Global Information Security Workforce Studie 2017

Großer Mangel an IT-Sicherheitsfachkräften

Dr. Adrian Davis führt das EMEA Team der (ISC)2, einer gemeinnützigen Organisation, die IT-Sicherheitsexperten weiterbildet und zertifiziert. Seine Schwerpunkte bilden das Management und Assessment von Informationssicherheit in Lieferketten und bei externen Dienstleistern, Governance und Effektivität der Informationssicherheit, die Rolle und Fähigkeiten von Informationssicherheitsexperten sowie das Assessement von möglichen kurzfristigen Bedrohungen, die Unternehmen gefährden.
Bis 2022 werden in Europa 350.000 Fachkräfte für IT-Sicherheit fehlen. Dies ergab die achte Global Information Security Workforce Study (GISWS), an der weltweit über 19.000 Experten für Cyber-Sicherheit teilnahmen.

Die achte Global Information Security Workforce Study (GISWS), mit weltweit über 19.000 teilnehmenden Cybersicherheits-Experten die größte ihrer Art, hat untersucht welche die Auswirkungen, die Cyberbedrohungen auf Unternehmen und Organisationen in der DACH-Region haben. Sie zeigt, wie schwer es Personalchefs haben, genügend qualifizierte neue Mitarbeiter zu finden, um ihre Organisationen schützen zu können. Die von Frost & Sullivan mit Unterstützung von (ISC)², Booz Allen Hamilton und Alta Associates für das Center for Cyber Safety and Education durchgeführte Studie prognostiziert in Europa bis zum Jahr 2022 einen Mangel an 350.000 Cybersicherheitsfachleuten.

Wenn IT-Sicherheitskräfte fehlen, haben Hacker leichtes Spiel.
Wenn IT-Sicherheitskräfte fehlen, haben Hacker leichtes Spiel.
Foto: nmedia - shutterstock.com

Ransomware als dringendstes Problem

Die 610 Befragten aus der DACH-Region gaben mit überwältigender Mehrheit Ransomware-Angriffe als wichtigstes Sicherheitsproblem an - ein Ergebnis, das mit Berichten des Bundesamtes für Sicherheit in der Informationstechnik, BSI, zum wachsenden Aufkommen solcher Angriffe übereinstimmt. Rund 60 Prozent der Befragten benannten Ransomware als ihr größtes Problem. In der Studie des BSI wird auf Basis der verfügbaren Daten angegeben, dass Ransomware-Angriffe auf Deutschland zwischen Oktober 2015 und September 2016 um das 10-fache zugenommen haben. Hier deckt sich also die Erfahrung der Befragten mit den Erkenntnissen des BSI.

Die Befragten gaben auch zu, dass die erforderliche Zeit zur Erkennung eines erfolgreichen Angriffs noch genauso lang sei, wie erstmalig 2015 angegeben. 34 Prozent der Befragten sagten nämlich, sie bräuchten zwei bis sieben Tage zur Problembehebung, und 21 Prozent gaben sogar an, sie wüssten gar nicht, wie lange sie für die Behebung bräuchten. Lediglich die Hälfte der Befragten aus der DACH-Region gab an, ihre Unternehmen seien besser vorbereitet als 2015.

Personal gesucht

Darüber hinaus sind Personalchefs bemüht, qualifizierte Mitarbeiter zu finden, denn fast zwei Drittel der Personalabteilungen der DACH-Region planen, das Personal in den nächsten zwölf Monaten aufzustocken, 25 Prozent von ihnen möchten ihre Mitarbeiteranzahl um zehn Prozent oder sogar mehr vergrößern. Der Großteil der Positionen ist dabei für Mitarbeiter ohne Führungsaufgaben vorgesehen.

Bei der Suche nach neuen Mitarbeitern bewerten Personalverantwortliche technisches Know-how höher als andere Qualifikationen, wobei 86 Prozent dieses als 'sehr wichtig' oder 'ziemlich wichtig' erachten. An zweiter Stelle stehen Kenntnisse zur Erarbeitung und Anwendung von Sicherheitsrichtlinien, die 68 Prozent mit 'sehr wichtig' oder 'ziemlich wichtig' bewerten.

Managementfähigkeiten wurden von 59 Prozent als 'sehr wichtig' oder 'ziemlich wichtig' gesehen, sie belegten damit den dritten Platz. Nur 36 Prozent suchen dezidiert nach Hochschulabsolventen. Insgesamt schätzen Arbeitgeber Kommunikationsfähigkeiten mit 62 Prozent am wichtigsten ein, gefolgt von analytischen Fähigkeiten mit 58 Prozent und Risikobewertung- und -Management mit 42 Prozent an dritter Stelle.

Unterschiedliche Prioritäten

Auf der anderen Seite bewerten Mitarbeiter andere Fähigkeiten höher. Mit 54 Prozent steht Cloud-Computing-Sicherheit an erster Stelle, gefolgt von Risikobewertung und -management mit 37 Prozent und Governance, Risikomanagement und Compliance (GRC) an dritter Stelle mit 35 Prozent, was auf eine Diskrepanz zwischen den Erwartungen der Personalchefs und den Fähigkeiten hinweist, die Mitarbeiter entwickeln möchten, um ihre Karriere voranzutreiben.

Vor allem der Karrieregesichtspunkt scheint hier für eine unterschiedliche Wahrnehmung zu sorgen. Während Personaler eher nach allgemeinen Fähigkeiten suchen, wollen sich potentielle Mitarbeiter lieber über ihre Kenntnisse profilieren.

Fazit

Es gibt echte strukturelle Probleme, die die Entwicklung des Arbeitsmarktes heute behindern und angegangen werden müssen. Besonders besorgniserregend ist dabei, dass Arbeitgeber scheinbar widerwillig in ihr eigenes Personal investieren und nicht bereit sind, weniger erfahrene Kandidaten einzustellen. Wenn wir nicht bereit sind, neue Talente zu entwickeln, werden wir nicht mehr in der Lage sein, die Wirtschaft und die Gesellschaft vor Cyberbedrohungen zu schützen. (haf)