Während sich die Bedrohungslage weiter verschärft, fehlt es an vier Millionen Cyber-Security-Spezialisten weltweit. Was können Unternehmen gegen den Fachkräftemangel tun?

In einer vielschichtigen und immer komplexeren Bedrohungslage sind die Mittel oft begrenzt. Selbst wenn Unternehmen ihre Prioritäten richtig setzen, kommt es neben den richtigen Tools und Prozessen immer noch auf den Faktor Mensch an. Aber die passenden Spezialisten für die eigene Cyber Security zu finden, ist heute schwerer denn je.

Vier Millionen Spezialisten fehlen weltweit

Arbeiten Menschen, Prozesse und Tools erfolgreich in Einrichtungen wie einem SOC (Security Operations Center) zusammen, sinkt das Bedrohungsrisiko von Unternehmen deutlich. Wahr ist aber auch, dass dieser Dreiklang laut der (ISC)² Cybersecurity Workforce Study aus dem Jahr 2020 erheblich verstimmt ist:

  • An die vier Millionen Cyber-Security-Experten fehlen weltweit.
  • 65 % der Befragten CISOs (Chief Information Security Officers) gaben an, dass sie händeringend Personal für wichtige Security-Aufgaben suchen.
  • 51 % sehen ihr Unternehmen einem mässigen bis extremen Risiko gegenüber Cybergefahren ausgesetzt.
  • Um 145 % müsste das personelle Angebot pro Jahr steigen, damit der steigende Bedarf in Zukunft gedeckt werden kann.
fachkraeftemangel
Wie bewerten Sie das aktuelle Angebot an Cyber-Security-Experten auf dem Arbeitsmarkt?

Die befragten Cyber Security Verantwortlichen berichten von Personalengpässen und daraus resultierenden Sicherheitsrisiken in ihren Unternehmen., Quelle: ISC²

In puncto Cyber Security herrscht also akuter Personalmangel. Qualifizierte Spezialisten sind schwer zu finden und wenn man es schafft, liegt das geforderte Gehalt oft sehr hoch.

Warum Tools keine Experten ersetzen

Für viele Unternehmen stellt sich damit die Frage, ob fortschrittliche Tools und Technologien die fehlenden Experten ersetzen können. Hoch im Kurs stehen Lösungen wie SIEM (Security Event and Information Management) oder Threat-Intelligence-Plattformen, die auch dank umfassender Datensammlungen dafür sorgen, dass sich potenzielle Angriffe besser voraussehen lassen.

Mehr noch: Laut diversen Studien sind sich bis zu 60 % der Unternehmen einig, das Big Data, Analytics und KI in der künftigen Absicherung und automatisierten Abwehr eine tragende Rolle spielen. Allerdings liegt hier auch ein grosser Irrtum begraben: Bei allen unterstützenden Tools muss es immer noch Menschen geben, die fundierte Entscheidungen treffen und alle Massnahmen lenken und überwachen.

  • Es braucht Cyber-Security-Analysten, die rohe Informationen über Malware und Angriffe auswerten, diese in nutzbare Bedrohungsdaten umwandeln und geeignete Massnahmen vorschlagen.
  • Architekten für Informationssicherheit, die die einzuhaltenden Sicherheitsstandards und Normvorschriften überprüfen und Konzepte entwickeln, wie diese im Unternehmen durchzuführen sind.
  • Penetrationstester und ethische Hacker, die das eigene Unternehmen auf Schwachstellen überprüfen.
  • Und Cyber-Forensiker, die die Spuren der Angreifer zurückverfolgen und untersuchen, wie der Zutritt ins Netzwerk möglich war.

Cyber Security verlangt viele Skills

Die Tätigkeitsbereiche sind also vielfältig. Dabei wirken die Experten nicht nur an der Entwicklung und Umsetzung von Konzepten und Strategien mit – sie müssen auch dafür sorgen, dass die definierten Sicherheitsaktivitäten effizient ablaufen. Dazu kommt die meist mit Reibung verbundene Aufgabe, zwischen der technischen und Managementebene zu vermitteln. Reale Anforderungen stehen hier meist mit den Kosten in Konflikt. Zusätzlich müssen sich die Sicherheitsexperten um die Sensibilisierung der Mitarbeitenden kümmern, die durch mangelndes Bewusstsein nicht selten das schwächste Glied der Abwehrkette sind.

