Rund 50 Prozent der Unternehmen fürchten massive Probleme durch fehlende IT-Security-Fachkräfte. Dem Global Risks Report 2019 des Weltwirtschafts-Forums in Davos zufolge zählen Datenbetrug und -diebstahl mittlerweile zum drittgrößten Risiko für die Weltwirtschaft, dicht gefolgt von anderen Internetattacken. Den Schaden schätzen Experten für die vergangenen beiden Jahre auf fast 45 Milliarden Euro. Es gibt jedoch Abhilfen, um die Folgen dieser Entwicklung zumindest zu relativieren.
Einer der wesentlichen Bremsklötze für den Aufbau von mehr IT-Kompetenzen im Sicherheits-Bereich in den Unternehmen ist nach dem Bericht „Benchmarking Workforce Capacity and Response to Cyber-Risk“ von Frost & Sullivan das Unverständnis für die Anforderungen und die benötigten Qualifikationen beim Management. Über 42 Prozent der Befragten weltweit und 41 Prozent der europäischen Studien-Teilnehmer nannten diesen Faktor an zweiter Stelle der Behinderungen. Dicht gefolgt von dem Problem, überhaupt die entsprechenden Fachkräfte auf dem leer gefegten Personalmarkt zu finden.
Nach der Meinung der Personalberatung Skillsoft, nach eigenem Profil ein „weltweit führender Anbieter von Cloud-basierten Weiterbildungs- und Performance-Support-Lösungen“, sollte daher einer der ersten Schritte für Sicherheitsinitiativen sein, das Management mit aussagekräftigen Informationen und Fakten zu überzeugen. Dass in dieser Hinsicht ein extremer Handlungsbedarf vorhanden ist, zeigen einschlägige Untersuchungen von Marktforschungs-Unternehmen. So werden beispielsweise bis 2022 dem IT-Sicherheitsbereich alleine in Europa mehr als 350.000 qualifizierte Arbeitnehmer fehlen. Skillsoft nennt daher unter anderem folgende Maßnahmen, um dieses Problem zu bewältigen:
(1) Gezielte Weiterbildung: Der Ansatz soll sich sowohl bei der Kandidatensuche als auch bei vorhandenem Personal anwenden lassen. Es empfiehlt sich, zu prüfen, welche Vorkenntnisse und Fähigkeiten Mitarbeiter und Bewerber haben, die mit einem überschaubaren Maß an Zusatzqualifikationen ausgebaut werden könnten. Angebote für Weiterbildung und Zertifizierungen gibt es in digitalen Formaten, die zeit- und ortsunabhängig in den Arbeitsalltag integriert werden können. Wichtig ist außerdem, den Kandidaten die Karriere-Möglichkeiten für IT-Sicherheitsexperten aufzuzeigen.
(2) Entlastungs-Maßnahmen: Dem ständigen Risiko, wichtige Mitarbeiter durch Abwerbung zu verlieren, sollte durch eine Minderung ihrer Arbeitsbelastung mit häufig zunehmendem Stress und Ressourcendruck entgegengetreten werden. Denn generell nimmt die Arbeitsbelastung der IT-Experten zu.
Allein die Aktualisierungen von Sicherheits-Updates oder das sichere Onboarding von Geräten und Komponenten in zunehmend komplexeren IT-Umgebungen sind eine nie endende Sisyphos-Aufgabe. Der Qualifikationsaufbau bei mehr Mitarbeitern kann dazu beitragen, die vorhandenen Experten zu entlasten und im Unternehmen zu halten. Ein weiterer Ansatzpunkt ist die Modernisierung der Infrastruktur und Prozesse. Hier lohnt es sich, zu prüfen, ob sich die Umstellung auf (teil)automatisierte Lösungen, die Routineaufgaben wie Sicherheitsupdates ohne manuellen Aufwand umsetzen, lohnt.
(3) Zukunftsvorsorge: Vorausschauende Unternehmen, so die Berater bei Skillsoft, denken bereits an die nächste Generation von potenziellen Kandidaten. Eine Verbindung zu Bildungs-Einrichtungen kann auf mehrere Arten zur Rekrutierungsbasis beitragen. Einerseits bietet sich so die Möglichkeit, Talente, die bereits eine entsprechende Ausbildung durchlaufen, für das eigene Unternehmen zu interessieren. Andererseits lässt sich so zusätzlich für das gesuchte Berufsprofil werben. Auch technisch versierte Millennials sind sich ihrer Karriere-Möglichkeiten im Bereich der IT-Sicherheit selten bewusst. Generell werden von dieser Gruppe On-the-Job-Schulungs- und Mentoren-Programme sehr positiv bewertet.
(4) Sensibilisierung der Mitarbeiter: Die Steigerung des Technologie-Bewusstseins des Beschäftigen ist ein weiterer Schlüsselaspekt für die IT-Sicherheit. Denn die Sicherheitslücken entstehen häufig durch mangelndes Verständnis und daraus resultierende fahrlässige Handhabung von Sicherheits-Aspekten. Etwa gestohlene oder schwache Passwörter.
Die fortschreitende Öffnung von Unternehmens-Systemen und die Verbreitung des Internet of Things (IoT) mit unzähligen Endgeräten erweitern die Angriffsflächen. Regelmäßige kurze Schulungen für die gesamte Belegschaft sind ein Muss, um Themen wie Passwort-Sicherheit oder Phishing zu erklären und die Verantwortung in Bezug auf die Sicherheit von Unternehmens- und Kundendaten zu vermitteln.
(5) Micro-Learning: Um die Inhalte effektiv zu vermitteln und einen bleibenden Lerneffekt zu erzielen, müssen diese aktuell, relevant und möglichst ansprechend aufbereitet sein. Kurze Lerneinheiten für einzelne Themen mit aktuellem Praxisbezug sind dabei vor allem für fachfremde Mitarbeiter deutlich besser zu verarbeiten als stundenlange Schulungen, die in einer Sitzung im Rundumschlag eine Vielzahl von Themen vermitteln sollen.
