5-3-2015 Gedruckt am 28-02-2017 aus www.monitor.co.at/index.cfm/storyid/16289

Fehlende Fachkräfte und Qualifizierungsmängel

Fällt IT-Sicherheit dem Sparstift zum Opfer?

Während weltweit das Bedrohungspotential von Cyber-Angriffen wächst, schrumpfen gleichzeitig die Mittel der IT-Sicherheit. Eine sehr problematische Entwicklung, denn die zunehmende Vernetzung von Personen, Organisationen und Geräten hat Unternehmen in eine IT-Abhängigkeit getrieben, die deren Verwundbarkeit durch feindliche Angriffe von außen entscheidend gefördert hat.

Foto: NTT Com

Wird nicht zielstrebig und organisiert gegen diese Gefahrenherde vorgegangen, dürfte sich diese Situation in den kommenden Jahren noch verschärfen. Meldungen über immer ausgefeiltere Attacken nehmen zu, viele Angriffe bleiben teilweise auch völlig unerkannt und unberechtigte Dritte haben jahrelang Zugriff auf sensibelste Unternehmensdaten, ohne dass jemand dieses bemerkt. Vorstände, CIOs und IT-Sicherheitsverantwortliche werden hier vor eine erhebliche Herausforderung gestellt. Unternehmensintern lassen sich solche Probleme kaum mehr effektiv ohne Hilfe von externen Spezialisten lösen. Die Gründe: Mängel in der Qualifizierung des eigenen Personals und einglobal um sich greifender Fachkräftemangel im Bereich der Informationssicherheit. 

Mangel und Verknappung bei wachsendem Markt

Die Verfolgung kurzfristiger Strategien in den Bereichen Schulung und Investitionen hat in den IT-Sicherheitsabteilungen vieler CIOs zu Qualifizierungsmängeln geführt. Einer Umfrage des ISACA 2014 APT Reports zufolge haben im Jahr 2014 62 Prozent der Unternehmen ihre Investitionen in die eigene IT-Sicherheit nicht verstärkt. Dabei haben sich die Schäden durch Cyber-Angriffe von 2012 bis 2013 mehr als verdoppelt.
 
Eine andere Studie, der Global ThreatIntelligence Report der NTT Group, kam zu dem Ergebnis, dass 77 Prozent aller befragten Unternehmen bei einem erkannten Angriff nicht über einen entsprechenden Krisenreaktionsplan verfügen. Wo die Defizite solcher IT-Sicherheitsabteilungen – und ihrer Fachkräfte – liegen, lässt sich einfach ableiten. Hier müssen IT-Sicherheit und Risikomanagement optimiert und stärker in den Fokus des Managements gerückt werden. Ebenfalls sollte die Ressourcenverteilung überprüft und priorisiert werden.
 
Doch auch der Arbeitsbereich der Neurekrutierung von IT-Fachkräften hat sich in den letzten Jahren zu einem Problemfeld entwickelt. Eine Ursache hierfür liegt in der globalen Verlagerung der Standorte der Hard- und Software-Produktion. Viele IT-Unternehmen verlegten ihre Produktion Mitte der 90er Jahre nach Indien. In der Folge kam es an zahlreichen westlichen Hochschulen – besonders deutlich zwischen 1998 und 2000 – zu einem Rückgang von Studienanfängern in IT-Bereichen – darunter auch: die IT-Sicherheit. Daraus resultiert eine Fachkräfte-Verknappung in der gesamten westlichen Welt, die erst in einigen Jahrzehnten behoben sein wird.
 
Doch auch bei schnellem und vorausschauendem Handeln der Unternehmen hätten sie die derzeitige Entwicklung auf dem internationalen Arbeitsmarkt allenfalls abmildern, keinesfalls aber vollständig verhindern können. Schon jetzt klafft auf dem Arbeitsmarkt für IT-Sicherheitsexperten eine gewaltige Lücke zwischen Angebot und Nachfrage, die aufgrund des wachsenden Bedrohungspotentials durch Cyber-Angriffe stark angewachsen ist. So kann in den kommenden Jahren kaum mit einer vollständigen Besetzung der von Behörden und der Industrieausgeschriebenen Stellen gerechnet werden.

Erhöhtes Bedrohungspotenzial weltweit

Weltweit sehen sich Unternehmen einer wachsenden Zahl von Cyber-Angriffen ausgesetzt. Allein im Jahr 2013 stieg die Zahl der Sicherheitsverstöße, laut dem World Economic Forum sogar um 62 Prozent. Allein in den letzten fünf Jahren waren rund 2,5 Milliarden Datensätze dem Zugriff von unbekannten Dritten ausgesetzt.
 
Laut dem Cisco 2014 Annual Security Report sind derzeit weltweit immer noch rund eine Million Stellen im IT-Sicherheitsbereich unbesetzt. Da gut ausgebildete IT-Sicherheitskräfte Mangelware sind, wird sich in naher Zukunft nur wenig daran ändern. Während die Auswirkungen noch eine Weile Bestand haben, wird die Bedrohungslage weiterhin zunehmen, während Unternehmensnetzwerke immer komplexer und damit schwerer zu kontrollieren sind.
 
Der Fachkräftemangel wird sich zwangsläufig auch auf reguläre Geschäftsabläufe auswirken und diese stören. Um  Bedrohungspotentiale frühzeitig zu erkennen und einzudämmen, werden IT-Sicherheitsexperten benötigt, um riesige Mengen von Daten zu analysieren und auszuwerten. Unternehmen, die hier eine Lösung finden, können die Gefährdungslage ihres gesamten Betriebes erfassen und Problemfelder zielgerichtet – und damit kosteneffizient – angehen. So können Risiken minimiert und Kosten gesenkt werden.

Managed Security Services (MSS) als Ausweg aus der Misere?

Einige Unternehmen haben sich mittlerweile für Managed Security Service Provider (MSSPs) entschieden, um dem Personalengpass zu begegnen. Sich einen MSSP, also IT-Sicherheit über einen Drittanbieter, zu mieten, bietet – auch abseits des Fachkräftemangels – einige Vorteile. Als eigenständige Partei bietet er die Gewähr, unparteiische Gutachten und Bewertungen über die Gefährdungslage und die Sicherheitsarchitektur des Unternehmens abgeben zu können. Seine Mitarbeiter sind Spezialisten auf ihrem jeweiligen Arbeitsfeld und werden über ihre Fachgebiete stets auf dem Laufenden gehalten. Durch Schulungen und Arbeitserfahrungen sind sie optimal darauf vorbereitet, mit allen Ebenen eines Unternehmens zu kommunizieren und Sicherheit zielgerichtet zu implementieren. Sie können Schulungen und Fortbildungen professionell durchführen und Qualifizierungsmängel innerhalb der bestehenden IT-Sicherheitsabteilungen nachhaltig eindämmen.
 
Doch ist MSSP nicht gleich MSSP. Unternehmen, die sich für externe Anbieter interessieren, sollten Angebote zunächst eingehend prüfen, um sicherzustellen, dass die Dienstleistung des MSSP sich effektiv in das Geschäftsmodell und die strategischen Ziele des Unternehmens integrieren lässt. In einer Zeit, in der IT-Sicherheit kaum noch zufriedenstellend gewährleistet werden kann, können MSSPs einen entscheidenden Baustein liefern, um den Alltag eines Unternehmens und seiner Mitarbeiter ein gutes Stück sicherer zu machen.
 
Der Autor


Frank Brandenburg ist Senior Vice President Central Europe bei NTT Com Security

www.nttcomsecurity.com