Gorodenkoff - stock.adobe.com
Die Qualifikationslücke bei der Cybersicherheit beheben
Der Mangel an qualifizierten Fachkräften in der Cybersicherheit kann Unternehmen gefährden. Und es ist nicht wirklich Besserung in Sicht. Wie lässt sich das Risiko entschärfen?
Es ist kein Geheimnis, dass Unternehmen mit einem großen Mangel an qualifizierten Mitarbeitern im Bereich Cybersicherheit konfrontiert sind. Schon seit einigen Jahren ist bekannt, dass viele gut bezahlte Stellen, die Cybersicherheitskenntnisse erfordern, nicht besetzt werden können.
Eine Studie von ISC2 hat im Jahr 2025 ergeben, dass die Besetzung von Einstiegspositionen im Bereich Cybersicherheit in Deutschland in der Regel ein bis drei Monate dauern. Geht es um Positionen der unteren Ebene, dann dauere es vier bis sechs Monate bis diese besetzt werden könnten. Geht es um die am häufigsten genannten Entwicklungsangebote für Einsteiger und Nachwuchskräfte im Bereich Cybersicherheit, dann würden Zertifizierungskurse und -schulungen genannt.
In einem Bericht des Weltwirtschaftsforum aus dem Jahr 2024 heißt es, dass zwei Drittel der Unternehmen aufgrund von fehlenden Kenntnisse der Cybersicherheit zusätzlichen Risiken ausgesetzt sind.
Leider hat die Berichterstattung über die Qualifikationslücke im Bereich der Cybersicherheit nicht ausgereicht, um die Zahl der Beschäftigten im Bereich der Cybersicherheit zu erhöhen. Das spiegelt sich in der Belastung der derzeitigen Belegschaft wider. Leider hat die Bekanntmachung des Fachkräftemangels im Bereich Cybersicherheit in Unternehmen nicht ausgereicht, um die Zahl der Beschäftigten in diesem Bereich zu erhöhen – was sich auch in der Belastung der derzeitigen Belegschaft widerspiegelt. Laut einer Umfrage der Information Systems Security Association (ISSA) und des Analyseunternehmens Enterprise Strategy Group, das mittlerweile zu Omdia gehört, gaben 65 Prozent der Cybersicherheitsexperten an, dass ihre Arbeit in den letzten zwei Jahren schwieriger geworden ist, wobei 27 Prozent angaben, dass ihre Arbeit sogar deutlich schwieriger geworden ist.
Die Qualifikationslücke in der Cybersicherheit und ihre Auswirkungen
Der Mangel an Fachkräften im Bereich Cybersicherheit, eine steigende Arbeitsbelastung für die bestehenden Cybersicherheitsteams, viele offene Stellen und ein hohes Maß an Burnout haben dazu geführt, dass Unternehmen, Behörden, Bildungseinrichtungen und andere Organisationen weniger sicher sind. Infolgedessen sind ihre Mitarbeiter, Kunden und Bürger einem erhöhten Risiko von Datenverstößen, Datenschutzverletzungen, Finanzbetrug und anderen negativen Folgen ausgesetzt.
Um dieser Problematik zu begegnen, muss man verstehen, warum der Mangel an Fachkräften für Cybersicherheit weiterhin besteht. Dieser Artikel untersucht dieses Dilemma und schlägt mehrere Ansätze vor, wie IT-Führungskräfte und ihre Unternehmen die zugrunde liegenden Probleme angehen können.
Die Gründe für den Fachkräftemangel in der IT-Sicherheit
Das Defizit an Kenntnissen und Fähigkeiten im Bereich der Cybersicherheit ist auf viele Faktoren zurückzuführen. Hier sind die fünf wichtigsten Ursachen:
- Die Nachfrage nach Fachkräften im Bereich der Cybersicherheit steigt ständig. Nicht nur ist fast jedes Unternehmen vollständig von Technologie abhängig geworden, sondern die Technologie wird auch immer komplexer. Der Schutz der heutigen Systeme, Netzwerke und Daten vor Cyberangriffen ist schwieriger denn je, da noch mehr Sicherheitstechnologien und -prozesse miteinander kombiniert werden müssen. Daher müssen die Unternehmen ihre Mitarbeiter aufstocken und über ein breiteres Spektrum an Fähigkeiten verfügen als je zuvor. Das gewinnt durch die zunehmende Nutzung von Cloud Computing und KI noch an Komplexität.
