Im heutigen digitalen Zeitalter, in dem nahezu alle Aspekte unseres Lebens miteinander vernetzt und von der Technologie abhängig sind, spielt die Cybersicherheit eine entscheidende Rolle. Um sich vor Cyberbedrohungen zu schützen, sind geschulte IT-Sicherheitsexperten in Unternehmen unerlässlich.

Die aktuellen Tendenzen zeigen jedoch, dass es einen Mangel an Experten gibt, insbesondere im Bereich der Cybersicherheit. Laut McKinsey fehlen den Bundes-, Landes- und Kommunalverwaltungen bereits 39.000 IT-Fachleute. Bis 2030 wird diese Zahl voraussichtlich auf 140.000 ansteigen. Das Institut für Wirtschaft bestätigt dies und sagt, dass im Jahr 2022 68.000 IT-Stellen unbesetzt blieben. Gründe für diesen Mangel und seine möglichen Folgen lesen Sie nachfolgend.

Die steigende Nachfrage nach Cybersicherheitsexperten

Die Nachfrage nach Cybersicherheitsexperten ist in den letzten zehn Jahren sprunghaft angestiegen. Inzwischen geben 9 von 10 Unternehmen an, Opfer von  Cyberkriminalität in Form von Cyberangriffen, aber auch Industriespionage oder Sabotage geworden zu sein. Unternehmen sind daher gefordert, in die Cybersicherheit der eigenen Organisation zu investieren und dem Thema IT-Sicherheit höchste Priorität einzuräumen. Folgende Aspekte verstärken diese Entwicklung noch weiter:

• Die sich ständig weiterentwickelnde Bedrohungslandschaft: Cyberbedrohungen werden immer komplexer und vielfältiger. Für Unternehmen ist es daher notwendig, Experten zu beschäftigen, die diese Herausforderungen effektiv erkennen und bekämpfen können.
• Einhaltung von Rechtsvorschriften: Verordnungen und gesetzliche Vorgaben, wie z.B. die aktuelle NIS-2-Richtlinie, schreiben vor, dass in Unternehmen ein bestimmtes Niveau an IT-Sicherheit herrschen muss. Insbesondere Unternehmen aus kritischen, aber aufgrund der NIS-2-Richtlinie auch aus wichtigen Sektoren müssen diese Anforderungen erfüllen. Darüber hinaus verlangen strenge Datenschutzbestimmungen wie die DSGVO bestimmte Maßnahmen zur Gewährleistung der Datensicherheit. Für die korrekte Ausführung und Umsetzung bedarf es immer mehr Fachkräfte.
• Remote Work-Konzepte: Die Corona-Pandemie hat den Arbeitsplatz vieler Arbeitnehmenden in die eigenen vier Wände verlegt. Auch nach der Pandemie halten viele Unternehmen am Konzept des Homeoffice fest. Um den Mitarbeitenden einen sicheren Arbeitsbereich zu ermöglichen und damit die eigene IT-Sicherheitsinfrastruktur nicht zu gefährden, müssen Experten ständig im Einsatz sein, um Bedrohungen wie dem Aufkommen von Schatten-IT zu begegnen.
• Internet der Dinge: Da immer mehr Geräte miteinander verbunden sind, kommunizieren und interagieren, wird auch die IT-Infrastruktur immer komplexer. Wenn ein Gerät manipuliert wird oder ins Visier von Cyberkriminellen gerät, kann sich die Störung oder der Ausfall schnell auf die angeschlossenen Geräte ausbreiten. Um Bedrohungen abzuwehren und potenzielle Schwachstellen zu schützen, sind spezielle Fähigkeiten erforderlich.

