ESG/ISSA-Studie: Wie CISOs den Fachkräftemangel sehen

Foto: Vladimir Melnikov | shutterstock.com

Ein Research-Projekt der Enterprise Strategy Group (ESG) und der Information Systems Security Association (ISSA) untersucht jährlich, wie sich der Mangel an Cybersecurity-Fachkräften entwickelt und auswirkt. Im aktuellen Report zum Projekt, “The Life and Times of Cybersecurity Professionals” (PDF), geben demnach 71 Prozent der insgesamt 301 befragten IT- und Security-Spezialisten aus Europa, Nord- Mittel- und Südamerika sowie Asien und Afrika (davon 17 Prozent Sicherheitsentscheider) an, dass ihr Unternehmen direkt vom Mangel an Cybersicherheitsexperten betroffen ist.

Das ist nicht besonders überraschend: In den inzwischen acht Jahren, die das Projekt existiert, wird diese Frage jedes Mal gestellt – immer wird sie von 60 bis 75 Prozent der Teilnehmer bejaht. Das deckt sich auch mit anderen Studien, etwa der “Cybersecurity Workforce Study” von ISC2.

Interessant ist an der Studie von ESG und ISAA jedoch, dass sich herauslesen lässt, wie CISOs, CSOs und andere Sicherheitsentscheider das Thema Cybersecurity-Fachkräftemangel wahrnehmen respektive beurteilen. Schließlich sind sie es, die die Sicherheits-Teams leiten und IT-Security-Initiativen verantworten. Ein Blick aus der Vogelperspektive verschafft Klarheit darüber, wie sich Unternehmen verändern, bei denen Cybersecurity-Skills und -Knowhow Mangelware sind.

Die Folgen und Gründe des Security-Fachkräftemangels

Die allgemeinen Auswirkungen des Fachkräftemangels im Bereich Cybersicherheit hat die Arbeitsbelastung erhöht, die Burnout-Rate innerhalb der Belegschaft gesteigert und für wochen- oder monatelang unbesetzte Stellen gesorgt. Darin ist sich das gesamte Feld der Umfrageteilnehmer einig. Die befragten CISOs lieferten jedoch auch einige spezifischere Erkenntnisse zu den Auswirkungen fehlender IT-Security-Fachkräfte:

• 32 Prozent der CISOs geben an, dass dadurch gehäuft menschliche Fehler im Zusammenhang mit Cybersecurity-Tasks auftreten – verglichen mit 16 Prozent unter den anderen Teilnehmern. Die Diskrepanz könnte auf den breiter angelegten Aufgabenbereich der CISOs zurückzuführen sein, der sie solche Probleme auf Ebene der Gesamtorganisation (besser) erkennen lässt.

• 38 Prozent der CISOs geben darüber hinaus an, dass der Fachkräftemangel die Zusammenarbeit zwischen Cybersecurity- und Business-Teams hemmt. Unter den übrigen Teilnehmern empfinden das nur 26 Prozent so. Auch dieses Problem haben CISOs in der Praxis vermutlich eher auf dem Schirm: Eine ihrer wesentlichen Verantwortlichkeiten ist es, Cybersicherheits- und Business-Prioritäten aufeinander abzustimmen.

• 43 Prozent der CISOs haben aufgrund fehlender Fachkräfte eher jüngere Kandidaten eingestellt oder weitergebildet, statt auf erfahrene Profis zu setzen. Die Botschaft ist klar: CISOs sind gezwungen, suboptimale Personal- und Investitionsentscheidungen zu treffen. Das hat zweifellos Folgen für die Effektivität und Effizienz ihrer Teams.

• 68 Prozent der CISOs sehen den Hauptgrund für den Fachkräftemangel darin, dass ihr Unternehmen kein wettbewerbsfähiges Gehalt bezahlt. Das veranlasst nicht wenige CISOs dazu, aus Frust beim Vorstand die Alarmglocken zu läuten.

