Deutsche Unternehmen haben inzwischen erkannt, dass es wachsenden Bedarf nach Sicherheit und auch für entsprechendes Personal gibt. Das sind für Winfried Holz gute Nachrichten, doch sowohl bei der Budgetfreigabe wie auch in der Personalabteilung sieht der CEO von Atos Deutschland noch ungelöste Fragen.
Die NSA-Affäre ist nun etwas mehr als ein Jahr alt: Am 5. Juni 2013 hat Edward Snowden begonnen, sein Wissen über die Abhörpraktiken des US-Geheimdienstes zu veröffentlichen. Mittlerweile hat sich die extrem emotional geführte Debatte um IT-Sicherheit glücklicherweise etwas versachlicht. Auch die Industrie-Analysten – allen voran PAC – haben sich inzwischen dem Thema angenommen. Damit werden nun die ersten Studien mit harten Fakten zum Stand der IT-Sicherheit in deutschen Unternehmen und Behörden veröffentlicht.
Die gute Nachricht vorweg: Das Thema IT-Sicherheit ist ein Führungsthema. 65 Prozent der von PAC befragten Unternehmen und Behörden gaben an, den Schutz und die Sicherheit ihrer IT-Infrastruktur auf Führungsebene zu diskutieren. Über IT-Sicherheit muss übergreifend und ganzheitlich entschieden werden, sonst bleibt sie lückenhaft und durchsetzungsschwach. Das Thema darf daher nicht in der Hoheit eines einzelnen Fachbereichs liegen.
Bei der Frage nach dem Bedrohungspotenzial werden vermehrt die eigenen Mitarbeiter als Bedrohungsurheber wahrgenommen. Als größtes technisches Risiko sehen die Befragten den Einsatz von mobilen Endgeräten und Cloud Computing, das größte organisatorische Risiko sind die Anwender. Die Bedrohung durch organisierte Kriminalität beziehungsweise durch Spionage wird zwar gesehen, deutsche IT-Manager messen dem Thema allerdings einen geringeren Stellenwert bei.
Interessant wird die Untersuchung von PAC, wenn es um die Frage nach den tatsächlichen Handlungen geht: Einerseits kennen die deutschen IT- und Sicherheitsverantwortlichen ihren Bedarf an neuen Schutzmaßnahmen, sie leiten daraus aber nicht automatisch konkrete und zeitnahe Projekte ab: 65 Prozent der Befragten beispielsweise benötigen Sicherheitslösungen für mobile Endgeräte, nur die Hälfte dieser Gruppe allerdings plant kurz- oder mittelfristig auch tatsächlich welche einzuführen. Das heißt, die Sensibilität ist zwar da, die Budgetfreigabe aber noch nicht.
Besonders schwierig wird es bei der Frage nach der Expertise: Die meisten Unternehmen sehen sich beim Thema Cyber-Security gut gerüstet. Allerdings mussten über 50 Prozent der Befragten zugeben, dass sie weder das Wissen noch die technischen Möglichkeiten haben, um in Echtzeit auf Attacken reagieren zu können. Einfach formuliert heißt das: Die Mauern der Burg sind dick, wenn aber ein gezielter und aufwändiger Cyber-Angriff kommt, ist der Burgherr machtlos. Um diesem Problem zu begegnen, planen die befragten Unternehmen und Behörden einerseits Schulungsmaßnahmen für Mitarbeiter und Partner. Andererseits wollen sie personelle Ressourcen im Sicherheitsumfeld ausbauen. 46 Prozent der Unternehmen und Behörden planen, personelle Ressourcen auf- bzw. auszubauen.