Das erklärt, warum IT- und Cybersicherheitsexperten so gefragt sind. Doch wie kam es dazu, dass die Nachfrage nach Fachkenntnissen das Angebot übersteigt und der Mangel an erfahrenem Personal zu einem solchen Problem geworden ist? Auch hier lassen sich mehrere Faktoren benennen, die hierzu beigetragen haben:

1. Schnelle technologische Fortschritte: Cyberbedrohungen entwickeln sich rasant, und die Fähigkeiten, die zu ihrer Abwehr erforderlich sind, müssen damit Schritt halten. Herkömmliche Ausbildungsprogramme für Cybersicherheit haben oft Schwierigkeiten, sich an diese schnellen Veränderungen anzupassen.
2. Mangel an Bildung und Ausbildung: Nach Angaben des Instituts der deutschen Wirtschaft fehlten allein im vergangenen Jahr fast 34.000 Fachkräfte. Grund dafür war, dass es keine entsprechend qualifizierten Arbeitskräfte für diese Jobs gab. Besorgniserregend ist, dass nach Meinung der Experten vorerst keine Besserung in Sicht ist, da die Zahl der Studierenden in den Bereichen Mathematik, Informatik, Naturwissenschaften und Technik in den ersten Hochschulsemestern in den letzten Jahren zurückgegangen ist.
3. Hohe Fluktuationsraten: Die sich ständig verändernde Landschaft und der hohe Druck in Cybersicherheitspositionen können zu Burnout und hoher Fluktuation führen. Diese Fluktuation macht es für Unternehmen schwierig, ein konstantes Cybersicherheitsteam aufzubauen.
4. Altersbedingter Ruhestand: Ein weiterer nicht zu unterschätzender Faktor ist, dass Fachkräfte in den Ruhestand gehen. Auch dazu hat das Institut der deutschen Wirtschaft Zahlen veröffentlicht: Demnach ist davon auszugehen, dass bis 2030 mehr als 1,5 Millionen Beschäftigte altersbedingt aus dem öffentlichen Dienst ausscheiden werden.
5. Wettbewerb um Talente: Unternehmen aus fast allen Branchen konkurrieren um einen begrenzten Pool von Talenten im Bereich der Cybersicherheit. Der Wettbewerb ist daher immens. Dies wirkt sich auch auf die Gehälter aus. Talente werden immer teurer, und vor allem kleine und mittelständische Unternehmen und gemeinnützige Organisationen haben Probleme, Cybersicherheitsexperten einzustellen, weil sie mit den geforderten Gehältern nicht mithalten können.
6. Mehr Fachkräfte betrachten den Arbeitsmarkt global: Die Globalisierung führt dazu, dass vor allem junge Berufstätige nicht mehr nur einen Arbeitsplatz in ihrem Heimatland in Erwägung ziehen, sondern ihre Suche weltweit ausdehnen. Viele talentierte Menschen suchen eine Herausforderung und sind bereit, im Ausland zu arbeiten – für eine begrenzte Zeit, aber auch dauerhaft. Auf der anderen Seite sind internationale Unternehmen explizit daran interessiert, Talente aus verschiedenen Teilen der Welt zu rekrutieren, um Erfahrungen, Fachwissen und Know-how zu bündeln. Vor allem große, globale Unternehmen üben eine gewisse Anziehungskraft aus, die für junge Talente attraktiv und interessant ist.

Konsequenzen des Fachkräftemangels

Der Mangel an qualifizierten Cybersicherheitsexperten hat weitreichende Folgen. So sind Unternehmen mit unzureichend ausgebildeten Cybersicherheitsteams einem erhöhten Risiko ausgesetzt. Diese Unzulänglichkeit macht sie anfälliger für eine Reihe von Bedrohungen, darunter Cyberangriffe, Datenlecks und finanzielle Verluste. In einem Cybernotfall kann der Mangel an erfahrenen Cybersicherheitsexperten zu langsameren Reaktionszeiten führen. Diese Verzögerungen bieten Angreifern ein größeres Zeitfenster, um größeren und weitreichenderen Schaden anzurichten. Die Folgen einer zu verzögerten oder ineffizienten Reaktion auf einen Cybervorfall können schwerwiegend sein. Zum einen können die Kosten für die Behebung des IT-Sicherheitsvorfalls drastisch ansteigen und die Ressourcen eines Unternehmens übersteigen. Hinzu kommen weitere negative Folgen wie Betriebsunterbrechungen, Datenverluste, Vertragsstrafen und eine erhebliche Schädigung von Image und Ruf eines Unternehmens.

