Askhat Gilyakhov Shutterstock.comLaut dem Fortinet Global Cybersecurity Skills Gap Report 2024 erlebten 2023 fast 90 Prozent der deutschen Unternehmen mindestens einen Sicherheitsvorfall, der zumindest teilweise auf fehlende Cybersecurity-Kompetenzen zurückzuführen war. Zu den häufigsten Bedrohungen zählten demnach Malware (44 Prozent), Phishing (36 Prozent) sowie Webattacken (31 Prozent).Lesetipp: Diese Unternehmen hat’s schon erwischt Deutschland hat es in den vergangenen Jahren versäumt, eine eigene Cybersecurity-Industrie aufzubauen, und die Bedeutung des Themas wird bis heute unterschätzt. Ein Beispiel dafür ist T-Systems, ein Unternehmen, das für die Cybersecurity keine deutsche Technologie verwendet, sondern auf amerikanische Tools zurückgreift. Und das ist kein Einzelfall: Deutsche Firmen, ob Großkonzern oder Mittelstand, nutzen nahezu ausschließlich ausländische Software.Auch bei der Rekrutierung von Cybersecurity-Spezialisten haben die Endkunden, unabhängig von der Unternehmensgröße, massive Probleme. Der wohl wichtigste Grund dafür ist ein deutliches Pay-Gap: Sicherheitsunternehmen wie Palo Alto oder Fortinet zahlen Fachkräften zwischen 20 und 40 Prozent mehr als beispielsweise Lufthansa oder auch mittelständische Unternehmen.Außerdem ist die Arbeit beim Endkunden oft eindimensional und somit weniger attraktiv für Fachkräfte aus der Branche. Große Konzerne könnten zwar theoretisch bei der Bezahlung mithalten, doch oft scheitert es an unflexiblen Tarifstrukturen und nicht ausreichend informierten Betriebsräten. Für Mittelständler ist es noch schwieriger, geeignetes Cybersecurity-Personal zu gewinnen, da sie angemessene Gehälter für Fachpersonal nicht zahlen können.Lesetipp: Deutschland noch immer schlecht auf Cyberangriffe vorbereitet
Outsourcing als Alternative für Endkunden
Vielen Unternehmen bleibt deshalb meist nur die Möglichkeit des Outsourcings an externe Cybersecurity-Firmen. Je kleiner der Endkunde, desto schwieriger wird es, selbst geeignete Fachkräfte einzustellen und im Unternehmen zu halten. Allerdings muss das Outsourcing keine schlechte Lösung sein. Externe Experten anzuheuern ist kaum teurer, als eigene Fachkräfte einzustellen. US-Security-Experte Palo Alto zum Beispiel hat viele Synergien bei seinen Prozessen und kann Endkunden deshalb gute Preise anbieten. Die klare Empfehlung an deutsche Mittelständler lautet deshalb, an Security-Partner outzusourcen.Der Boom der Cybersecurity-Unternehmen in den vergangenen Jahren ist nicht zuletzt auf den eklatanten Mangel an Fachkräften bei den Endkunden zurückzuführen. Die Aufgaben bei Endkunden sind für viele Cybersecurity-Profis einfach nicht attraktiv und abwechslungsreich genug. Denn Security-Verantwortliche bei Endkunden sind in der aktuellen Situation oft nur Projektmanager für mehrere externe Dienstleister.Lesetipp: Mit MXDR gegen den Fachkräftemangel
Wie lassen sich eigene Cybersecurity-Spezialisten gewinnen?
Wer wirklich passende Fachkräfte selbst akquirieren will, muss bereits bei der Ausbildung ansetzen und in entsprechenden Studiengängen für sich werben. Der War for Talents ist jedoch äußerst hart, da die Universitäten in Deutschland viel zu wenig ausbilden, um den wachsenden Bedarf zu decken. Das führt dazu, dass selbst Cybersecurity-Unternehmen ihre Low-Level-Tätigkeiten ins kostengünstigere Ausland, etwa nach Polen, Indien oder Nepal, verlagern müssen.Um diese Mangelsituation zu beseitigen und mehr Studierende für das Thema zu begeistern, braucht es grundlegende Weichenstellungen. Besonders weibliche Studierende sind in diesem Bereich bislang so gut wie gar nicht zu finden. So liegt beispielsweise der Männeranteil des Studiengangs IT-Sicherheit in Hamburg bei 99 Prozent.Wir müssen in Deutschland Cybersecurity als strategisch wichtiges Thema positionieren und unser eigenes Ökosystem aufbauen. Dazu bedarf es Hochschulen, Forschung und die Abnehmer aus der Praxis.
Ein Blick ins Ausland zeigt, wie es besser geht
Das Thema IT-Security braucht in der Politik einen viel höheren Stellenwert. Leider gibt es hierzulande in der politischen Landschaft noch immer abfällige Stimmen über das Bundesamt für Sicherheit in der Informationstechnik (BSI) und dessen Rolle. Teilweise sind diese auch berechtigt. Zum Beispiel ist das BSI freitags bereits ab 17 Uhr geschlossen. Doch Cyberattacken kennen weder Dienstschluss noch Wochenende.Wie es scheint, wird die Bedeutung einer soliden Sicherheitsarchitektur in der deutschen Politik und Gesellschaft bislang noch nicht ausreichend erkannt und es fehlt die Awareness für die Vielzahl an Bedrohungen. Allerdings haben die Bedrohungen seit Beginn des Ukrainekriegs im Februar 2022 noch deutlich zugenommen.Andere Länder sind deutlich weiter: So gibt es etwa in Großbritannien und Frankreich längst eigene Ministerien für IT-Sicherheit. Das Thema Cybersecurity muss dringend aus der Ecke raus und auch in Deutschland endlich zur Chefsache werden.Unser Nachbar Polen ist hier wesentlich besser aufgestellt: Das Land zählt zu den führenden europäischen Nationen im Bereich Cybersecurity und ist durch die geopolitische Lage frühzeitig sensibilisiert worden. Polen agiert proaktiv und hat seine Bemühungen an den USA ausgerichtet. Aber auch die baltischen Staaten haben im Bereich IT-Sicherheit in den vergangenen Jahren massiv aufgerüstet und das Thema mit einem Cybersecurity-Minister in der Bevölkerung verankert.Ebenfalls als Vorbild kann Deutschlands nördlicher Nachbar Dänemark gelten: Das Land verfügt über die Infrastruktur und das Know-how, um die gesamte Cybersecurity für die Ukraine abzuwickeln. Dänemark unterstützt hier und liefert Sicherheits-Konzepte und -Produkte und betreut darüber hinaus die komplette Umsetzung im Land. Dort heißt es sogar: Die Stärkung der Cybersecurity sei ebenso wichtig wie die nächste Panzerlieferung.Im Gegensatz dazu hat Deutschland es bislang versäumt, für diese Schlüsseltechnologie ein eigenes Ökosystem und eine eigene Industrie aufzubauen. Doch um unser industrielles Know-how und unsere Demokratie vor Angriffen zu schützen, müssen wir in Ausbildung und Forschung investieren. (jm)
First seen on csoonline.com
Jump to article: www.csoonline.com/article/3619747/cybersecurity-defizite-bedrohen-deutschland.html