Riskanter Fachkräftemangel in Deutschland
Fast zwei Drittel der deutschen Befragten zur ISC2 Cybersecurity Workforce Study 2024 beklagen Personalengpässe im Bereich Cybersicherheit ihrer Organisationen und nur jedes zehnte Cybersicherheitsteam leidet demnach zumindest nicht unter Kompetenzlücken. 55 % der deutschen Cybersicherheitsexperten gaben laut ISC2 an, dass ihre Organisation durch Personalengpässe bereits heute erheblichen Risiken ausgesetzt sei.
Auch global verschärft sich der Studie zufolge die Lage fehlender Security-Fachkräfte (vgl. Abb.): ISC2 schätzt, dass weltweit noch fast fünf Millionen Mitarbeiter* fehlen. Das Wachstum der globalen Belegschaft im Bereich Cybersicherheit stagniere dabei erstmals seit sechs Jahren bei 5,5 Millionen Erwerbstätigen (+0,1 % im Jahresvergleich).
ISC2 schätzt, dass die Anzahl der in Deutschland tätigen Cybersicherheitsfachkräfte von 456 000 in 2023 auf 439 000 in 2024 gesunken ist. Dem gegenüber steht ein steigender Bedarf, durch eine Bedrohungslage, die 72 % der deutschen Cybersicherheitsexperten als die herausforderndste der letzten fünf Jahre sehen, sowie Vorschriften wie die NIS-2-Richtlinie, die strengere Anforderungen an deutlich mehr Organisationen stellt als andere Regularien zuvor. Dies führe dazu, dass sich die Personallücke im vorigen Jahr um 15 % vergrößert hat – laut Studie werden insgesamt 120 000 zusätzliche Fachkräfte benötigt, um Organisationen in Deutschland ausreichend zu schützen.
62 % der befragten deutschen Cybersicherheitsfachleute gaben an, dass ihre Organisationen von Personalengpässen im Bereich Cybersicherheit betroffen sind – die Mehrheit führt dies darauf zurück, dass ihre Organisation nicht genügend qualifiziertes Personal finden kann (52 %), gefolgt von fehlenden Wachstums- oder Aufstiegsmöglichkeiten (29 %) sowie Budgetproblemen (27 %). Deutschland ist das einzige Land in der Studie, in dem Fachkräftemangel der mit Abstand führende Grund für Personalengpässe ist – global ist erstmals fehlendes Budget (39 %) als Folge abnehmender Investitionen in Cybersicherheit der Hauptgrund.
Obwohl Cybersicherheitsteams in Deutschland seltener als in anderen Ländern von Budgetkürzungen betroffen sind, verzeichnen 90 % von ihnen Kompetenzlücken. Die häufigsten Qualifikationslücken bei technischen Fähigkeiten gebe es in den Bereichen Cloud-Computing-Sicherheit (31 %), künstliche Intelligenz (KI) und maschinelles Lernen (ML) sowie Implementierung von Zero Trust (jeweils 28 %), die zugleich auch die meistgefragten Fähigkeiten aus Karrieresicht sind. Die Hälfte der deutschen Cybersicherheitsfachkräfte zählt diese Personal- und Qualifikationslücken zu den größten Herausforderungen in den kommenden zwei Jahren – noch vor regulatorischen Anforderungen (48 %) und den Risiken neuer Technologie (44 %).
