IT-Sicherheit: Unternehmen suchen händeringend Spezialisten

Jedes zweite Unternehmen findet in Deutschland keine passenden IT-Sicherheitsspezialisten. Jedes dritte hat zudem Probleme bei der Suche geeigneter externer Dienstleister. Die Folge: Vorhandene und neu formulierte IT-Sicherheitsstrategien zum Aufdecken und Abwehren von Hackerangriffen sowie zum Schutz von Daten können nicht wie geplant umgesetzt werden. Das ergibt die Studie "Potenzialanalyse Unternehmen schützen, Risiken minimieren" von Sopra Steria Consulting.

Der Wille und die Absicht in den Chefetagen, für IT-Sicherheit zu sorgen, sind vorhanden. Die Geschäftsleitung ist in 78 Prozent der befragten Unternehmen sensibilisiert. Jedes dritte Unternehmen hat eine separate Abteilung, die das Thema IT- und Informationssicherheit verantwortet. 88 Prozent haben eine IT-Sicherheitsstrategie, erstellen diese gerade oder befinden sich diesbezüglich in der Planung.

Was fehlt, sind qualifizierte Personen, die die Strategie operativ umsetzen. Speziell die öffentliche Verwaltung sowie Energieversorger haben Schwierigkeiten, IT-Forensiker, Anti-Hacking-Experten und Datenschutzspezialisten zu rekrutieren. Die IT-Sicherheitsbehörde Zitis konnte beispielsweise seit der Gründung nur 56 der ausgeschriebenen 120 Stellen besetzen, berichten Medien. Sie konkurrieren mit der Privatwirtschaft. Vor allem öffentliche Arbeitgeber können meist weniger Gehalt zahlen als Unternehmen in der Wirtschaft. Und Spezialisten für IT-Sicherheit gehören mittlerweile zu den Spitzenverdienern. Gehälter für Fachkräfte mit einem MBA und dem Schwerpunkt IT-Security liegen bei mehr als 75.000 Euro pro Jahr, zeigt eine Studie.

Die Unternehmen und Verwaltungen reagieren hierauf: Mehr als jeder zweite Befragte meldet zurück, dass die Budgets für IT-Sicherheit bis 2021 im eigenen Unternehmen steigen sollen, so die Potenzialanalyse. Öffentliche Einrichtungen und Energieversorger stehen hier wieder besonders unter Zugzwang. Ihre IT-Systeme gelten in der Regel als so genannte kritische Infrastrukturen (KRITIS), in denen strengere Sicherheitsvorkehrungen getroffen werden müssen als in anderen Branchen. Kliniken und Stadtwerke sind beispielsweise begehrte Ziele von Hackern. Das wird sich durch die zunehmende Vernetzung von Anlagen, Maschinen und Geräten noch verstärken. Für den Schutz sind Top-Leute gefragt, weil die möglichen Schäden über das Abschöpfen von Daten weit hinausgehen.

Anzeige
upo Social Media-Content-Kalender 2025 für Arbeitgeber

Banken stehen vor ähnlichen Herausforderungen: Die EU-Zahlungsdienste-Richtlinie PSD2 verpflichtet sie, sich gegenüber Drittanbietern zu öffnen. Dies vergrößert die Angriffsfläche, die Institute müssen mehr tun, um das nötige IT-Sicherheitslevel zu halten. "Die Institute müssen sicherstellen, dass auch diese Anbieter und ihre Lösungen die hohen Standards der Banken erfüllen. Das zu kontrollieren, wird bei einer wachsenden Zahl von Partnern immer aufwändiger", sagt Gerald Spiegel, Leiter Information Security Solutions von Sopra Steria Consulting.

Kooperationen zum Kompetenzaufbau sind im Kommen

Unternehmen und öffentliche Verwaltungen suchen nach Lösungen, um die Fachkräftelücke zu schließen. Neben internen Weiterbildungen werden zunehmend Kooperationen geschlossen, beispielsweise die Allianz für Cyber-Sicherheit in Bonn. Derartige Initiativen haben das Ziel, Know-how für die Entwicklung von IT-Sicherheitsstrategien und -maßnahmen zu bündeln und so Ressourcen auf dem Gebiet der IT- und Informationssicherheit zu sparen. Gleichzeitig sollen über Nachwuchsprogramme gezielt Spezialisten qualifiziert werden.

Eine Alternative zum internen Personalaufbau sind externe Dienstleister. Sie sollen Aufgaben bei der Umsetzung von IT-Sicherheitsstrategien übernehmen. Die Mehrheit der befragten Unternehmen hält sich beim Outsourcing dieses sensiblen Themas zurück. 15 Prozent beauftragen punktuell Dienstleister, die von IT-Sicherheitsmanagern aus dem eigenen Haus gesteuert werden. Sechs Prozent haben den Schutz von Systemen und Informationen komplett ausgelagert. Ein Grund für die Zurückhaltung: Die Anforderungen sind speziell und von Unternehmen zu Unternehmen unterschiedlich. Viele Firmen finden nicht den passenden Partner für ihre Situation.

Ein dritter Weg für mehr IT-Sicherheit bei akutem Fachkräftemangel ist, einzelne Prozesse durch Technik zu automatisieren – beispielsweise über regelbasierte Prozeduren und den Einsatz von Künstlicher Intelligenz. "Investitionen in technische Unterstützung werden das Fachkräfteproblem nicht vollständig beseitigen, können aber Mitarbeiter bei Standardüberprüfungen und beim Erkennen von Mustern entlasten und so helfen, für mehr IT-Sicherheit zu sorgen", sagt Gerald Spiegel von Sopra Steria Consulting.

Über die Studie:

Für die Studie "Potenzialanalyse Unternehmen schützen, Risiken minimieren" hat das F.A.Z.-Institut im Auftrag von Sopra Steria Consulting im September 2018 eine Online-Befragung bei 308 Entscheidern und Fachkräften verschiedener Branchen (Banken, Versicherungen, sonstige Finanzdienstleistungen, Energie- und Wasserversorgung, Telekommunikation/Medien, öffentliche Verwaltung, Automotive, sonstiges verarbeitendes Gewerbe) durchgeführt. Die Teilnehmer wurden zu ihren Erfahrungen mit Cyber-Attacken, IT-Sicherheitsstrategien sowie zu den Maßnahmen und Herausforderungen in ihren Unternehmen befragt.

Pressemitteilung