Trotz vermehrter Ausbildung

IT-Sicherheitsexperten bleiben Mangelware



Dr. Adrian Davis führt das EMEA Team der (ISC)2, einer gemeinnützigen Organisation, die IT-Sicherheitsexperten weiterbildet und zertifiziert. Seine Schwerpunkte bilden das Management und Assessment von Informationssicherheit in Lieferketten und bei externen Dienstleistern, Governance und Effektivität der Informationssicherheit, die Rolle und Fähigkeiten von Informationssicherheitsexperten sowie das Assessement von möglichen kurzfristigen Bedrohungen, die Unternehmen gefährden.
Das Angebot von IT-Sicherheitsstudiengängen in Deutschland wächst, doch Studien zeigen, dass selbst mit den Absolventen dieser Hochschuleinrichtungen der Mangel an Cybersicherheitsexperten nicht behoben werden kann.

Die bisher größte Befragung des Centers für Cyber Safety und Education, gesponsert von der gemeinnützigen Fachorganisation (ISC)², von weltweit über 19.000 Fachleuten der Cybersicherheit deutet auf große Qualifikationsdefizite in Deutschland aufgrund anhaltender Versäumnisse bei der Rekrutierung von sogenannten Millennials (Erwachsene bis zum 30. oder 35. Lebensjahr je nach Definition) hin.

Die ersten Ergebnisse der Studie zeigen einen Anstieg um 20 Prozent im Vergleich zur zwei Jahre zuvor prognostizierten Qualifikationslücke. Es ist eine Warnung, da die ältere Generation der IT- und Cybersicherheits-Pioniere in den nächsten Jahren in den Ruhestand geht. Die Global Information Security Workforce-Studie von 2015 prognostizierte noch ein Fehlen von 1,5 Millionen Cybersicherheitsmitarbeitern bis 2020, nun sind es bis 2022 sogar 1,8 Millionen.

Bis 2020 werden 1,8 Millionen Fachkräfte für Cybersicherheit weltweit fehlen.
Bis 2020 werden 1,8 Millionen Fachkräfte für Cybersicherheit weltweit fehlen.
Foto: (ISC)² 2017

Wenn wir einen detaillierten Blick auf die Situation in Deutschland werfen, stellen wir fest, dass sich hier das gleiche Bild bietet. Von den befragten Cybersicherheitsexperten in Deutschland gaben 70 Prozent an, dass ihre Unternehmen über zu wenig Cybersicherheitsfachkräfte verfügen. Wesentlich schlimmer ist, dass unter den Befragten die Minderheit Nachwuchskräfte sind, lediglich ein Prozent der Cybersicherheitsfachkräfte in Deutschland, Österreich und der Schweiz (DACH) sind unter 30. Besonders stark betroffen sind kleine und mittelständische Unternehmen (KMU), denn nur 25 Prozent der Cybersicherheitsprofis in der DACH-Region arbeiten für Unternehmen mit weniger als 500 Mitarbeitern. Dieser Fakt beeinträchtigt die wirtschaftliche Sicherheit.

70 Prozent der deutschen Unternehmen haben zu wenig Cybersicherheitskräfte.
70 Prozent der deutschen Unternehmen haben zu wenig Cybersicherheitskräfte.
Foto: (ISC)² 2017

Die vom Center für Cyber Safety und Education durchgeführte Global Information Security Workforce-Studie befragt bereits seit 2004 Arbeitskräfte im Cybersicherheitsbereich und liefert die umfassendste Branchenstudie der letzten zehn Jahre. Die ersten veröffentlichten Daten der diesjährigen Ausgabe enthalten Antworten von über 600 führenden Cybersicherheitsprofis in Banken, Weltkonzernen und Regierungsstellen in der DACH-Region und macht deutlich, dass Organisationen Schwierigkeiten haben, qualifiziertes Personal zu finden.

Die Ergebnisse deuten darauf hin, dass sich das Qualifikationsdefizit bereits auf DACH-Unternehmen auswirkt, denn 45 Prozent der Unternehmen gaben an, der Mangel an Cybersicherheitspersonal habe erhebliche Auswirkungen auf ihre Kunden. Ein ähnlicher Prozentsatz warnt davor, dass dies zu Cybersicherheitsverstößen führen könne. 37 Prozent der DACH-Unternehmen gehen in den nächsten 12 Monaten von einer Erweiterung ihrer Belegschaft um mehr als 16 Prozent aus, sehen sich allerdings durch den Fachkräftemangel behindert. Die Daten geben auch Hinweise, dass der Qualifikationsmangel mit einer schlechten Vorbereitung vieler Unternehmen in DACH auf die EU-Datenschutzgrundverordnung (DSGVO) einhergeht, die ab Mai 2018 ein obligatorisches 48-Stunden-Fenster zur Veröffentlichung von Datenschutzverletzungen vorsieht.

