News und Produkte
Der Fachkräftemangel im Bereich der IT-Sicherheit ist real und hat reale Auswirkungen, belegt die im September erschienene repräsentative Studie „Cybersicherheit in Zahlen“ von G DATA CyberDefense, brand eins und Statista. So schätzen 44 % der Teilnehmer* den IT-Sicherheits-Fachkräftemangel im eigenen Haus als hoch oder sehr hoch ein.
Fachkräftemangel hat reale Auswirkungen
Der Fachkräftemangel im Bereich der IT-Sicherheit ist real und hat reale Auswirkungen, belegt die im September erschienene repräsentative Studie „Cybersicherheit in Zahlen“ von G DATA CyberDefense, brand eins und Statista. So schätzen 44 % der Teilnehmer* den IT-Sicherheits-Fachkräftemangel im eigenen Haus als hoch oder sehr hoch ein (vgl. Abb.).
Dabei zeigen sich der Studie zufolge auch tatsächliche Probleme, die nach Meinung der Befragten durch eine ausreichende Zahl von Cybersicherheits-Mitarbeitern abgemildert werden könnten. Eine „unzureichende Auswertung von Informationen (z. B. Meldungen der Anti-Virus-Software)“ war dabei der Spitzenreiter, den gut 43 % nannten. Fehlende Zeit, um selbst die Mitglieder des Security-Teams angemessen zu schulen, gaben gut 41 % an – fehlende Ressourcen für die Schulung des allgemeinen Personals knapp 38 %. Auch für das ansonsten zu langsame Patchen kritischer Systeme sahen fast 37 % Verbesserungspotenzial, sofern mehr Fachleute zur Verfügung stünden.
Andreas Lüning, Mitgründer und Vorstand der G DATA CyberDefense AG, kommentierte: „Der Mangel von Fachkräften in der IT-Sicherheit hat gravierende Folgen für Unternehmen, wie unsere Studie belegt. In der Cybersicherheit ist der Zeitfaktor ein entscheidendes Kriterium. Wer seine Systeme nicht umgehend updatet, riskiert, dass kriminelle Hacker die Gelegenheit nutzen und die Infrastruktur kompromittieren. Gerade mittelständische Unternehmen stehen hier vor einer Herausforderung, da es ihnen nicht gelingt, begehrte Fachkräfte für sich zu gewinnen. Um die aktuell bestehende Lücke zu schließen, braucht es gebündeltes Wissen.“ Spezialisierte Dienstleister könnten in der Zwischenzeit mit Managed-Security-Lösungen aushelfen.
Ein weiteres Schwerpunktthema der Umfrage war die künstliche Intelligenz (KI), bei der sich ebenfalls Know-how-Lücken zeigten. 87 % aller Befragten schätzen demnach ihren Wissensstand zu KI nur als grundlegend oder vielmehr durchschnittlich ein – besser sieht es bei Menschen mit (mindestens) großer IT-Sicherheitskompetenz aus: Hier zeigten sich immerhin gut 32 %, die auch ihre eigene KI-Kompetenz als fortgeschritten oder tiefgreifend einschätzen. Um KI-Chancen bestmöglich zu nutzen und ihre Risiken zu kontrollieren, sei es jedoch unerlässlich, dass Mitarbeiter generell über das notwendige Knowhow verfügen, mahnt G DATA: „KI kann viele Aufgaben im Geschäftsalltag abnehmen, um etwa die Qualität und Effizienz zu verbessern“, sagt Lüning: „Dafür braucht es aber in allen Teams ein tiefes Verständnis für diese Technologien. Und gleichzeitig müssen Verantwortliche Rahmenbedingungen für einen sicheren und vertrauensvollen Einsatz schaffen, um KI-Instrumente sinnvoll und legal nutzbar zu machen.“
„Cybersicherheit in Zahlen“ erschien bereits zum vierten Mal und zeichne sich durch eine hohe Informationsdichte und besondere methodische Tiefe aus, betonen ihre Urheber: Die Marktforscher von Statista hätten dazu Zahlen, Daten und Fakten aus mehr als 300 Statistiken zu einem einzigartigen Gesamtwerk zusammengeführt – außerdem wurden mehr als 5000 Arbeitnehmer in Deutschland im Rahmen einer repräsentativen Online-Studie zur Cybersicherheit im beruflichen und privaten Kontext befragt. Die Fachleute von Statista hätten die Befragung eng begleitet und können dank einer Stichprobengröße, die weit über dem branchenüblichen Standard liegt, belastbare und valide Marktforschungsergebnisse präsentieren. Das hieraus resultierende Magazin liefere viele weitere Zahlen rund um IT-Security und Berichte zu aktuellen Themen wie dem Kampf der Ermittlungsbehörden gegen internationale Cybercrime Banden oder dem Einsatz von Hackern, um Probleme zu finden und zu lösen. „Cybersicherheit in Zahlen“ kann über www.gdata.de/cybersicherheit-in-zahlen (Registrierung erforderlich) zum Download als PDF angefordert werden; alternativ ist per E‑Mail an cybersicherheitinzahlen@gdata.de die Bestellung eines gedruckten Exemplars möglich. (www.gdata.de)
Vernachlässigen Unternehmen Maßnahmen zur Rekrutierung von Cybersecurity-Experten?
