Neue Studie: Cybervorfälle lassen Sicherheitsteams schrumpfen

Sicherheitsabteilungen haben traditionell mit knappen IT-Budgets, Fachkräftemangel und einem hohen Arbeitsaufkommen zu kämpfen. Oft sind Sicherheitsexperten durch die schiere Anzahl zeitraubender Warnmeldung einfach überfordert. Ein weiteres Problem, das die Branche plagt, ist die Bindung qualifizierter Mitarbeiter. Eine aktuelle Studie hat jetzt ergeben, dass dieses Phänomen in direktem Zusammenhang mit der Zunahme an Cybervorfällen steht, die wir in den letzten Jahren beobachten konnten.

Die Umfrage „State of Cybersecurity 2021 Part 1“ die diese Woche auf der ersten ISACA-Konferenz vorgestellt wurde, zeigt, dass 53 % der IT-Sicherheitsteams im vergangenen Jahr Schwierigkeiten hatten, Fachkräfte langfristig zu binden. Dabei nannten die Befragten „unzureichende Remote-Arbeitsmöglichkeiten“ als einen Kündigungsgrund.

61 % der Befragten gaben an, dass ihre Cybersicherheitsteams unterbesetzt sind, und 55 % haben unbesetzte Stellen im Bereich der Cybersicherheit. Die Hälfte beklagte, dass Bewerber für Stellen in der Cybersicherheit nicht ausreichend qualifiziert sind. Erschwerend kommt hinzu, dass nur 31 % der Befragten bei ihren Personalabteilung ein Verständnis ihrer Anforderungen an Bewerber für Sicherheitspositionen sehen.

Das Interessante – und leider auch Ironische – daran ist, dass es offenbar einen Zusammenhang zwischen Personallücken und Cyberangriffen gibt. Von den Befragten, die in der Vergangenheit einen Anstieg in der Zahl der Cyberangriffe zu verzeichnen hatten, gaben 68 % an, etwas oder deutlich unterbesetzt zu sein, 63 % berichteten von Schwierigkeiten, qualifizierte Cybersicherheitsexperten an das Unternehmen zu binden.

„Das vergangenen Jahr hat noch einmal verdeutlicht, wie wichtig der Beitrag ist, den die Cybersicherheit zur Aufrechterhaltung des Unternehmensbetriebs leistet. Dennoch ist es so schwierig wie eh und je, diese Teams adäquat zu besetzen“, so Jonathan Brandt, der beim Berufsverband ISACA für die IT-Sicherheitsbranche zuständig ist. „Als Teil einer globalen Community aus Cybersicherheitsexperten müssen wir zusammenkommen und überdenken, wie wir die Cyber-Führungskräfte der Zukunft einstellen, ausbilden und an unsere Unternehmen binden, um sicherzustellen, dass unsere Mitarbeiter für die sich wandelnden Herausforderungen der Cybersicherheit gewappnet sind.“

Nur rund ein Viertel der Umfrageteilnehmer gab an, dass frische Absolventen im Bereich Cybersicherheit die notwendigen Voraussetzungen mitbringen, 58 % gaben dennoch an, dass sie für Einstiegspositionen im Bereich Cybersicherheit einen Hochschulabschluss voraussetzen. Die Befragten wiesen darauf hin, dass sie bei der Entscheidung über die Qualifikation eines Bewerbers auch Erfahrungen im Bereich Cybersicherheit, Referenzen und Praxistraining berücksichtigen.

Die drei häufigsten Qualifikationslücken finden sich im Bereich Soft Skills (56 %), Security Controls (36 %) und Softwareentwicklung (33 %). Um diesen Defiziten entgegenzuwirken, gehen Unternehmen dazu über, an Sicherheitsaufgaben interessierte Mitarbeiter aus anderen Bereichen selbst zu schulen. Darüber hinaus fördern sie immer häufiger auch Umschulungsprogramme und suchen Outsourcing-Alternativen, bieten leistungsbasierte und praxisorientierte Schulungen an und setzen zunehmend auf KI und Automatisierung.