Die Bedeutung von Expertenzertifikaten für IT-Sicherheit

Oliver Schonschek,
Auch Personen können Security-Zertifikate erlangen, um ihre Expertise nachzuweisen

Zertifikate wie CISSP, CISA oder CISM sind ein großer Vorteil, so liest man in Stellenangeboten für Cybersicherheitsexperten. Andererseits werden selbst Quereinsteiger für Stellen in der Cybersecurity gesucht. Sollten Unternehmen auf Expertenzertifikate achten? Oder spielen solche Zertifikate in Zeiten des Fachkräftemangels in der Security eine untergeordnete Rolle?

Security-Talente finden in Zeiten des Fachkräftemangels

Die Zahl der Cybersecurity-Expertinnen und -Experten muss weltweit um 65 Prozent wachsen, um die kritischen Ressourcen von Unternehmen effektiv schützen zu können, so die aktuelle (ISC)² Cybersecurity Workforce Study.

Die Studie beziffert nicht nur die klaffende Lücke, die zwischen Bedarf und Angebot bei Cybersicherheitsexperten herrscht, sie bietet auch Einblicke dazu, wie Unternehmen ihre eigenen Personallücken überwinden wollen. Die Studienteilnehmer nannten mehr Ausbildung (36%), die Bereitstellung flexiblerer Arbeitsbedingungen (33 %) und Investitionen in Diversity, Equity and Inclusion (DEI)-Initiativen (29 %).

Weitere Wege, um Security trotz Fachkräftemangels gewährleisten zu können, sind für die Studienteilnehmer die Nutzung von Cloud-Dienstanbietern (38 %), der Einsatz von Intelligenz und Automatisierung für manuelle Security-Aufgaben (37 %) und die frühere Einbeziehung von Cybersicherheitsmitarbeitern in Beziehungen zu Dritten (32 %).

Die Studie deckt zudem die Folgen auf, die auftreten, wenn der Mangel an Cybersicherheitspersonal zu groß wird. Die Teilnehmerinnen und Teilnehmer gaben an, dass sie von falsch konfigurierten Systemen betroffen waren (32%), nicht genügend Zeit für eine angemessene Risikobewertung hatten (30 %) und kritische Systeme zu spät mit Patches versorgt wurden (29%).

Es gibt also gute Gründe, den Fachkräftemangel in der Cybersicherheit nicht einfach als gegeben hinzunehmen. Doch wie kann zusätzliches Security-Personal gefunden werden? Ein möglicher Weg ist, auch auf Quereinsteiger zu setzen.

Möglicher Einstieg auch ohne Security-Vorbildung

So beleuchtet die Cybersecurity Workforce Study auch, ob die neuen Security-Mitarbeiterinnen und -Mitarbeiter Quereinsteiger sein können. Dazu berichtet die Studie: Immer mehr Cybersicherheitsexpertinnen und -experten beginnen ihren Einstieg außerhalb der IT, 17 % wechselten aus nicht verwandten Berufsfeldern, 15 % erhielten Zugang durch Cybersicherheitsschulungen.

Alternative Einstiegswege sind bei Frauen häufiger als bei Männern, nur 38 % der weiblichen Teilnehmer begannen ihre Karriere in der IT, im Vergleich zu 50 % der männlichen Teilnehmer.

Zertifikate für Cybersicherheitskenntnisse

Offensichtlich sind Zertifikate für Cybersicherheitsexpertinnen und -experten kein Muss für einen Karrierestart in der Cybersecurity, doch sie sind hilfreich für die Bewerberinnen und Bewerber. So erhalten Security-Mitarbeiterinnen und -Mitarbeiter ohne anerkannte Cybersecurity-Zertifizierung in der Regel ein geringeres Gehalt: Die Jahresgehälter von zertifizierten Cybersicherheitsexperten sind um 33.000 US-Dollar höher als die Gehälter der Personen ohne Zertifizierungen, wie die Cybersecurity Workforce Study darlegt.

Für die Unternehmen können die Zertifikate eine Hilfe sein bei der Bewerberauswahl, wenn denn eine Wahlmöglichkeit besteht mit Blick auf den Fachkräftemangel. Allerdings ist die Zahl der Zertifikate sehr groß, nicht jedes Unternehmen kann sie unterscheiden und interpretieren.

Während Zertifizierungen wie CISSP (Certified Information Systems Security Professional), CISA (Certified Information Systems Auditor), CISM (Certified Information Security Manager), Comp TIA Security +, Certified Ethical Hacker (CEH) oder die GIAC Certifications international bekannt sind, gibt es auch innerhalb der EU Zertifikate, die nicht weniger interessant für Unternehmen als Arbeitgeber sein können, aber noch nicht so bekannt sind.