Wenn man die von PAC repräsentativ nach Branchen erhobenen Daten als Zukunftsszenario annimmt, dann kann eine unglaubliche Einstellungswelle folgen – nur wo sollen diese Experten herkommen? PAC hat für diese Umfrage gut 100 IT-Sicherheitsverantwortliche in deutschen Unternehmen und Behörden mit mehr als 1.000 Mitarbeitern befragt. Wenn alleine die einstellungsbereiten Unternehmen der Umfrage in den nächsten zwei Jahren jeweils einen zusätzlichen Sicherheitsspezialisten einstellen, dann wird es am Markt bereits schwierig qualifizierte Sicherheitsexperten zu finden. Rechnet man dann die Daten auf die deutsche Wirtschaft hoch, dann erwartet uns ein enormer Nachfragedruck auf dem Arbeitsmarkt, dem kaum nachzukommen ist.
Weniger als zehn von insgesamt über 400 Hochschulen in Deutschland bieten den Studiengang IT-Security an, daneben gibt es noch eine Reihe von Fortbildungsmaßnahmen. Diese Angebote werden allerdings absehbar die Nachfrage nach Sicherheitsexperten nicht decken können.
Zwei Erkenntnisse leiten sich hieraus für die IT-Branche ab. Erstens: Da der Arbeitsmarkt den Bedarf kurzfristig nicht bedienen kann, müssen Service Provider für IT-Security einspringen und mit ihren Consultants die Lücke schließen. Dies ist problemlos möglich, deckt den Bedarf aber nur übergangsweise.
Zweitens müssen wir langfristig das Ausbildungsangebot für IT-Security-Experten erhöhen. Viel mehr Hochschulen müssen sich auf dieses Fachgebiet spezialisieren und Lehrstühle für IT-Sicherheit einrichten. Alternativ müssen einschlägige Zertifizierungen und Weiterbildungen zur IT-Sicherheit für das bestehende IT-Personal genutzt werden.
Wenn wir konsequent und unternehmensübergreifend an diesem Ziel arbeiten und bedarfsgerecht praxisorientierte IT-Sicherheitsfachleute in Deutschland ausbilden und in den Unternehmen und öffentlichen Verwaltungen einsetzen, dann ist ein großer Schritt zur sicheren digitalen Wirtschaft getan.
Immer wenn ein IT Problem diskutiert wird, versucht man dieses mit neuen Dingen zu erledigen. Vorhandene Strukturen werden nur bei der Implementierung berücksichtigt, Fachwissen oder internes Personal wird überhaupt nicht genutzt. Sicherheit scheint da keine Ausnahme und wie schon bei Nachhaltigkeit oder Energie Themen wird auch dies nur zusätzliche Arbeit bringen. Wann fängt die Wirtschaft an IT Themen als Unternehmenskritisch einzuordnen und ernst zu nehmen? Solange IT nur ein Kostenfaktor bleibt kann man nicht auf Änderungen hoffen. Risiko wird immer noch nicht als Chance gesehen. Behörden und Regierungen meinen immer noch sie bräuchten nicht wirtschaftlich handeln. So lange sich die Denke nicht ändert brauch man sich über Sicherheit keine Sorgen zu machen.
Ein sehr interessanter Artikel, der insbesondere die Personalplaner, CIOs und Universitäten aufhorchen lässt oder besser “aufhorchen lassen sollte”. Doch lesen diese solche Informationen bzw. bestehen Ressourcen um die entsprechenden Initiativen zu ergreifen ?
Es wäre schön, wenn der fachlich kompetente Autor Herr Holz in einer der nächsten Beiträge auf die Unterschiede IT-Sicherheit (IT-Security), Sicherheit (Security) und Safety eingehen würde. Dies würde den Verantwortlichen helfen. Interessant wäre es auch zu diskutieren, wie die aktuelle Situation ist (KMUs brauchen zwar Security-Fachleute, haben aber dies noch nicht erkannt bzw. keine Ressourcen; werden studierte Personen benötigt oder eher Fachleute aus der Szene ? Welche Ausbildung haben die jetzigen Personen ? Werden die IT-Security-Mitarbeiter derzeit nicht auch für andere Tätigkeiten eingesetzt und fehlen somit für ihre ursprüngliche Aufgabe ?).
Hier schon mal ein Dank im Voraus.