- Dem Pool an Talenten im Bereich der Cybersicherheit fehlt es an Vielfalt. Laut einer ISC2-Studie sind weltweit nur etwa 25 Prozent der Beschäftigten im Bereich der Cybersicherheit weiblich. Eine weitere ISC2-Studie ergab, dass die Diversität in den Cybersecurity-Teams zwar zunimmt, aber nur langsam voranschreitet. Der Studie zufolge sind 70 Prozent der Cybersicherheitsmitarbeiter, die 60 Jahre und älter sind, weiße Männer, 13 Prozent weiße Frauen, 15 Prozent nicht-weiße Männer und 2 Prozent nicht-weiße Frauen.
- Die Erwartungen der Arbeitgeber sind unrealistisch. Stellenbeschreibungen im Bereich Cybersicherheit erfordern oft einen Hochschulabschluss, mehrere Zertifizierungen und jahrelange Erfahrung in einer Vielzahl von Sicherheitsdisziplinen. Viele Kandidaten, die für Unternehmen von Vorteil wären, bewerben sich nicht auf diese Stellen, weil sie davon ausgehen, dass die Anforderungen wirklich erforderlich sind. Andere bewerben sich zwar, erhalten aber nicht einmal einen Rückruf, weil ihnen ein Abschluss oder ausreichende praktische Erfahrung fehlt.
- Die Mitarbeiter halten ihre Fähigkeiten nicht auf dem neuesten Stand. Die Herausforderungen, denen sich Arbeitgeber stellen müssen, ändern sich im Laufe der Zeit, beispielsweise die zunehmende Abhängigkeit von der Cloud-Sicherheit und die sich entwickelnden Bedrohungen für Daten und Systeme. Doch die Mitarbeiter sind so überlastet, dass sie oft nicht die Möglichkeit haben, neue Fähigkeiten zu erlernen, an Schulungen teilzunehmen, Online-Kurse zu belegen oder neue Zertifizierungen zu erwerben. Und dabei geht es nicht nur um technische Fähigkeiten, sondern auch um Soft Skills wie Kommunikation.
- Experten für Cybersicherheit wechseln den Beruf. Alarmierend ist, dass laut ISSA und Enterprise Strategy Group zwei Drittel der Beschäftigten im Bereich Cybersicherheit aktiv darüber nachdenken, ihren Job zu kündigen, und über ein Drittel plant, sich beruflich komplett neu zu orientieren. Es gibt ein großes Problem mit der Mitarbeiterbindung, das zum großen Teil auf den ständigen Personalmangel und den unglaublichen Druck in vielen Berufen im Bereich Cybersicherheit zurückzuführen ist. Wenn Menschen den Fachbereich verlassen, verschärft sich der Mangel noch weiter, was wiederum dazu führt, dass noch mehr Menschen den Fachbereich verlassen.
Wie Unternehmen die Qualifikationslücke schließen können
Ein kurzfristiges Schließen der Qualifikationslücke in Sachen Cybersicherheit in Unternehmen wird eher schwierig. Aber Unternehmen können mit einigen Maßnahmen dafür sorgen, dass sich die Situation absehbar verbessert.
Die Suche nach Talenten erweitern. Stellen Sie sicher, dass Ihre Einstellungs- und Rekrutierungspraktiken der Vielfalt der Gesellschaft Rechnung tragen. Dies beinhaltet auch einzelne Gemeinschaften, die bislang in der IT oft unterrepräsentiert sind, gezielt anzusprechen. Informieren Sie die Mitglieder dieser Gemeinschaften über die Vielfalt der Möglichkeiten im Bereich der Cybersicherheit und zeigen Sie ihnen, wie sie in die Belegschaft eintreten können. Denken Sie über Partnerschaft oder Initiativen mit Bildungseinrichtungen wie Fachhochschulen, Universitäten oder anderen Ausbildungsstätten nach.