• Weitere 41 Prozent der CISOs sehen ein anderes wesentliches Hemmnis dafür, fähige Bewerber zu rekrutieren. Nämlich, dass ihr Unternehmen nicht als führend im Bereich der Cybersicherheit wahrgenommen wird.

• Immerhin glauben 32 Prozent der CISOs, dass ihre Organisation genug tut, um den Security-Fachkräftemangel zu beheben. Alarmierend ist allerdings, dass auch 41 Prozent der Sicherheitsentscheider der Überzeugung sind, dass ihr Unternehmen noch weit mehr tun könnte.

Was CISOs tun können

Im Folgenden möchten wir Ihnen noch einige weitere Best Practices gegen den IT-Sicherheits-Fachkräftemangel vorstellen, die sich aus Hintergrundgesprächen mit IT-Sicherheitsentscheidern ergeben haben:

• Fokussieren Sie die Mitarbeiterbindung. Erfahrene Cybersicherheitsexperten werden häufig mit höheren Gehältern oder besseren Arbeitsbedingungen abgeworben. Erfolgreiche CISOs haben ein Auge auf die Mitarbeiterzufriedenheit und sorgen für Support, um das Stressniveau zu managen. Möglichkeiten zur Skill- und Karriereentwicklung tragen ebenfalls dazu bei, Cybersecurity-Profis zu finden und zu halten.

• Bezahlung: Brechen Sie eine Lanze für die Belegschaft. Cybersicherheits-Mitarbeiter nicht angemessen zu bezahlen oder nicht ausreichend wertzuschätzen, schafft kein attraktives Arbeitsumfeld. CISOs sollten dem Vorstand bezüglich wettbewerbsfähiger Gehälter mit konkreten Zahlen auf die Sprünge helfen. Dabei kann es auch helfen, die Kosten und Risiken, die mit unterbesetzten Sicherheitsabteilungen und Mitarbeiterfluktuation einhergehen, einmal genau aufzudröseln. Der Vorstand muss verstehen, dass IT-Sicherheit die falsche Stelle ist, um zu sparen.

• Automatisieren Sie Prozesse in Kooperation mit der IT. Um die Effizienz des vorhandenen Personals zu steigern, empfiehlt es sich jeden Prozess zu automatisieren, der automatisiert werden kann. Security-Prozesse sind dabei ein guter Anfang – fortschrittliche Unternehmen erwägen Prozessautomatisierung allerdings auch für die Bereiche IT Operations und Softwareentwicklung. Stichwort DevSecOps.

• Holen Sie sich Hilfe. Im Rahmen der Planung ihrer Sicherheitsinitiativen müssen CISOs Annahmen darüber treffen, wie sich Cybersecurity-Fachkräftemangel auf die Unternehmensziele auswirkt. Es gilt, ein offenes Cybersicherheitsmodell zu schaffen, bei dem Managed Services Provider in bestehende Kontrollmaßnahmen und etablierte Prozesse integriert werden können, um mögliche Skill-Defizite auszugleichen. (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.

Die Top CISOs in Deutschland

Foto: Kuka

Nach seiner Tätigkeit in verschiedenen Sicherheitsbehörden des öffentlichen Dienstes hat Thomas Franke bei ZF im Bereich der Unternehmenssicherheit und anschließend in der Informationssicherheit verschiedene globale Projekte verantwortlich durchgeführt. 2017 hat er die Position des CISO und DPO in der Kuka Group übernommen.

Foto: KEB Automation

Gernot Zauner ist seit 2023 als CISO für die Informationssicherheit bei KEB Automation zuständig. Bereits zuvor war er in verschieden Positionen im IT-Security-Bereich tätig.

Foto: Häfele

Daniel Feinler ist bereits seit mehr als elf Jahren bei Häfele für den IT-Bereich zuständig. Im Mai 2023 hat er die Rolle des CISO übernommen.

