieren, wie die aktuelle Situation ist (KMUs brauchen zwar Security-Fachleute, haben aber dies noch nicht erkannt bzw. keine Ressourcen; werden studierte Personen benötigt oder eher Fachleute aus der Szene ? Welche Ausbildung haben die jetzigen Personen ? Werden die IT-Security-Mitarbeiter derzeit nicht auch für andere Tätigkeiten eingesetzt und fehlen somit für ihre ursprüngliche Aufgabe ?).

    Hier schon mal ein Dank im Voraus.

Recent Posts

Cloud-Beschleuniger Covid

Vielfach hat die Coronapandemie bestehende IT-Strukturen aufgebrochen oder gar über den Haufen geworfen – gefühlt.…

3 Jahre ago

Trends 2021 – Vier Entwicklungen bei (Graph)Datenbanken und Datenanalyse

Das Covid-Jahr 2020 konnte die digitale Transformation nicht ausbremsen. Sogar ganz im Gegenteil: Viele Unternehmen…

3 Jahre ago

Ein globales digitales Identitätssystem muss Vertrauen und Transparenz schaffen

Nach Angaben der Weltbank fehlt mehr als einer Milliarde Menschen ein offizieller Identitätsnachweis. Ohne den…

3 Jahre ago

Nachhaltigkeit wird zu einem der Schlüsselkriterien in der Tech-Industrie

Das Thema Nachhaltigkeit ist seit vielen Jahren fester Bestandteil des Selbstverständnisses vieler Unternehmen. Wenig verwunderlich,…

3 Jahre ago

Chief Data Officer: Garanten für eine stärkere Datennutzung in Unternehmen

Unternehmen sammeln eine Vielzahl von Daten. Doch IDC Analysten fanden in ihrer aktuellen Studie „IDC‘s…

3 Jahre ago

Ethik, Regulierungen, Cloud: Der Nebel lichtet sich

COVID-19 hat 2020 sowohl Gesellschaft als auch Wirtschaft bestimmt. Unbestritten ist auch die katalytische Wirkung,…

3 Jahre ago