Prognosen 2019: Das Qualifikationsdefizit in der Cybersicherheit bleibt ein Problem

Bridget Kenyon | Global CISO, Thales eSecurity Mehr zu diesem Autor >

Im kommenden Jahr werden die Themen „mangelnde Qualifikation“ und „Fachkräftemangel“ in der Cybersicherheit noch mehr als bereits jetzt ins Bewusstsein rücken. Verbunden allerdings mit dem ernsthaften Willen Abhilfe zu schaffen.

Prognosen 2019: Das Qualifikationsdefizit in der Cybersicherheit bleibt ein Problem

Schon seit einigen Jahren herrscht ein Mangel an kompetenten Experten für Informationssicherheit. Aber nur wenige haben darin ein ernstes Problem gesehen. Jetzt erkennen Unternehmen, nicht zuletzt dank der sich ändernden Bedrohungs- und Compliance-Landschaft, dass es nicht die Aufgabe der Technologie allein ist, alle ihre Probleme zu lösen. Immer wenn eine Firma in technische Tools investiert, um mehr Informationen über Bedrohungen zu erhalten oder den Sicherheitslevel zu erhöhen, funktioniert das nicht ohne zusätzlichen personellen Aufwand. Aufwand um die neue Lösung zu konfigurieren, zu verwalten, die Ergebnisse zu analysieren und darauf zu reagieren. Ein Teil der Aufgaben lässt sich an spezialisierte Dritte auslagern. Wenn man allerdings in Betracht zieht, dass die Lieferkette eine der Hauptquellen für Datenschutzverletzungen ist, ist das nicht unbedingt die attraktivste Option.

2019 werden Unternehmen sehr viel mehr in die Rekrutierung und Bindung von strategischen und technischen Talenten investieren. Und wir werden erleben, dass mehr Sicherheitsexperten gezielt abgeworben werden. CISOs und gleichwertige Positionen und Qualifikationen werden weiterhin äußerst gefragt sein. Schon allein deshalb, weil Unternehmen Informationsrisiken besser nachverfolgen und analysieren wollen.

Um die Lücke zu schließen, werden Firmen nicht nur auf die Bewerber und Bewerberinnen zurückgreifen, die eine offensichtliche Begabung und ein ausgesprochenes Interesse an Cyber-sicherheit haben. Sie werden sich zusätzlich Bewerber ansehen, die aus Bereichen kommen, die nicht direkt relevant zu sein scheinen wie Auditing, Marketing und Linguistik.

Wir werden eine Tendenz beobachten, mehr Lehrstellen zu schaffen und Versetzungen innerhalb von Firmen zu fördern. Ziel ist es, die Unternehmenskultur erfolgreich zu verändern und innovative Ansätze zu unterstützen. Wenn Organisationen allerdings davon ausgehen, dass Technologien und nicht Menschen die Triebfeder für Veränderungen sind, wird das nicht zu den gewünschten Ergebnissen führen. Technologie ist dazu da, die Geschäftstätigkeit zu unterstützen, nicht sie zu führen.

Das Zurückschrecken vor der Diversitätsdebatte ist vorbei

Ethnische Herkunft, Geschlechtsidentität oder Hintergrund einer Person sollten niemals wichtiger sein als Fähigkeiten oder Erfahrungen. Jeder Einzelne ist einzigartig und verfügt über Kompetenzen, die geschätzt und geführt werden sollten. Da Organisationen inzwischen gezwungen sind, die ungleiche Bezahlung von Frauen und Männern offenzulegen (und das auch hinsichtlich der ethnischen Herkunft) werden 2019 zugrunde liegende Diversitätstrends offensichtlicher. Es wird immer noch die Frage gestellt werden müssen, ob Personen nach Geschlecht, ethnischer Herkunft oder unterschiedlichem Hintergrund gleich behandelt werden, das wird auch nächstes Jahr so sein. Frauen zum Beispiel sind sowohl in der Informationstechnologie als auch in der Informationssicherheit noch immer stark unterrepräsentiert. Daher ist es dringend notwendig, einen inklusiveren Ansatz bei der Einstellung zu fördern. Unbewusste Voreingenommenheit bei der Rekrutierung und Beförderung wird aber zunehmend erkannt und infrage gestellt.

Sicherheit auf die Agenda

Vor vielen Jahren sagte ein Vorstandsmitglied sinngemäß zu mir: "Wir haben Sie eingestellt, damit Sie sich um Informationssicherheit kümmern. Warum sollten wir das dann noch tun?" Diese Haltung wird sich 2019 endgültig überlebt haben.

In der Vergangenheit hat man vielfach darauf verzichtet, den Rat von Sicherheitsexperten einzuholen was die Bedrohungslandschaft und die damit verbundenen Risiken angeht. Im Umkehrschluss haben sich die Fachverantwortlichen bei der Vorstandsebene vergeblich für mehr Transparenz und mehr Ressourcen eingesetzt. Das wird sich spätestens 2019 ändern. Firmen werden stattdessen proaktiv auf CISOs und andere Führungskräfte im Bereich Informationssicherheit zugehen. Sicherheitsexperten werden also fraglos auf der Führungsebene eines Unternehmens gehört und um Rat gebeten werden. Fast schon ein bisschen beängstigend diese Umkehrung.

Ein wesentlicher Treiber dieser Veränderung sind nicht zuletzt die potenziell hohen Geldstrafen, die Unternehmen bei einem Verstoß gegen die DSGVO zu erwarten haben. Allgemein rechnet man Mitte des kommenden Jahres mit den ersten solcherart verhängten Strafen. Und die werden sich auf Strategien und Prioritäten innerhalb der IT-Sicherheit auswirken.

Ich lehne mich weit aus dem Fenster und prognostiziere, dass einige wirklich hohe Geldbußen verhängt werden, die den Ton für die Zukunft anschlagen. Sie werden vielleicht 1 bis 2% des weltweiten Umsatzes eines bekannten Markenunternehmens ausmachen (noch nicht das Maximum von 4% - die Regulierungsbehörden werden sich definitiv noch Spielraum lassen). Man kann davon ausgehen, dass die betroffenen Firmen die Entscheidung anfechten werden. Die Bußgelder werden dann wohl erst Ende 2019 oder sogar erst 2020 bestätigt werden.

Menschen sind entweder ein wesentlicher Bestandteil von Schutz und Sicherheit oder sie sind ein wesentlicher Bestandteil des Risikos. Vor diesem Hintergrund werden mehr Firmen gemeinsame Sicherheitsanstrengungen unternehmen. Die sollen gewährleisten, dass Mitarbeitende auf allen Ebenen aktiv eingebunden sind, und dass sie fundierte Entscheidungen treffen können. Wenn Mitarbeiter stärker in den Prozess des Informationsrisikomanagements eingebunden sind, beginnen sie diese Denkweise in ihre alltägliche Arbeit zu integrieren. Und dann wird auch der letzte verstehen, dass es sich bei Sicherheit um eine gemeinsame Verantwortung handelt.