Obwohl sich der Wettkampf um Cybersecurity-Experten auf dem Arbeitsmarkt weiter deutlich verschärft, hat fast die Hälfte der Unternehmen noch keine Maßnahmen zur Gewinnung von Cybersecurity-Experten ergriffen. Dies besagt eine repräsentative Umfrage, für die das Meinungsforschungsinstitut Civey im Auftrag des eco – Verbands der Internetwirtschaft e. V. 1000 Unternehmensentscheider im Juli 2024 befragt hat. Die „größere Hälfte“ der Unternehmen hat mehr oder minder viele Maßnahmen ergriffen, wobei die Schaffung attraktiver Arbeitsbedingungen am häufigsten genannt wurde (vgl. Abb.).
Dabei steigt die Gefährdungslage im Bereich Cybersecurity weiterhin an, mahnt eco: 96 % der Entscheider beurteilen die IT Bedrohungslage in der eco IT-Sicherheitsumfrage 2024 als wachsend – jedes fünfte Unternehmen verzeichnete 2023 mindestens einen IT-Sicherheitsvorfall mit zum Teil erheblichen Schäden. Um ihre IT-Infrastruktur zu schützen, sind Unternehmen dringend auf entsprechende spezialisierte Fachkräfte angewiesen – geeignete Fachkräfte zu rekrutieren und zu halten, sei für Unternehmen jedoch zunehmend eine Herausforderung: Der Arbeitsmarkt habe sich zugunsten der hochqualifizierten Fachkräfte verschoben, was Unternehmen dazu zwingt, ihre Personalstrategien anzupassen, wozu eco fünf Tipps gibt:
- Attraktive Arbeitsbedingungen schaffen: Flexible Arbeitszeiten und Homeoffice-Möglichkeiten sind für IT-Sicherheitsexperten besonders attraktiv und erweitern den Recruiting-Radius. Eine wettbewerbsfähige Vergütung ist unerlässlich, um talentierte Fachkräfte zu gewinnen und zu halten. Zusätzliche Anreize schaffen Boni, eine Alters- und Gesundheitsvorsorge oder weitere Benefits. Ratsam ist zudem eine attraktive Unternehmenskultur, die nach außen und innen aktiv gelebt wird. Empfehlungen zufriedener Mitarbeiter und Active Sourcing für Spezialthemen sind ebenfalls wirkungsvolle Strategien.
- KI im Recruiting nutzen: Künstliche Intelligenz kann Personalabteilungen gerade in frühen Phasen des Bewerbungsprozesses unterstützen, um einen Überblick über relevante Bewerber zu erhalten. KI-Tools durchsuchen und bewerten Bewerbungsunterlagen schnell und effizient, indem sie relevante Qualifikationen und Erfahrungen identifizieren. Dies entlastet Personalabteilungen und kann dazu beitragen, unbewusste Vorurteile zu reduzieren, da objektive Algorithmen eingesetzt werden. Zudem können KI-basierte Tools bei einer gezielten und personalisierten Ansprache potenzieller Kandidaten sowie der Optimierung von Stellenanzeigen unterstützen.