24 Prozent der Befragten in DACH sagen derzeit voraus, ihre Unternehmen würden über acht Tage für die Behebung eines Schadens brauchen, sollten ihre Systeme oder Daten vonHackern kompromittiert werden – also bei weitem länger, als das verlangte Fenster zur Offenlegung von Datenschutzverletzungen vorsieht.

Millennials vor verschlossener Tür

Millennials sind als die eigentlich am schnellsten wachsende Zielgruppe für die Behebung der Beschäftigungslücke von entscheidender Bedeutung. In DACH allerdings versäumen es Unternehmen, Millennials einzustellen, denn nur sechs Prozent der Befragten geben an, Hochschulabsolventen zu rekrutieren. Die Daten zeigen auch, dass derzeit nur 15 Prozent der Mitarbeiter in der Cybersicherheitsbranche unter 35 Jahre alt sind, was bedeutet, dass die Quelle an Talenten, die in jüngeren Jahren in die Branche eintreten, am Versiegen ist. Den Daten zufolge schlagen Arbeitgeber einem Großteil der Millennial-Generation die Tür vor der Nase zu und weigern sich, unerfahrene Anfänger anzustellen und weiterzubilden. Nur sieben Prozent der Befragten gaben an, der größte Bedarf an neuen Mitarbeitern bestünde auf dem Einstiegslevel. Und 73 Prozent sagen, dass Vorerfahrung in Cybersicherheit ein wichtiger Faktor bei ihren Einstellungsentscheidungen sei.

Die mangelnde Diversifizierung könnte sich zu einem Teufelskreis entwickeln, denn sie schreckt jüngere Generationen davor ab, eine Karriere in der Cybersicherheitsbranche anzustreben. Dabei zeigt die Studie, dass Millennials weitaus facettenreicher sind als frühere Generationen und sich deutlich mehr von Arbeitsplätzen angezogen fühlen, die die Zielgruppe repräsentieren.

"Aktuell ist die Nachfrage von Unternehmen und Behörden nach Absolventen der MINT-Fächer (Mathematik, Informatik, Naturwissenschaft, Technik) und IT-Nachwuchsfachkräften deutlich größer als das Angebot. Das ist auch für das BSI eine Herausforderung, um unser aktuelles Wachstum von 180 neuen Stellen zu bewältigen. Als Behörde, die Cyber-Sicherheit in Deutschland, aber auch international gestaltet, bieten wir aufgrund des Megatrends der Digitalisierung gerade jungen Kolleginnen und Kollegen vielfältige spannende Aufgabenfelder. Industrie 4.0, Internet of Things, Smart Home, Automotive und der Schutz kritischer Infrastrukturen sind hier die wichtigsten Schlagworte. Mit zunehmender Bedeutung der Cyber-Sicherheit sind auch im BSI Aufstiegschancen mit fachlicher und personeller Verantwortung vorhanden. Deshalb können wir die These nicht bestätigen, dass junge Fachleute aus der Informationssicherheit nicht gehört werden. Bei uns gibt es viel Raum für Gestaltung und neue Ideen," sagt Matthias Gärtner, Pressesprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Er sieht allerdings auch das Problem, dass der gestiegene Bedarf an Cybersicherheitsfachleuten allein mit den nachkommenden Absolventen derzeit schwer zu decken ist: "Zwar gibt es mittlerweile eine Reihe von Hochschulen, die Studiengänge für IT-Sicherheit anbieten. Und diese Angebote werden auch nach unserer Einschätzung gut angenommen. Allerdings besteht immer noch eine Lücke zwischen dem Personalbedarf der Fachbehörden und der Wirtschaft auf der einen Seite und der Anzahl der tatsächlich verfügbaren Fachkräfte auf der anderen Seite. Hier muss sich in den nächsten Jahren noch einiges bewegen, um den Bedarf an qualifiziertem Personal tatsächlich decken zu können."