Ein Beispiel ist TeleTrusT Information Security Professional (TISP). TeleTrusT erklärt zu TISP: Informationssicherheit wird immer wichtiger. Unternehmen suchen deshalb verstärkt qualifiziertes Personal, das nachweisen kann, den komplexen Herausforderungen der IT-Sicherheit gewachsen zu sein. Mit den stetig zunehmenden Anforderungen an die Informationssicherheit steigt sowohl das Interesse von Beschäftigten, ihre Qualifikation nachzuweisen, als auch das Interesse der Arbeitgeber, zuverlässig qualifizierte Fachkräfte im Unternehmen zu binden. Das Zertifikat „TeleTrusT Information Security Professional“ (T.I.S.P.) ist ein anerkannter Nachweis dieser Art für Europa.

Die aktuellen Prüfungszahlen belegen, dass das T.I.S.P.-Zertifikat in der deutschen Wirtschaft wachsende Akzeptanz erfährt und somit einen Mehrwert für Absolventen und Absolventinnen wie für Unternehmen bzw. Institutionen darstellt, so der Verband.

Dabei unterstreicht TeleTrusT auch den Unterschied zwischen den Expertenzertifikaten, die ihren Ursprung in den USA haben, und dem T.I.S.P.-Zertifikat: Die Anforderungen der US-amerikanischen IT-Wirtschaft und Gesetzgebung lassen sich nicht eins zu eins auf die europäischen bzw. deutschen Verhältnisse übertragen. Insbesondere Themen wie das europäische Signaturgesetz, deutsche Haftungsregelungen, das IT-Sicherheitsgesetz, IT-Grundschutz und die EU-Datenschutz-Grundverordnung sind hiesige Besonderheiten.

Worauf Unternehmen bei Security-Bewerbungen achten sollten

Welche Bedeutung sollten anerkannte Expertenzertifikate für Cybersicherheit haben? Zuerst bleibt festzuhalten: Die Ausbildung und Erfahrung der Security-Mitarbeiterinnen und -Mitarbeiter ist entscheidend für den Erfolg des Cyberschutzes.

Wenn es künftig um den Schutz vor Sabotage, Datendiebstahl oder Spionage geht, braucht es vor allem qualifizierte IT-Sicherheitsspezialisten, sagt eine Bitkom-Umfrage. Praktisch alle Unternehmen (99 Prozent) sehen dies als geeignete Sicherheitsmaßnahme an, 69 Prozent halten sie sogar für sehr geeignet. Knapp dahinter rangieren Mitarbeiterschulungen zu Sicherheitsthemen. 97 Prozent finden dies geeignet, darunter drei Viertel (76 Prozent) sehr geeignet.

Eine Schulung der Mitarbeitenden zu Sicherheitsthemen nehmen 56 Prozent vor. Dazu Bitkom-Expertin Dehmel: „Unvorsichtige oder schlecht geschulte Beschäftigte können schnell zum Ziel von Angriffen werden. Investitionen in Schulungen sind deshalb immer auch wichtige Investitionen in die Zukunft des Unternehmens. Dabei ist zentral, die Mitarbeitenden gezielt für ihren spezifischen Arbeitskontext weiterzubilden.“

Ob die geschulten Regeln eingehalten werden, können im Betrieb etwa Sicherheitsverantwortliche überprüfen: 59 Prozent haben solche Mitarbeitenden bereits im Einsatz, 22 Prozent planen dies. Zwei Jahre zuvor lag der Wert noch bei 50 Prozent.

Security-Know-how sollte geprüft oder nachgewiesen werden

Allerdings müssen dann insbesondere die Sicherheitsverantwortlichen sehr gut geschult und erfahren sein. Wenn also Security-Positionen zu besetzen sind, sollten Unternehmen die Kenntnisse und Fähigkeiten der Bewerberinnen und Bewerber genau prüfen, trotz und gerade wegen des Fachkräftemangels.

Da solche Assessments aber nicht von jedem Unternehmen zu leisten sind, kommt den Expertenzertifikaten für Cybersicherheit eine wichtige Rolle zu. Eine Mitarbeiterin oder ein Mitarbeiter kann auch ohne Zertifizierung sehr gut im Bereich Cybersicherheit sein, doch ein Unternehmen kann dies nicht so leicht beurteilen.

Da aber die Unternehmensleitung für die Wahl der technischen und organisatorischen Sicherheitsmaßnahmen und damit auch für die Wahl des Security-Personals verantwortlich zeichnet, sollten Unternehmen, die es nicht selbst beurteilen können, auf Nachweise der Security-Expertise achten. Deshalb sind anerkannte Expertenzertifikate für Cybersicherheit nicht nur für die Bewerberinnen und Bewerber ein mögliches Plus, sondern auch für die Unternehmen eine Hilfe und ein möglicher Nachweis, auch aus Compliance-Sicht.