- Nachwuchsförderung intensivieren: Bei der Gewinnung neuer Fachkräfte darf die Nachwuchsförderung nicht außer Acht gelassen werden, auch wenn diese eine eher mittelfristige Lösung darstellt. Die Nachwuchsförderung lässt sich etwa durch Kooperationen mit Schulen und Universitäten stärken, indem man an Messen für Berufseinsteiger teilnimmt und Initiativen wie den Girls & Boys Day unterstützt. Auch Praktika, Abschlussarbeiten und Werkstudententätigkeiten können dabei helfen, frühzeitig Talente zu binden. Die Nutzung von Social-Media-Kanälen vermag die Bekanntheit bei jungen Talenten zu steigern.
- Recruitingprozesse digitalisieren: Mit digitalen Recruitingprozessen lässt sich die Qualität der Einstellungsverfahren unterstützen erhöhen und diese bieten eine positive Erfahrung für Kandidaten. Moderne Software ermöglicht es, Bewerbungen zentral zu verwalten, mit beteiligten Fachabteilungen zu teilen sowie schneller auf passende Kandidaten zuzugreifen und den Auswahlprozess transparenter zu gestalten. Automatisierte Eingangs- und Bestätigungsmails sparen wertvolle Zeit und reduzieren den administrativen Aufwand. Für Bewerber wie Arbeitgeber bieten digitale Erstgespräche Flexibilität und Komfort, da sie von überall aus durchführbar sind und Reisezeiten sowie -kosten entfallen. Zudem sorgt die Transparenz im Prozess für ein besseres Verständnis der nächsten Schritte und erhöht die Zufriedenheit.
- Mitarbeiterbindung erhöhen: Der Belegschaft sollten regelmäßige Möglichkeiten zum Austausch auf sozialer und fachlicher Ebene angeboten werden, wobei auch die individuellen Bedürfnisse der Mitarbeiter hinsichtlich des Zeitrahmens zu berücksichtigen sind. Unternehmen sollten sich zudem familien-und frauenfreundlich aufstellen – besonders in der IT-Sicherheit sind Frauen noch stark unterrepräsentiert. Hilfreich sind attraktive Möglichkeiten zur Weiterbildung sowie unterschiedliche Karrierepfade für Fach- und Führungskräfte. (www.eco.de)
Mehr Risikofreude und Spannungen mit der Leitungsebene
Dass Veränderungen in der Cyber-Bedrohungslandschaft auch die Art und Weise beeinflusst haben, wie CISOs heute die Risikobereitschaft ihres Unternehmens einschätzen, legt eine zur Jahresmitte veröffentlichte Netskope-Studie nahe, für die von Censuswide insgesamt 1031 CISOs aus Großbritannien, Nordamerika, Frankreich, Deutschland und Japan befragt wurden. Entgegen dem traditionellen Klischee, dass CISOs von Natur aus risikoscheu sind, schätzen in Deutschland nur 16 % der befragten CISOs ihre derzeitige Risikobereitschaft als gering ein – im Vergleich dazu ist die Risikoaversion in Großbritannien mit 27 % wesentlich höher (Werte kumuliert).
Global gesehen halten die CISOs ihre CEOs sogar für viel risikoscheuer als sich selbst, wobei weltweit doppelt so viele Befragte (32 %) ihren CEO als wenig risikofreudig einschätzen – in Deutschland war diese Zahl der Studie zufolge mit 40 % sogar noch höher. Fast die Hälfte (49 %) der CISOs in Deutschland gaben an, dass ihre Risikobereitschaft in den letzten fünf Jahren gestiegen sei – entweder trotz oder wegen der Zunahme des Umfangs und der Raffinesse von Cyber-Bedrohungen (UK: 38 %, FR: 60 %, JP: 84 %).
Gleichzeitig zeige die Studie aber auch Konfliktpotenzial innerhalb der Managementteams in Bezug auf Risiken und die Rolle der CISOs: Eine überwältigende Mehrheit der CISOs weltweit sowie auch in Deutschland (jeweils 92 %) gab an, dass widersprüchliche Auffassungen über Risiken ein Problem in ihrer Führungsetage darstellen – 29 % sagten, dass es häufig zu Spannungen und Herausforderungen komme.
