IT-Security – Alternativen für fehlendes Sicherheits-Personal
An IT-Sicherheitsfachkräften mangelt es noch mehr als an IT-Personal insgesamt. Die Sicherheit kann aber auch erhöht werden, ohne Fachkräfte dafür einzustellen.
(Bild: Dmitry Demidovich/Shutterstock.com)
Gut drei Viertel aller Unternehmen in Deutschland hatten 2021 Probleme, ihre offenen IT-Stellen zu besetzten. 2016 waren es rund die Hälfte, 2019 etwa zwei Drittel. Ähnlich alarmierend ist der Anstieg von IT-Sicherheitsvorfällen. Im vergangenen Jahr waren 15 Prozent aller Unternehmen solchen kritischen Situationen ausgesetzt. 2018 sind es erst 9 Prozent gewesen.
Diese Ergebnisse stammen aus der jährlichen Erhebung des Statistischen Bundesamts zur Nutzung von Informations- und Kommunikationstechnologien in Unternehmen. Das Bundesamt stellt fest: "Immer mehr Unternehmen in Deutschland haben Schwierigkeiten, offene Stellen zu besetzen, zugleich nehmen IT-Sicherheitsvorfälle zu."
200 Milliarden Euro Schaden
Der Bitkom hat in einer Studie die Frage gestellt, was die Unternehmen als Bedrohung für ihre IT-Sicherheit sehen. Drei von vier nannten einen Mangel an qualifizierten IT-Sicherheitskräften. Im vergangenen Jahr waren es noch 64 Prozent. "Wenn in einem Unternehmen IT-Spezialistinnen und -Spezialisten fehlen, dann kann das durchaus gravierende Folgen für die IT-Sicherheit haben, etwa wenn Cyberattacken nicht rechtzeitig entdeckt, Updates nicht zeitnah eingespielt oder auch andere Beschäftigte nicht ausreichend geschult werden können", sagt Simran Mann, Referentin für Sicherheitspolitik beim Bitkom.
Der deutschen Wirtschaft entsteht durch Angriffe allein in diesem Jahr ein Schaden von rund 200 Milliarden Euro. Der ist damit doppelt so hoch wie 2019, führt der Bitkom weiter aus.
Viele offene Stellen
"Wir haben in jeder Woche mindestens eine Anfrage eines Unternehmens, in dessen Netze Kriminelle eingedrungen sind", sagt Alexander Ernst. Zum Beweis verschlüsseln die Hacker Daten und fordern Lösegeld, ansonsten legen sie die IT lahm. Ernst leitet beim IT-Dienstleister Cancom das Competence Center Security. Das Unternehmen hat aktuell rund 300 offene Stellen für IT-Fachkräfte, davon 50 für IT-Sicherheitsexperten. Damit geht es Cancom nicht anders als seinen Kunden: auch der IT-Dienstleister findet nur schwer IT-Fachkräfte – und mit am schwierigsten von allen Fachrichtungen sind IT-Security-Experten zu bekommen. "Weil sich diese Situation in absehbarer Zeit kaum ändern wird und mit dem bestehenden ohnehin knappen Fachpersonal die steigenden Herausforderungen der IT-Sicherheit nicht zu bewältigen sind, brauchen wir andere Lösungen für einen qualifizierten Datenschutz", sagt Ernst.
Cancom investiert in technisches Equipment für einen automatisierten Datenschutz der Kunden. Schon heute ist IT-Sicherheit vielfach automatisiert. So stellen Tools Angriffsversuche fest und melden sie den für IT-Sicherheit Zuständigen. Künstliche Intellligenz (KI) fischt den kleinen Bruchteil wirklicher Bedrohungen heraus und präsentiert nur diese dem IT-Sicherheitspersonal. Ohne die Arbeitslast der Angestellten zu erhöhen, wird mittels Automatisierung die Sicherheit ausgebaut.