Dr. Matthias Rosche, SVP Solution Sales & Consulting bei der Telekom Security, ergänzt: "Im Mittelstand und in kleineren Unternehmen sehen wir derzeit große Schwierigkeiten bei der Besetzung von Security-Stellen. Dienstleister und Großunternehmen zahlen Nachwuchskräften in der Informationssicherheit in der Regel bessere Gehälter und bieten die interessanteren Entwicklungsmöglichkeiten. Wie haben aber ein grundsätzliches Problem in unserer Branche. Bei vielen jungen Leuten, die sich in der Berufswahl befinden, ist immer noch nicht angekommen, welche Perspektiven und Gehälter in der Branche existieren. Das Erscheinungsbild des Security-Experten ist bei vielen Jugendlichen verzerrt oder sogar negativ mit einem Nerd-Image belegt. Durch den fehlenden Nachwuchs wird es immer schwieriger für Unternehmen, geeignete Fachleute zu finden und Security-Positionen zu besetzen. Das verschiebt die Marktanteile zunehmend in Richtung Dienstleister und Serviceanbieter. Grundsätzlich gilt bei uns: "We hire for attitudes and train for skills!". Deshalb sehen wir uns auch immer stärker nach Quereinsteigern und Nachwuchskräften um."

Eine ganz andere Perspektive bringt Andreas Krawcyk, COO bei Freelance.de, ein, wenn er bemerkt, dass: "auf unserer Plattform freelance.de für Freiberufler aus der IT auch immer wieder Projekte aus der IT-Sicherheit ausgeschrieben werden, derzeit sind das rund vier Prozent. Gesucht werden hier vor allem Berater mit mehrjähriger Erfahrung. Die Chancen von Millennials, die eher wenig Berufserfahrung aufzuweisen haben, sind nicht so gut. Ein weiteres Kriterium, das in quasi allen Ausschreibungen gefragt ist, sind Zertifizierungen wie Check-Point-Zertifizierungen, Cisco-Zertifizierungen, ISO 27001. Millennials haben eher in Bereichen wie mobile Entwicklung oder Java-Entwicklung eine Chance. Diese Bereiche sind auch sehr gefragt und korrespondieren eher mit den Einschätzungen der ausschreibenden Unternehmen. In diesem Zusammenhang können wir aus unserer Sicht die Eingangsthese vom Mangel an Nachwuchskräften in der Informationssicherheit bestätigen." Er kann also über die Angebote auf seiner Plattform bestätigen, dass Unternehmen vor allem erfahrene und gut ausgebildete Fachkräfte suchen und eher keine Berufseinsteiger frisch von der Universität oder aus der Lehre.

Steigende Gehälter

Die Ergebnisse belegen, dass besonders kleine und mittelständische Unternehmen darunter leiden, aus dem Talentmarkt der Cybersicherheit gedrängt zu werden. Nur 25 Prozent der Befragten arbeiten für deutsche KMU, während erstaunliche 61 Prozent der Cybersicherheitsfachkräfte in größeren Organisationen mit über 2.500 Mitarbeitern beschäftigt sind. Den Daten zufolge verdienen mehr als drei Viertel der deutschen Sicherheitsprofis mehr als 47.000 Euro pro Jahr und 55 Prozent fordern Jahresgehälter von über 84.000 Euro. Das zeigt, dass der Fachkräftemangel die Gehälter hochtreibt, wenn mehr Unternehmen um talentierten Nachwuchs konkurrieren.

Fazit

Fachkräfte in der Cybersicherheit sind ein rares Gut und das wird sich kurzfristig auch nicht ändern. Was aus Sicht der Fachkräfte mit Blick auf die steigenden Gehälter eine frohe Botschaft ist, ist auf der anderen Seite eine Warnung an Unternehmen, öffentliche Verwaltungen und im Grunde genommen die gesamte Gesellschaft. Trends wie Industrie 4.0, Internet of Things, Smart Home und Connected Car werden die Nachfrage nach Sicherheitsspezialisten weiter befeuern. Wenn dann auch noch mehr Experten in den Ruhestand gehen, als ausgebildet werden können, besteht die Gefahr, dass unsere schöne neue IT-Welt eher immer unsicherer als sicherer wird. Die hier genannten Ergebnisse der Global Information Security Workforce Studie zeigen umso klarer ein Bild, dass wir als Gemeinschaft verändern sollten. (haf)

Studiengänge für IT-Sicherheit bieten beispielsweise die Ruhr Universität Bochum, die TU Darmstadt, die FH Stralsund, die Hochschule Aalen, die Hochschule Albstadt-Sigmaringen, die Universität Lübeck, die Universität des Saarlandes und die Hochschule Mittweida an.

Zur Startseite