Wie die EU für Security Skills sorgen will

Die Schwachstelle Mensch sind nicht nur die Nutzenden

Nach wie vor eine wichtige Rolle spielt der Faktor „Mensch“ als Einfallstor für Angriffe, so das Bundesamt für Sicherheit in der Informationstechnik (BSI). Wir Menschen sind anfällig für die zunehmend raffinierten Social-Engineering-Attacken, daran besteht kein Zweifel. Aber der Faktor Mensch spielt noch an anderer Stelle eine entscheidende Rolle, bei den Security-Fachkräften: Mangelnde Cybersecurity-Kenntnisse sind verantwortlich für 80 Prozent der Sicherheitsverletzungen, so der 2022 Cybersecurity Skills Gap Report von Fortinet.

In acht von zehn der befragten Unternehmen gab es demnach mindestens einen (Sicherheits-)Vorfall, den sie auf fehlende Cybersecurity-Kenntnisse oder mangelndes Bewusstsein zurückführen konnten. Die Umfrage zeigte auch, dass weltweit 64 Prozent der Unternehmen Sicherheitsverletzungen erlitten, die zu Umsatzeinbußen, Wiederherstellungskosten und/oder Geldstrafen führten.

„Laut dem Fortinet-Bericht ist der Fachkräftemangel nicht nur eine Herausforderung für Talente, sondern hat auch gravierende Auswirkungen auf die Wirtschaft. Das setzt ihn ganz oben auf die Agenda von Führungskräften weltweit“, erklärte Sandra Wheatley, SVP Marketing, Threat Intelligence and Influencer Communications bei Fortinet.

Deutsche Unternehmen sind besonders betroffen

Die Herausforderungen im Bereich Cybersicherheit werden durch den Fachkräftemangel noch verschärft: Es gibt nicht genügend Menschen mit den erforderlichen IT-Sicherheitskenntnissen, um die offenen Stellen zu besetzen. Bis 2025 wird es weltweit 3,5 Millionen unbesetzte Jobs im Bereich Cybersicherheit geben – das entspricht einem Anstieg von 350 Prozent innerhalb von acht Jahren, so das Unternehmen Microsoft, das eine weltweite Qualifizierungskampagne für IT-Sicherheit durchführt.

Laut dem Microsoft Digital Defense Report zählt Deutschland zu den Ländern mit einem erhöhten Bedrohungsrisiko, das mit einem erheblichen Bedarf an IT-Sicherheitsfachkräften einhergeht – sowohl im Hinblick auf die Anzahl der Beschäftigten im Vergleich zur Nachfrage, als auch in Bezug auf die mangelnde Diversität der entsprechenden Teams.

Bessere Security ist keine Frage des Budgets

Der Risk & Cybersecurity Studie 2022 des IT-Beratungsunternehmens Tata Consultancy Services (TCS) zufolge sehen Unternehmen die größte Herausforderung im Bereich Cybersicherheit nicht etwa im Budget, sondern im Mangel an Fachkräften mit einschlägiger Expertise. Laut Studie plant die Hälfte (49 Prozent) der Unternehmen aus der EU und Großbritannien, künftig Fachkräfte mit Cybersecurity-Skills einzustellen. In Nordamerika beabsichtigen sogar zwei Drittel (65 Prozent), sich in Zukunft auf die Talentsuche zu begeben.

Chief Risk Officers (CROs) und Chief Information Security Officers (CISOs) berichten in der Umfrage, dass es ihnen bereits im vergangenen Jahr schwerfiel, Talente mit Kenntnissen in den Bereichen Cyberrisiken und -sicherheit für sich zu gewinnen (44 Prozent) und zu halten (42 Prozent).

„Mit den fortschrittlichsten Taktiken der Cyberkriminellen Schritt zu halten, ist weniger eine Frage der finanziellen Mittel. Die Herausforderung liegt vielmehr darin, die richtigen Fachkräfte mit dem benötigten Know-how zu finden und zu halten“, sagt Santha Subramoni, Global Head of Cybersecurity Services bei TCS.

„Angesichts der zunehmenden Komplexität der Cybersicherheit wird auch die Talentlücke immer größer“, ergänzt Bob Scalise, Managing Partner im Bereich Risk & Cyber Strategy bei TCS. „Dauerhafte Aufmerksamkeit der Führungskräfte, finanzielle Förderung und Prozessveränderungen im Unternehmen werden entscheidend sein, um Top-Talente zu rekrutieren und zu binden.“

Neue Strategien gegen den Mangel an Security Skills gefragt

Wie aber kann der aufgezeigte Security Skills Gap geschlossen werden, der wesentlich zu den steigenden IT-Sicherheitsvorfällen beiträgt? Untersuchungen zeigen, dass sich insbesondere die Strategie ändern muss, wenn man IT-Sicherheitsfachkräfte finden, weiterbilden und an sich binden will.