Ohne zusätzliches Personal lässt sich IT-Sicherheit zudem erhöhen, indem Unternehmen bei der Entwicklung ihrer Produkte nicht nur an Funktionen wie etwa Fernwartung von Maschinen denken, sondern gleich IT-Sicherheit mitberücksichtigen, um etwa Updates sicher über das Internet zu übertragen. Die Firmen sollten auch ihre zahlreichen informationstechnischen Insellösungen unterschiedlicher Hersteller auflösen. "Dann brauchen sie nicht mehr so viele und unterschiedliche IT-Experten und sie können eine Lösung für IT-Sicherheit im zentralen System platzieren", sagt Ernst. Das erhöht den Schutz, ohne dass der Personalbedarf steigt.
Technische Lösungen sind kein Allheilmittel
Zwar heben technische Lösungen und organisatorische Änderungen das Angriffspotential nicht gänzlich auf. Aber mit ihnen lässt sich besser mit dem Problem umgehen. So ziehen viele der Cancom-Kunden mit kritischen Vorfällen anschließend in die Cloud um. "Die ist oft sicherer als ein eigenes Rechenzentrum, weil die großen Anbieter der Plattformen sehr viel Geld in ihre Cloud-Lösungen zur grundsätzlichen Absicherung investieren", sagt Ernst. Hohe Sicherheits-Investitionen in ein eigenes Rechenzentrum kann sich vielleicht der eine oder andere Dax-Konzern leisten, die allermeisten anderen Firmen aber nicht.
Cyber-Kriminalität ist heute eine Industrie, mit der sich Geld verdienen lässt. Spezifische Angriffe können beauftragt werden und die Anzahl an Angriffswerkzeugen fürs kriminelle Hacken nimmt zu. "Dies steht in einem engen Zusammenhang mit der Steigerung der Fallzahlen von erfolgreichen Angriffen und die Firmen können sich dem nur schwer erwehren, nicht zuletzt wegen der Unterbesetzung der IT-Sicherheitsstellen", sagt Alexander Lawall, Professor für Cyber Security an der IU Internationale Hochschule. Lawall ist dort Leiter der Bachelor- und Master-Studiengänge Cyber Security und des Master-Studiengangs Cyber Security Management.
Studienplätze und Stellenangebote sind reichlich vorhanden
Die Unterdeckung an Fachkräften für IT-Sicherheit in Deutschland sei nur schwer nachzuvollziehen, weil IT-Sicherheit mit zu den am besten bezahlten IT-Tätigkeiten zählt. Das könnte auch ein Motivationspunkt für rational denkende Menschen sein, das Fach zu studieren. Studienangebote gibt es genügend und das Stellenangebot ist gewaltig.
"Was junge Leute vermutlich vor dem Studium abschreckt, ist sein inhaltlicher Anspruch", sagt Lawall. Studierende müssen die grundlegenden Themen der Informatik verstehen und zusätzlich Spezifika der IT-Sicherheit. Diese Kombination scheint potenzielle Studierende davon abzuhalten.
Mitarbeiterschulungen
Doch die Unternehmen brauchen Personal mit einem Grundverständnis der Informatik und Tiefgang in der IT-Sicherheit, trotz der Zunahme an wirksamen Tools für einen automatisierten Schutz. Denn diese Experten können unter anderem die Hinweise dieser Systeme verstehen und entsprechend reagieren.
IT-Systeme und Anwendungen sollten mit verschiedenen Werkzeugen auf Herz und Nieren hinsichtlich der IT-Sicherheit überprüft werden, bevor sie ans Netz gehen. Das würde zumindest in Teilen einen positiven Effekt auf das Risiko mit dem aktuellen Personalmangel haben, rät Lawall. "Trotz aller getroffener Maßnahmen ist die Schulung der Mitarbeiter weiterhin ein sehr wichtiger Faktor. Sie sollten Angriffsversuche erkennen und schadhafte E-Mails nicht öffnen. Awareness ist eine sehr wirksame Maßnahme, mit der sich die IT-Sicherheit spürbar erhöhen lässt".
(dmk)