Fähigkeiten intern aufbauen. Unternehmen können auf einen viel größeren Pool von Arbeitskräften zurückgreifen, wenn sie die Stellenanforderungen lockern und stattdessen den Aufbau von Cyberfähigkeiten intern planen, indem sie Mitarbeitern Schulungen, Weiterbildungen und Zertifizierungen anbieten, um sie auf den neuesten Stand zu bringen. Geben Sie Hochschulabsolventen, erfahrenen Mitarbeitern, Quereinsteigern und Personen mit Interesse und Eignung für Cybersicherheit die Möglichkeit, zu lernen und sich weiterzuentwickeln. Hochschulabschlüsse, Zertifizierungen und mehrjährige Erfahrung sind für den Erfolg in den meisten Positionen im Bereich der Cybersicherheit nicht erforderlich.
Fördern Sie Ihre vorhandenen Talente. Burnout ist heute in vielen Organisation weit verbreitet. Insbesondere bei einem solchen Mangel an qualifizierten Mitarbeitern ist es für jeden, der unzufrieden ist, ein Leichtes, Ihr Unternehmen zu verlassen und anderswo eine bessere Chance zu finden. Umso schwerer wird es dann, ein kritisches Maß an Cybersicherheit aufrecht zu erhalten. Unternehmen müssen sich in diesen Zeiten auch darauf konzentrieren, Mitarbeiter zu halten.
Im Folgenden finden Sie einige Strategien, mit denen Sie Ihre bestehenden Mitarbeiter unterstützen können, damit sie nicht so leicht abwandern:
- Wann immer möglich, sollten Sie Routineaufgaben automatisieren - insbesondere solche, die sich wiederholen, langweilig sind oder viel Stress verursachen. Auf diese Weise können Sie Ihren Personalbedarf verringern und Ihren Mitarbeitern interessante, weniger stressige Aufgaben geben.
- Ziehen Sie die Inanspruchnahme von verwalteten Sicherheitsdiensten (Managed Security Services) in Betracht, insbesondere für die Überwachung außerhalb der Geschäftszeiten, die Analyse und die Reaktion auf Zwischenfälle. Kleine Unternehmen sollten den größten Teil ihrer Sicherheitsdienste auslagern, um den Bedarf an speziellem Security-Personal zu verringern und stattdessen ihr IT-Personal so zu schulen, dass es auch gelegentliche Security-Aufgaben übernehmen kann.
- Bei besonders belastenden oder anspruchsvollen Positionen sollten Sie die Möglichkeit einer Job-Rotation in Betracht ziehen. Ein Beispiel ist die Rotation von Sicherheitspersonal nach zwölf oder 18 Monaten in eine Position, die nichts mit dem operativen Geschäft zu tun hat. Dies kann dazu beitragen, Burnout vorzubeugen, und gibt den Mitarbeitern die Möglichkeit, zusätzliche Fähigkeiten zu erwerben, die sie für Ihr Unternehmen noch wertvoller machen.
- Wenn Ihre Mitarbeiter Urlaub nehmen, krank oder anderweitig abwesend sind, dann lassen Sie sie auch tatsächlich abwesend sein. Jeder braucht eine Auszeit von der Arbeit. Von den Mitarbeitern zu erwarten, dass sie sich während ihrer Abwesenheit ständig melden - und vor allem auf Abruf zur Verfügung stehen oder operative Unterstützung leisten - ist ihnen gegenüber unfair und wird mit Sicherheit zu Unmut führen. Dies mag für manche in der IT eine große kulturelle Veränderung bedeuten, aber es wird sich wahrscheinlich lohnen, sowohl für die Bindung bestehender Mitarbeiter als auch für die Gewinnung neuer Mitarbeiter.
