Budget- und Personalmangel erschwert Umsetzung von NIS-2 & Co
Es fehlt spezialisiertes Personal an allen Ecken und Enden, um sicherheitsrelevante Anforderungen seitens der EU-Kommission fristgerecht umzusetzen.
Eine weltweite Umfrage des Personaldienstleisters Hays unter rund 1.000 CISOs ergab, dass mehr als die Hälfte der Security-Entscheider zwar ihr Team im Jahr 2023 aufgestockt hatten, im laufenden Jahr aber keine liquiden Mittel mehr haben, um weitere Fachkräfte mit Cybersecurity-Know-how anzuheuern. Was ihnen angesichts der anstehenden EU-Regularien ziemliche Sorge bereitet. Schließlich ruft ein erfahrener Experte Brutto-Jahresgehälter ab 100.000 Euro aufwärts ab.
Risikoorientiert vorgehen
Daher braucht es aktuell vor allem viel Pragmatismus gepaart mit strategischem Weitblick, um die Qualifikationslücken über eine möglichst kluge Personaleinsatzplanung zu schließen. Zunächst geht es um die Aufgabenpriorisierung. IT-Entscheider sollten überlegen, was sofort angegangen werden muss und wo die größten Kompetenzengpässe schlummern. „Grundsätzlich sollte man von Anfang an risikoorientiert vorgehen“, rät Pia Zachary, Beraterin bei der Business und IT-Beratung Metafinanz. Das bedeutet, Unternehmen sollten ihre Simulationstests nicht nur durchführen, um potenzielle Angriffsszenarien zu kennen, sondern auch um zu identifizieren, welches Know-how intern fehlt. Diese Tests zur reellen Risikoabschätzung überlassen vor allem kleinere Firmen schon jetzt vielfach externen Beratungen – nicht nur aus Personalgründen. „Man möchte sich zuvor absichern, bevor man am offenen Herzen operiert,“ sagt Peggy Jacobs von Metafinanz.
Auch Alexander Raschke, Vorstand des Personaldienstleisters für IT-Experten Etengo nimmt zunehmend wahr, wie externe Sicherheitsexperten in Vorbereitung auf die NIS2-Richtlinie zu einem frühen Zeitpunkt mit am Tisch sitzen: „Wir erkennen das Muster, dass gerade vermehrt interne Leitungsgremien gebildet werden, die auch über das Staffing der Umsetzungsprojekte mitentscheiden.“ Vielen geht es darum, die interne Sichtweise, um eine neutrale Einschätzung zu ergänzen, aber auch um klar zu regeln, wer sich am Ende kümmert. „Wir spüren eine starke Nachfrage nach Themen wie ‘Due Diligence’ oder auch ‘Risikoanalysen’, die mit Fragen zu den Zuständigkeiten und der Verantwortung einhergehen“, sagt Pia Zachary.
Externe bringen neutralen Blick und Spezialwissen ein
Eine Taskforce aus internen und externen Security-Verantwortlichen sollte zudem in der Lage sein zu entscheiden, wie das Zusammenspiel einer Mixed Workforce rund um die Security-Strategie, die entsprechende Richtlinien sowie Governance-Modelle angesichts knapper Budgets konkret aussehen kann. Warum? Weil ein Unternehmen ansonsten Gefahr läuft, dass Strategie und spezifische Anforderungen auseinanderdriften. Das ist insbesondere für das Risikomanagement erfolgskritisch.
Experten sind sich einig, dass die interne IT-Organisation die Überwachung der richtlinienkonformen Prozesse übernehmen sollte, während die externe Workforce sich auf den gut abgrenzbaren ‘technischen Teil’, also die Steuerung und Überwachung der Netzwerk- und Informationssicherheit sowie das Identitätsmanagement konzentrieren kann. Spezialisierte Managed Service Provider sowie auch hochqualifizierte Selbständige verfügen über viel Erfahrung aus Ernstfällen und stehen im Bedarfsfall schnell zur Verfügung. Erprobte Konzepte wie Managed NOC oder Managed SOC zur Auslagerung komplexer Netzwerk- und Security-Aufgaben haben sich hier in der Vergangenheit bewährt.
Auch für die Durchführung der obligatorischen Audits und Mitarbeiter-Schulungen macht es wirtschaftlich wie kompetenztechnisch durchaus Sinn, externe IT-Beratungen damit zu betrauen. „Insbesondere Schulungen oder Assessments sind aufgrund der Neutralität geradezu prädestiniert für externe Lösungsansätze,“ weiß Alexander Raschke. Besonders spannend wird es bei technischen Assessments, die spezialisiertes Fachwissen erfordern, das über die übliche interne Qualifikation weit hinausgeht. Warum? Neben der reinen Wissensvermittlung können externe Berater punktgenau auf die spezifischen Abläufe im Unternehmen und den Status Quo des Sicherheitsniveaus eingehen.
Auch Drittdienstleister müssen ständig überwacht werden
In der Vergangenheit haben sich nicht wenige Unternehmen allerdings vehement dagegen gesträubt, ihre Mitarbeitenden regelmäßig in Security-Schulungen zu schicken. Es kostete zu viel Zeit und Geld. Dabei dürften die Kosten für die präventive Sensibilisierung der Mitarbeitenden im Vergleich zu den potenziell um ein Vielfaches höheren Kosten eines Cyberangriffs vernachlässigbar sein. Aber wer jetzt glaubt, durch das Outsourcing des Schulungsapparates lästigen Pflichten aus dem Weg zu gehen, der täuscht sich. „Häufig wird angenommen, dass mit dem Outsourcing auch die Verantwortung an den Dienstleister übergeht. Das stimmt nicht. Ich muss als beauftragendes Unternehmen fortlaufend prüfen, ob Services laut Vertrag erbracht wurden oder ob Mängel bestehen,“ so Peggy Jacobs.
Das tut dann der Einkauf als zuständige Fachabteilung. Der allerdings naturgemäß mit dem Thema Informationssicherheit und Risikomanagement gar nichts zu tun hat. Die fachübergreifende Zusammenarbeit kann hier inhaltlich unterstützen. Denn man darf nicht vergessen, dass mittlerweile auch Drittdienstleister für Hacker zu einer lukrativen Zielscheibe geworden sind. Trotz ausgelagerter, technischer oder risikobezogener Prozesse sollten Unternehmen also nicht davon ausgehen, dass sie mit dieser Maßnahme aus dem Schneider sind. Denn auch die permanente Kontrolle aller Abläufe kostet wiederum Zeit und Personal.