Der Mangel an IT- und Cybersicherheitsexperten kann auch negative Auswirkungen auf den technologischen Fortschritt haben. So können beispielsweise Innovationen gebremst oder sogar die Einführung neuer Technologien behindert werden. Aus Angst vor potenziellen Sicherheitsrisiken zögern die Unternehmen eventuell, bestehende Strukturen zu ändern. Langfristig kann dies die Wettbewerbsfähigkeit eines Unternehmens in der sich ständig weiterentwickelnden Geschäftslandschaft beeinträchtigen.

Im Bereich der Einhaltung von Gesetzen und Vorschriften ist der Datenschutz ein Hauptanliegen. Fehlt es Unternehmen an qualifiziertem Personal und damit an ausreichenden Sicherheitsmaßnahmen, setzen sie sich im Falle eines IT-Sicherheitsvorfalls dem Risiko hoher Bußgelder und rechtlicher Konsequenzen aus. Die Nichteinhaltung von Datenschutzgesetzen führt zu einer weiteren Ebene potenzieller rechtlicher Komplikationen. Die Auswirkungen unterbesetzter und unzureichend ausgebildeter Cybersicherheitsteams gehen also weit über die unmittelbare Bedrohungslage hinaus und umfassen auch finanzielle, betriebliche und rechtliche Herausforderungen.

Wie sollte das Problem in Zukunft behandelt werden?

Der Mangel an qualifizierten Cybersicherheitsexperten ist ein akutes Problem, das jedes Unternehmen betreffen kann. Da sich die digitale Landschaft weiterentwickelt, müssen Unternehmen in Bildungs- und Schulungsprogramme investieren, ihre Einstellungspraktiken diversifizieren und eine Cybersicherheitskultur fördern, um diese wachsende Herausforderung zu bewältigen. Die Überbrückung der Qualifikationslücke ist nicht nur für den Schutz sensibler Daten entscheidend, sondern auch für die allgemeine Stabilität und Sicherheit unserer zunehmend vernetzten Welt.

Wenn es Unternehmen nicht möglich ist, ihre eigenen Talente auszubilden oder eigene IT-Abteilungen aufzubauen, gibt es durchaus andere Möglichkeiten, das Cyberbewusstsein innerhalb der eigenen Organisation zu stärken. Dienstleister wie Perseus bieten Weiterbildungsformate an, die Mitarbeitende für die Angriffsarten und Methoden von Cyberkriminellen sensibilisieren und so dazu beitragen, Angriffe zu verhindern und im Falle eines Cybernotfalls die richtige und schnelle Reaktion sicherzustellen. Auch externe IT-Experten und Cyber-Notfall-Hotlines unterstützen im Ernstfall und können so Schlimmeres verhindern.

In der EU werden derzeit auf nationaler Ebene Gesetze zur Umsetzung der neuen Richtlinie (NIS-2) ausgearbeitet, die zur Stärkung der Cyberresilienz in Europa erlassen wurde. Diese NIS-2-Richtlinie legt Maßnahmen fest, die Unternehmen aus wichtigen/wesentlichen sowie kritischen Sektoren einhalten müssen. Um diese Anforderungen in der Folge umzusetzen, sind Unternehmen auf qualifizierte Fachkräfte angewiesen, die speziell und umfangreich in IT und Cybersicherheit ausgebildet sind.

Um dieses Problem langfristig lösen zu können, bedarf es sicherlich auch Initiativen aus der Politik. So sollten Anreize und Impulse geschaffen werden, damit sich junge Fachkräfte für ein Studium oder eine Ausbildung in den Bereichen IT-Sicherheit und Cybersicherheit entscheiden. Auch sollten Programme für Quereinsteiger geschaffen und die Bemühungen der Unternehmen um die Ausbildung von IT-Fachkräften honoriert und gefördert werden.