Für all diese Anforderungen brauchen angehende Cyber-Security- Experten nicht zwingend ein Informatik-Studium oder Programmierkenntnisse – auch Quereinsteiger haben eine Chance. Young Professionals müssen vor allem wissbegierig sein, Probleme verstehen, vermitteln und geeignete Lösungen entwickeln können. Während es in den meisten mittelständischen Unternehmen nur einen IT-Sicherheitsbeauftragten gibt, der dann mehr oder weniger mit allen Bereichen überfordert ist, nutzen grosse Konzerne oder Behörden vermehrt Security Operations Center, in denen die Verantwortlichkeiten sinnvoll aufgeteilt sind.

Talente brauchen praxisnahe Förderung

Um den Personalmangel zu entschärfen, bieten auch immer mehr Universitäten spezielle Studiengänge für Cyber Security an. An der Hochschule Luzern können zukünftige Fachkräfte ihren Bachelor in Information and Cyber Security machen. In Zusammenarbeit mit der EPF Lausanne hat die ETH Zürich einen Master in Cyber Security im Programm.

Ob sich die strukturellen Probleme so schnell lösen lassen, bleibt allerdings fraglich. Bis das nötige Know-how aufgebaut ist, braucht es vor allem Zeit. Und neben der rein theoretischen Ausbildung auch eine gewisse Praxiserfahrung. Erfolgsversprechender könnte ein Ansatz sein, bei dem sich Unternehmen mit ihren Fachabteilungen und Spezialisten praxisnah in Forschung und Lehre engagieren. Zum anderen sollten Unternehmen auch auf interessierte Eigengewächse setzen, indem sie sich verstärkt auf deren Fortbildung im Bereich Cyber Security konzentrieren.

Zumindest mittel- und kurzfristig reicht das wohl alles nicht aus, um die klaffende Personal- und damit Sicherheitslücke zu schliessen. Denn in unterbesetzten Security-Abteilungen mangelt es nicht nur an Spezialwissen – meist arbeiten die Experten auch noch hart an der Belastungsgrenze, was natürlich keine gesunde Grundlage für die eigene Cyber Security ist.

Ein Fall für Managed Security Service Provider?

Eine externe Lösung, den Fachkräftemangel wirksam abzufedern, kann ein MSSP (Managed Security Service Provider) sein. Als spezialisierter Dienstleister bietet er umfassende Leistungen im Bereich der Cyber Security an, die sich in der Art, im Umfang und der Qualität vorab definieren und via SLAs (Service Level Agreements) vertraglich zusichern lassen. Zum Beispiel kann ein MSSP den rund um die Uhr-Betrieb eines SOC übernehmen oder sich auch um einzelne Bereiche kümmern.

Müsste ein Unternehmen diese 24/7-Bereitschaft mit eigenem Personal leisten, würde das ein Schichtsystem bei einer 7-Tage-Woche erfordern. Wer sich eigenes, spezialisiertes Know-how aufbauen möchte, muss ohnehin enorm viel Geld und Zeit investieren. Indem ein MSSP seine fest definierten Leistungen zu gut kalkulierbaren oder sogar fixen Kosten anbietet, lässt sich der eigene Aufwand am Ende sogar reduzieren.

So hilft der dedizierte Ansprechpartner für alle Fragen rund um die Sicherheit, akute und kommende Herausforderungen bei gleichzeitigem Mangel an technischen Fachkenntnissen zu lösen. Im Ergebnis erhalten Unternehmen Zugang zu einzigartigem Fachwissen und Spezialwerkzeugen, mehr Zeit und Fokus für das eigene Kernbusiness und auch noch einen Kostenvorteil.