Foto: Versicherungskammer Bayern

Bodo Dobronski und Heike Tschabrun sind seit 2017 die CISOs des Konzerns Versicherungskammer. Bodo Dobronski hat einen Universitätsabschluss der TU Dresden als Informatiker, Heike Tschabrun einen Abschluss als Sozialwirtin der Fachhochschule Ravensburg.

Foto: Henkel

Stefan Braun ist bereits seit 2008 bei Henkel. Als CISO ist er seit 2021 für die IT-Sicherheit zuständig. Zuvor war er im IT Audit, der IT und im Konzerncontrolling tätig. Seine Berufslaufbahn begann er bei Accenture und Procter & Gamble nach einem Studium der Informatik an der RWTH Aachen und dem INSA Lyon.

Foto: Schufa Holding AG

Seit Ende 2022 ist Christopher Ruppricht als CISO für die IT-Sicherheit bei der Schufa verantwortlich. Zuvor war er als als CISO für paydirekt zuständig.

Foto: Max Imbiel

Zum 1. Oktober trat Max Imbiel seine neue Stelle als Deputy Group CISO bei der Online-Bank N26 an. Seine Aufgabe im CISO Office von N26 ist es, das Unternehmen bestmöglich gegen Cyberbedrohungen aufzustellen und die Daten und Informationen von Kunden sowie Mitarbeitern zu schützen. Imbiel hat einen Computer Science and Economics Bachelor-Abschluss in Computer Science and Economics.

Foto: Holger Bajohr-May

Holger Bajohr-May begann seine Karriere bei den Technische Werke Ludwigshafen am Rhein bereits vor 25 Jahren mit der Ausbildung zum Industriekaufmann. Vom PC-Techniker über den SAP-Anwendungsbetreuer arbeitete er sich hoch und ist seit diesem Jahr CISO.

Foto: GEA Group

Iskro Mollov ist seit 2020 der Group CISO und Vice President Security, Business Continuity and Crisis Management bei GEA Group. In seiner Funktion berichtet er an den Vorstand sowie an den Prüfungsausschuss der Aufsichtsrates und verantwortet ganzheitlich die Sicherheitsbereiche: Informationssicherheits-Governance, IT-Sicherheit, OT-Sicherheit, Produkt-Sicherheit, Physische Sicherheit, HR Sicherheit, Sicherheit in der Lieferkette, Sicherheit digitaler Medien sowie übergreifend Business Continuity Management (BCM) und Krisenmanagement.

Foto: Vorwerk Gruppe

Seit Juli 2021 ist Florian Jörgens CISO der Vorwerk Gruppe. Neben dieser Tätigkeit ist er seit seinem Master-Abschluss 2015 unter anderem an diversen Hochschulen als Dozent, Autor und wissenschaftlicher Mitarbeiter tätig. Weiterhin hält er Fachvorträge rund um die Themen Informationssicherheit, Awareness und Cyber-Security. Florian Jörgens wurde im September 2020 vom CIO-Magazin mit dem Digital Leader Award in der Kategorie „Cyber-Security“ ausgezeichnet.

Foto: Bauer Global Technology

Hendrik Janssen zeichnet seit Juli 2016 als CISO und Global Technology Director Security bei Bauer Global Technology verantwortlich. Er war 12 Jahre lang Soldat auf Zeit bei der Bundeswehr im Bereich Cybersicherheit.

Foto: Ralf Kleinfeld

Begonnen hat Ralf Kleinfeld bei Otto vor über elf Jahren als Teamlead Network and Security. Seit neun Jahren ist er nun als Department Manager Information Governance für die Informationssicherheit verantwortlich. Kleinfeld hat Abschlüsse vo der Quadriga University of Applied Sciences in Berlin und der Technische Universität Kaiserslautern.

Foto: Allianz Technology

Fabian Topp ist CISO bei Allianz Technology. Er ist ISO 27001 Lead Implementer, Lead Auditor und CISM zertifiziert. Er besitzt Universtätsabschlüsse in Politologie wie auch Rechtswissenschaften.