In der vergangenen Woche fand die jährliche RSA Conference statt, bei der die Kernthemen der Informationssicherheit für die kommenden Monate im Vordergrund standen. Für IT-Sicherheitsexperten bietet die RSA die Möglichkeit, Bilanz über das vergangene Jahr zu ziehen, mit Kollegen in Kontakt zu treten und sich über neue Entwicklungen der IT-Sicherheit zu informieren. Für mich stachen in diesem Jahr vor allem zwei Themen heraus:
- Es gibt immer mehr Informationstechnologien, die geschützt werden müssen, aber
- Die Menge an Leuten mit entsprechenden Fähigkeiten ist gefährlich gering.
Diese Themen fanden sich sowohl in einigen der Veranstaltungen als auch in den vielen Unterhaltungen, die auf den Korridoren und Treffpunkten rund ums Moscone Center in San Francisco entstanden, wieder. Zu diesem Thema passen auch zwei kürzlich erschienene Umfragen, die die Diskussion mit Zahlen und Fakten unterfüttern:
- State of Cybersecurity: Implications for 2015. Eine Umfrage von ISACA und RSA Conference (von 1,500 ISACA Zertifikatinhabern und/oder RSA Conference Teilnehmern)
- The 2015 (ISC)² Global Information Security Workforce Study (GISWS; Umfrage unter 13.930 Informationssicherheitsexperten)
Für mich ist eine der wichtigsten Erkenntnisse aus der State of Cybersecurity Umfrage, dass 76 Prozent der Befragten angaben, dass ihr Unternehmen 2014 im Vergleich zum Vorjahr eine Zunahme an Angriffen auf die Sicherheit zu verzeichnen hatte; zudem waren 82 Prozent der Meinung, dass es entweder wahrscheinlich (44 Prozent) oder sogar sehr wahrscheinlich (38 Prozent) auch im Jahr 2015 wieder zu Cyberattacken kommen werde. Das bedeutet also, dass sich Angriffe auf dem Vormarsch befinden und sich die meisten Organisationen dem Risiko bezüglich ihrer eigenen Systeme bewusst sind.
Ein Mangel an Selbstvertrauen und Fähigkeiten
Das zunehmende Bewusstsein für die Unausweichlichkeit eines Cyberangriffs ist eine willkommen Portion an Realismus – vor allem vor dem Hintergrund, dass Sicherheit nun auch auf Vorstandsebene ernst genommen wird. So gaben knapp 80 Prozent der Befragten aus der State of Cybersecurity Umfrage an, dass sich ihre Vorgesetzten Gedanken über Cybersicherheit machen.
Diese Realität birgt allerdings auch eine Schattenseite, wenn man bedenkt, dass weniger als die Hälfte (46 Prozent) der Teilnehmer dieser Umfrage uneingeschränkt davon ausgehen, dass sie in der Lage wären, Sicherheitsvorfälle zu erkennen und darauf zu reagieren. Zwar antworteten nur 13 Prozent mit „nein“, doch 41 Prozent sagten: „Ja, aber nur bei einfachen Problemen“. Auf die Frage, wieso eine so große Unsicherheit besteht, bietet die Umfrage ebenfalls Erklärungen – vor allem den Mangel an hinreichend qualifiziertem Sicherheits-Personal.
In Bezug auf die Anstellung von Sicherheitsexperten erklärten über 50 Prozent der Befragten, dass weniger als ein Viertel der Bewerber tatsächlich für die offene Stelle qualifiziert sei. Das ist eine ziemlich erschütternde Zahl. Zu den Konsequenzen dieser Situation – die nichts Gutes für die Fähigkeit von Unternehmen, angemessen auf Cyberangriffe zu reagieren, prophezeien – gehören vor allem die folgenden vier Punkte:
- Manche Positionen sind unterbesetzt
- Manche frisch Angestellte benötigen noch Zeit, um sich einzuarbeiten
- Manche Positionen sind für eine unangenehm lange Zeit nicht besetzt
- Manche Position sind gar nicht besetzt
Aus der Umfrage geht hervor, dass zwei Drittel der Organisationen Schwierigkeiten haben, Positionen im Sicherheitsbereich in weniger als drei Monaten zu besetzen. Und fast jedes zehnte Unternehmen schaffte es gar nicht, die Stelle zu besetzen.
Um noch tiefer in dieses Thema des Fachkräftemangels vorzudringen, lohnt sich ein Blick in die GISWS. Für mich gehört zu den zentralen Ergebnissen, dass 62 Prozent der Befragten angaben, dass ihre Organisation zu wenig Sicherheitsexperten habe. Vor zwei Jahren waren es noch 56 Prozent und während es für diese Situation vielerlei Gründe gibt, spielen Bezahlung und Jobzufriedenheit hierbei weniger eine Rolle. Der Mangel ergibt sich hauptsächlich aus einer Kombination der folgenden Punkte:
- Es gibt einen höheren Bedarf, weil es immer mehr Dinge gibt, die geschützt werden müssen (man denke an BYOD, Cloud, Internet der Dinge, Big Data usw.)
- Es finden immer mehr Angriffe von verschiedenen Seiten statt (man denke an Kriminelle, Staaten und Hacktivisten)
- Es gibt nicht genügend Leute, die in den Bereich einsteigen
Der Mehrzahl an Sicherheitsexperten, die angeben, dass sie mit ihrem Job zufrieden sind, steht eine Mehrheit an Organisationen gegenüber, die einen Mangel an Personal beklagen. Wenn ihr an weiteren Informationen zu diesem Thema interessiert seid, empfehle ich euch die Lektüre des Berichts. Das Fazit der Analysten von Frost & Sullivan ist, dass der globale Fachkräftemangel bei gleichbleibendem Trend bis zum Jahr 2019 auf 1,5 Millionen ansteigen wird.
Die Entwicklung des Fachkräftemangels aufhalten
Den derzeitigen Trend aufzuhalten – und für mehr gut ausgebildete Sicherheitsexperten zu sorgen – war auch in einigen der Veranstaltungen bei der RSA Conference zentrales Thema, allen voran bei der von ESET gesponserten Einheit: „Cultivating a New Generation of Cyber-Workforce Talent“. Diese wurde von Michael Daniels vom Weißen Haus und Phyllis Schneck von DHS geleitet.
Bei der Auseinandersetzung mit IT-Sicherheit als Karrieremöglichkeit ist es wichtig, dass man die vielen verschiedenen Aspekte berücksichtigt, die bei dieser Profession eine Rolle spielen. Die GISWS gibt Aufschluss darüber, welche Themen Sicherheitsexperten mit Blick auf aktuelle und zukünftige Herausforderungen als zentral erachten. Die folgende Tabelle zeigt sechs wichtigsten Fähigkeiten und Kompetenzen.
Bei all der Negativität darf man allerdings nicht vergessen, dass es auch schon jetzt einige Bemühungen gibt, mehr Menschen für den Bereich der Informationssicherheit zu begeistern. In den USA werden viele dieser Aktionen von der NICE (National Initiative for Cybersecurity Education) geführt. Und auch CompTIA und (ISC)² engagieren sich sehr. Unklar ist allerdings, inwiefern das Training und die Bildung, die heutzutage angeboten werden, dem voraussichtlichen Bedarf entsprechen – sowohl in Bezug auf Umfang als auch Inhalt. Die GISWS gibt einige gute Hinweise, aber darüber hinaus werden dauerhafte Untersuchungen benötigt.