Axians eröffnet im Oktober in Arlesheim ein neues Security Operations Center (SOC). Als Teil des internationalen Axians Netzwerks aus SOCs und über 300 Cyber-Security-Experten erhöht es nicht nur die eigene Resilienz gegen Cyber-Angriffe, sondern bietet ihren Kunden auch einen vollumfänglichen Managed Service in diesem Bereich. Axians ist die weltweite ICT-Marke von VINCI Energies.

Über den Autor

Mathias Bücherl, CTO der Axians Cyber Security & BI AG. Mathias Bücherl verfügt über langjährige Erfahrung im Bereich Managed Cyber Defense und Security Operation. In seiner Rolle leitet er die Bereiche Consulting, Product Management und Delivery und verantwortet den Aufbau des IT/OT SOCs der Axians in Basel. Zuvor war Mathias Bücherl sieben Jahre für die T-Systems International GmbH in München und Singapur im Bereich Cyber Security beschäftigt. Er war führend beim Aufbau des International Business & Portfolios in EMEA, APAC und Americas tätig. Sein Verantwortungsbereich reichte von Design, Implementierung und Verbesserung von globalen Consulting und Delivery Prozessen, Beratung von Kunden auf C-Level bis zum Lead beim Aufbau des SOCs in Singapur und Mexico-City.

Neben seinem beruflichen Engagement ist Mathias Bücherl als Dozent an der Hochschule Luzern und DHBW Stuttgart im Fachbereich Cyber Security tätig.

matthias buecherl

Mathias Bücherl, CTO der Axians Cyber Security & BI AG (Quelle: Axians)

Über Axians in der Schweiz

Die Axians-Unternehmensgruppe in der Schweiz ist Teil des globalen Markennetzwerks für ICT-Lösungen von VINCI Energies. Mit einem ganzheitlichen ICT-Portfolio unterstützt Axians Unternehmen, Kommunen, öffentliche Institutionen, Netzbetreiber und Service Provider bei der Modernisierung ihrer digitalen Infrastrukturen und Lösungen. In den Geschäftsbereichen in der Schweiz sorgen Berater, Entwickler und Techniker dafür, das Leben von Menschen zu verbessern – etwa durch Breitbandausbau, Cloud- und Data-Center-Infrastrukturen, Cybersicherheit, Enterprise Netzworks, IoT-Plattformen und führende Software die öffentliche Verwaltung.

2020: 839 Mitarbeitende // 20 Standorte

www.axians.ch

Über Axians

Axians unterstützt privatwirtschaftliche Unternehmen, öffentliche Einrichtungen, Netzbetreiber und Service Provider bei der Modernisierung ihrer digitalen Infrastrukturen und Lösungen. Ob Applikationen oder Data Analytics, Unternehmensnetze, Shared Workspace, Data Center, Cloud-Lösungen, Telekommunikationsinfrastrukturen oder Internetsicherheit – Axians ist Spezialist für alle aktuellen Informations- und Kommunikationstechnologien! Durch Beratung, Planung, Integration und eine breite Palette von Dienstleistungen erschliesst Axians den vollen Mehrwert dieser Technologien in Form bedarfsgerechter Lösungen für den Kunden. Axians ist eine Marke von VINCI Energies.

2020: 2,6 Milliarden Euro Umsatz // 12.000 Mitarbeiter // 25 Länder

www.axians.com

Über VINCI Energies

Netzwerke, Performance, Energieeffizienz, Daten: In einer sich ständig verändernden Welt legt Vinci Energies den Fokus auf die Implementierung neuer Technologien. Zwei Entwicklungen werden besonders unterstützt: digitale Transformation und Energiewende.

Die 1.800 regional verankerten, agilen und innovativen Business Units von Vinci Energies erhöhen jeden Tag die Zuverlässigkeit, Sicherheit und Effizienz von Energie-, Verkehrs- und Kommunikationsinfrastrukturen, Fabriken, Gebäuden und Informationssystemen.


2020: 13,7 Milliarden Euro Umsatz // 83.800 Mitarbeiter // 1.800 Business Units // 55 Länder

www.vinci-energies.com