„Deutschland verfügt über eine vergleichsweise hohe Anzahl an Cybersicherheitsfachkräften, aber steht vor der besonderen Herausforderung, den steigenden Bedarf trotz Fachkräftemangels zu decken“, kommentiert Edward Parsons, Vizepräsident für Global Markets and Member Relations bei ISC2. „Um die Sicherheit von Organisationen in Deutschland zu gewährleisten, müssen die Qualifikationslücken in Cybersicherheitsteams geschlossen werden. Dafür ist es notwendig, mehr Fokus auf die Einführung neuer Technologie wie generativer KI zu legen und in die Ausbildung und Umschulung von Fachkräften zu investieren. Den Karrierepfad inklusiver und attraktiver für Frauen zu machen, kann ebenfalls erheblich dazu beitragen, die Personallücke zu schließen – Frauen sind mit nur 21 % unter deutschen Cybersicherheitsfachleuten stark unterrepräsentiert.“
Der Großteil der Cybersicherheitsexperten in Deutschland (57 %) glaubt, dass Fortschritte in generativer KI dazu beitragen können, die Auswirkungen von Personal- und Qualifikationsmängeln zu mildern und 74 % gehen davon aus, dass KI ihnen ihre Arbeit zukünftig erleichtern wird. KI gehört demnach laut ISC2 neben Automatisierung und Zero-Trust-Netzwerkzugriff zu den drei aufkommenden Technologien im Bereich Cybersicherheit, von denen sich die Befragten den größten positiven Einfluss auf den Schutz ihrer Organisationen versprechen.
Lediglich 27 % der deutschen Befragten gaben allerdings an, bereits heute über umfangreiche oder Expertenkenntnisse in KI und maschinellem Lernen zu verfügen, während 25 % keine oder nur minimale Kenntnisse haben. Der organisatorische Bedarf an der Absicherung von KI-Implementierungen wird jedoch von 71 % der deutschen Cybersicherheitsfachleute als eine Karrierechance gesehen. 56 % bereiten sich darauf vor, indem sie mehr über KI lernen und KI-bezogene Kompetenzen erwerben oder haben dies bereits getan; weitere 38 % planen dies in Zukunft zu tun.
Obwohl 51 % von ihnen erwarten, dass bestimmte Fähigkeiten durch generative KI obsolet werden, machen sich nur 29 % der deutschen Befragten Sorgen um die Zukunftssicherheit ihrer Rolle. 61 % der Cybersicherheitsexperten in Deutschland gehen davon aus, dass nicht-technische Kompetenzen dafür an Bedeutung gewinnen werden, was vielen den Einstieg in die Cybersicherheitsbranche erleichtern könnte.
Eine ausführliche Analyse der globalen Ergebnisse der ISC2-Studie ist als 50-seitiges PDF in englischer Sprache über www.isc2.org/Insights/2024/10/ ISC2-2024-Cybersecurity-Workforce-Study kostenlos verfügbar. Weiterführende Informationen über Frauen in der Cybersicherheitsbranche sowie Gender-Ungerechtigkeiten stellt ISC2 unter www.isc2.org/insights/2024/08/cybersecurity-gender-imbalance-in-the-spotlight bereit. (www.isc2.org)
Certified Cybersecurity Operations Analyst (CCOA)
Um Arbeitgebern bei der Suche nach qualifizierten Bewerbern zu helfen und Cybersecurity-Profis dabei zu unterstützen, ihre praktischen Fähigkeiten unter Beweis zu stellen, hat die ISACA das neue Zertifikat „Certified Cybersecurity Operations Analyst“ (CCOA) eingeführt (www.isaca.org/credentialing/ccoa). Es biete praktische, leistungsbasierte Übungen, die reale Szenarien simulieren und heutige Technologie nutzen.
CCOA wurde laut Anbieter für Cybersecurity-Experten mit einigen Jahren Erfahrung entwickelt. Das Zertifikat ermögliche es Analysten, ein tieferes Verständnis dafür zu erlangen, wie man Cyber-Bedrohungen identifiziert und auf sie reagiert. Zugleich vermittele es, wie man Schwachstellenbewertungen durchführt und Anleitungen zu branchenüblichen Best Practices für die Sicherung von Vermögenswerten bereitstellt.
Der CCOA konzentriere sich dabei sowohl auf technische als auch auf regulatorische Fertigkeiten und befasse sich mit den neuesten Cybersecurity-Herausforderungen von KI-gesteuerten Angriffen bis hin zur Einhaltung gesetzlicher Vorschriften. Als „global validierte Schlüsselbereiche“ des Zertifikats nennt die ISACA Cybersecurity-Prinzipien und -Risiken, Taktiken, Techniken und Verfahren von Angreifern, Erkennung von und Reaktion auf Vorfälle sowie die Sicherung von Anlagen. (www.isaca.org)