Die größte Ursache für Spannungen in der Führungsebene, die von deutschen CISOs berichtet wurde (30 %), waren Cybersicherheitsrisiken (FR: 40 %, JP: 36 %, Nordamerika 31 %, UK: 26 %) – finanzielle und wirtschaftliche (30 %) sowie betriebliche Risiken (26 %) führen laut Umfrage ebenfalls zu Spannungen in deutschen Unternehmen.
Der vollständige Bericht „Der moderne CISO: Ein Gleichgewicht schaffen“ mit weiteren Einblicken in die Einstellungen der CISOs zu Branchentrends ist über www.netskope.com/de/resources/reports-guides/the-modern-ciso-bringing- balance als 13-seitiges PDF in deutscher Sprache kostenlos verfügbar (Registrierung erforderlich). (www.netskope.de)
TeleTrusT-Leitfaden „Software Bills of Materials“
„Software Bills of Materials“ (SBOMs) sind ein relativ neues Werkzeug zur Verbesserung der Transparenz und Sicherheit in der IT-Lieferkette, dessen Einsatzmöglichkeiten sich in den kommenden Jahren noch deutlich erweitern dürften. Nachdem SBOMs bereits im vorigen Jahr Thema im TeleTrusT-Leitfaden zur Cloud-Supply-Chain-Security war (vgl. <kes> 2023#4, S. 77), hat der Bundesverband IT-Sicherheit e. V. (TeleTrusT) nun einen spezifischen Leitfaden veröffentlicht, der als 19-seitiges PDF unter www.teletrust.de/publikationen/broschueren/cloud-security/ kostenlos verfügbar ist.
Die jetzt veröffentlichte Arbeitshilfe ist in der TeleTrusT-AG „Cloud Security“ entstanden und beschreibt verfügbare SBOM-Tools sowie zukünftige Anforderungen an diese Werkzeuge. Denn aktuelle Tools konzentrieren sich laut TeleTrusT zumeist auf Software im engeren Sinne und berücksichtigen nur unzureichend oder gar nicht erweiterte Anforderungen durch die Nutzung von Cloud-Services – sei es als SaaS, über Cloud-APIs oder durch die dynamische Einbindung gehosteter Softwarebibliotheken.
Auch Bedrohungen durch Schwachstellen in der eingesetzten Hardware oder Netzwerkkomponenten werden durch solche SBOMs nicht erfasst. Lieferanten und ihre Komponenten genießen jedoch oft ein hohes Vertrauen und weitgehende Rechte – dennoch bleibt die Transparenz über die genaue Zusammensetzung dieser Komponenten häufig unzureichend. Diese Kombination führt dazu, dass Unternehmen kaum in der Lage sind, Risiken in der IT-Supply-Chain proaktiv zu erkennen oder entsprechende Angriffe abzuwehren, folgert der Verband. Vielmehr müsse man sich weitgehend auf seine Zulieferer verlassen.
In Deutschland existieren derzeit keine expliziten zivilrechtlichen oder regulatorischen Vorgaben für die Erstellung und Verwendung von SBOMs. Es könne allerdings argumentiert werden, so der TeleTrusT, dass SBOMs Teil des „Stands der Technik“ sind, wie ihn verschiedene Gesetze fordern. Zudem wird der von der Europäischen Kommission vorbereitete Cyber-Resilience-Act (CRA) Hersteller verpflichten, für in der EU vertriebene Produkte SBOMs bereitzustellen. In den USA wurde durch eine Executive-Order vom Mai 2021 die Bereitstellung und Nutzung von SBOMs für Software, die an die US-Administration geliefert wird, verbindlich vorgeschrieben. Unternehmen sollten deshalb schon heute Klauseln zur Verpflichtung der Lieferung und Aktualisierung von
SBOMs in ihre Verträge mit Softwarelieferanten und Diensteanbietern aufnehmen. SBOMs liefern neben Einblicken in die Sicherheit der Lieferkette auch Informationen über die Lizenzen der verwendeten Komponenten und unterstützen so den Abgleich der tatsächlichen Nutzung mit den Lizenzvorgaben. Zukünftig könnten SBOMs darüber hinaus dazu beitragen, die Transparenz im Datenschutz zu erhöhen, indem sie Informationen darüber enthalten, welche Daten von welchen Systemen verarbeitet und gespeichert werden.
(www.teletrust.de)