Eine Studie von ISACA ergab zum Beispiel, dass 72 Prozent der Cybersicherheitsexperten glauben, dass ihre Personalabteilungen ihre Bedürfnisse nicht wirklich verstehen. Umgekehrt sagen die Personalabteilungen, dass es schwierig sei, Cybersicherheitspersonal mit den richtigen Fähigkeiten zu finden. Nur 27 Prozent sagten, dass frischgebackene Absolventen der Cybersicherheit gut vorbereitet sind.

Offensichtlich wird bei der Security-Ausbildung nicht genau genug berücksichtigt, was die Unternehmen brauchen, und die Unternehmen wissen nicht genug über die Security-Fachkräfte, die sich auf dem Markt befinden oder sogar im Unternehmen arbeiten.

Das bestätigt auch eine Umfrage der Information Systems Security Association (ISSA): Führungskräfte müssen demnach Cybersicherheit als Kernkomponente des Unternehmens annehmen, während CISOs ihre Mitarbeiter, Prozesse und Technologien näher an das Unternehmen heranführen müssen.

„Es gibt einen Mangel an Verständnis zwischen der professionellen Cyber-Seite und der geschäftlichen Seite von Organisationen, was das Problem der Lücken bei den Cyber-Fähigkeiten verschärft“, sagte Candy Alexander, Vorstandsvorsitzende von IVSS International. „Beide Seiten müssen die Cybersicherheitsbemühungen neu bewerten, um sie an den Geschäftszielen der Organisation auszurichten.“

EU entwickelt European Cybersecurity Skills Framework (ECSF)

Um die benötigten Security Skills weiterentwickeln und die passenden Security-Fachkräfte finden und richtig einsetzen zu können, brauchen Unternehmen und die Security-Branche ein gemeinsames Rollenverständnis für die benötigten Security-Funktionen.

Hier will das neue European Cybersecurity Skills Framework helfen, das zum Aufbau einer kompetenten Belegschaft für Cybersicherheit beitragen soll, so die Agentur der Europäischen Union für Cybersicherheit (ENISA). Es geht um ein gemeinsames Verständnis der Rollen, Kompetenzen, Fähigkeiten und Fachkenntnisse , die für eine berufliche Tätigkeit in diesem Bereich erforderlich sind.

Der Exekutivdirektor der ENISA, Juhan Lepassaar, sagte: „Die zukünftige Sicherheit unserer digitalen Welt wird stark von unserer Fähigkeit abhängen, ein effizientes und angemessenes Personal für Cybersicherheit aufzubauen. Durch die Verbesserung der Anerkennung von Fähigkeiten und die Unterstützung der Gestaltung der Cybersicherheit-bezogenen Schulungsprogrammen ist der neue Rahmen ein großer Schritt in die richtige Richtung.”

Mit insgesamt 12 identifizierten Rollen im Zusammenhang mit der Cybersicherheit untersucht das European Cybersecurity Skills Framework die damit verbundenen Verantwortlichkeiten, Fähigkeiten, Synergien und gegenseitigen Abhängigkeiten, die mit jedem dieser Profile verbunden sind. Das Framework unterstützt damit auch die Gestaltung von Schulungsprogrammen im Zusammenhang mit Cybersicherheit.

Die Ziele des Frameworks ECSF

Mit dem European Cybersecurity Skills Framework (ECSF) wird ein Grundstein gelegt für eine neue Strategie zur Schaffung der erforderlichen Security Skills. ENISA sieht als Vorteile:

Die Verwendung des ECSF gewährleistet eine gemeinsame Terminologie und ein gemeinsames Verständnis zwischen der Nachfrage (Arbeitsplatz, Einstellung) und dem Angebot (Qualifikation, Ausbildung) von Cybersicherheitsfachkräften in der gesamten EU.

Das ECSF unterstützt die Identifizierung kritischer Fähigkeiten, die aus Sicht der Arbeitnehmer erforderlich sind. Es ermöglicht Lernanbietern, die Entwicklung zu unterstützen, und politischen Entscheidungsträgern, gezielte Initiativen zu unterstützen, um die festgestellte Qualifikationslücke zu schließen.

Das Framework erleichtert das Verständnis der führenden professionellen Rollen im Bereich Cybersicherheit und der erforderlichen grundlegenden Fähigkeiten – einschließlich Soft Skills – und manchmal auch rechtlicher Aspekte. Insbesondere ermöglicht es Laien und Personalabteilungen, die Anforderungen an die Ressourcenplanung, Rekrutierung und Karriereplanung für die Unterstützung der Cybersicherheit zu verstehen.

Das Rahmenwerk fördert die Harmonisierung in der Ausbildung, Schulung und Personalentwicklung im Bereich Cybersicherheit. Gleichzeitig lässt sich diese gemeinsame europäische Sprache für den Kontext der Cybersicherheitskompetenzen und -rollen gut mit dem gesamten IKT-Berufsbereich verbinden.

Die ECSF trägt dazu bei, einen verbesserten Schutz vor Cyberangriffen zu erreichen und sichere IT-Systeme in der Gesellschaft zu gewährleisten. Es bietet eine Standardstruktur und empfiehlt, wie der Aufbau von Kapazitäten innerhalb des europäischen Cybersicherheitspersonals umgesetzt werden kann.