Befragung von 13.000 Spezialisten

Mangel an Experten verschlimmert die Lage der IT-Security

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Auch wenn das Thema IT-Sicherheit derzeit einen lange unbekannten Hype erlebt, sind die Aussichten in der Branche alles andere als rosig: Analysten prognostizieren 1,5 Millionen fehlende Security-Fachkräfte bis 2020 - damit steigen der Outsourcing-Druck und die Überlastung der Sicherheitsteams, die zu mehr Fehlern im Arbeitsalltag führt.

Die (ISC)², der weltgrößte Zusammenschluss von Security-Verantwortlichen und zertifizierten Fachkräften für IT-Sicherheit in Unternehmen, weist in seiner siebten "Global Information Security Workforce Study" (GISWS) einen eklatanten Expertenmangel bei einer sich zuspitzenden Gefährdungslandschaft aus. So hätten es Unternehmen und Organisationen wegen unterbesetzter Sicherheitsteams zunehmend schwerer, Bedrohungen abzuwehren, Fehler zu vermeiden und nach Cyberattacken wieder den Regelbetrieb aufzunehmen.

62 Prozent der von der Unternehmensberatung Frost & Sullivan im Auftrag der (ISC)² per Onlineformular befragten 13.000 Security-Experten weltweit sagten, dass ihre Organisation zu wenige IT-Sicherheitskräfte beschäftige, obwohl das Budget mehr Mitarbeiter zulasse. Dieser Wert hatte bei der letzten GISWS im Jahr 2013 noch bei 56 Prozent gelegen. Die Studie kommt zu dem Ergebnis, dass in den kommenden fünf Jahren insgesamt 1,5 Millionen Stellen für IT-Sicherheitsexperten unbesetzt bleiben werden, weil es keine geeigneten Bewerber gibt.

Die finanziellen Aufwendungen für IT-Sicherheit - für Technologie, Personal und Schulungen - steigen. Und das nicht nur, weil die Gehälter der verbleibenden Spezialisten wegen der erhöhten Nachfrage angehoben werden müssen, sondern auch, weil es immer mehr Systeme und Geräte vor Angriffen zu schützen gilt. Aber selbst, wenn Security in Form von Software oder externen Dienstleistungen eingekauft wird, ist das noch keine Garantie für die eigene Sicherheit - denn auch Hersteller und Anbieter dieser Services haben Probleme, mit der rasanten Entwicklung der Bedrohungen Schritt zu halten. Gleichwohl belegt die GISWS, dass Security-Outsourcing immer häufiger zum Mittel der Wahl wird, weil die innerbetrieblichen Kompetenzen nicht mehr aufgebaut werden können.

Weniger Leute = mehr Fehler

Die befragten Security-Verantwortlichen machen deutlich, dass unangenehme Begleiterscheinungen dieser Gesamtentwicklung auch sind, dass es intern immer häufiger zu Konfigurationsfehlern und anderen Versäumnissen komme. Studienautor Mike Suby von Frost & Sullivan, zieht ein warnendes Fazit: "Insgesamt gesehen reicht es nicht aus, in Sicherheitstechnologien, Fachkräfte und Outsourcing zu investieren, um der rein reaktiven Rolle zu entkommen, in der das Berufsfeld der Informationssicherheit derzeit steckt." Und David Shearer, Executive Director des (ISC)² ergänzt: "Jahr um Jahr hat die Studie einen Fachkräftemangel belegt; jetzt stellen wir allerdings fest, dass dieser Mangel durch andere, immer dringlichere Probleme noch verschärft wird, wie zum Beispiel Konfigurationsfehler und Versäumnisse, die sich negativ auf die Sicherheitslage globaler Unternehmen auswirken können."

Die vollständige GISWS-Studie lässt sich bei (ISC)² herunterladen.