5 Wege, wie SMBs die Lücke in der Cybersicherheitskompetenz schließen können

Laut einem Bericht des International Information System Security Certification Consortium [(ISC)²] hat die Zahl der Beschäftigten im Bereich Cybersicherheit im vergangenen Jahr weltweit einen Rekordwert von 4,7 Millionen erreicht, da Hunderttausende neue Mitarbeiter in diesen expandierenden Bereich eingestiegen sind[1 ]. Aber selbst wenn 464.000 Cybersecurity-Mitarbeiter hinzukommen, wächst der Mangel an Cybersecurity-Talenten weiter. (ISC)² schätzt die Zahl der unbesetzten Stellen im Bereich Cybersicherheit im Jahr 2022 auf 3,4 Millionen, wobei die meisten unbesetzten Stellen in China, Indien, den USA und Brasilien zu finden sind.

Dies ist gut für Arbeitnehmer mit einer Cybersicherheitsausbildung, die die Nachfrage nach ihren Diensten nutzen können, um höhere Gehälter und schnellere Beförderungen auszuhandeln. Weniger positiv ist es für diejenigen, die auf der Einstellungsseite stehen. Besonders schwer haben es kleine und mittlere Unternehmen (KMU), denen die finanziellen Mittel oder der Bekanntheitsgrad fehlen, um um diese wichtigen Arbeitskräfte zu werben.

Kleinere Unternehmen können jedoch nicht einfach die Hände in den Schoß legen. Da die Cyberkriminalität zunehmend auch kleinere Unternehmen betrifft, müssen KMUs Wege finden, die Lücken in ihrer Cybersecurity-Kompetenz zu schließen. KMU-Führungskräfte müssen möglicherweise einen kreativeren Ansatz wählen, um die erforderlichen Cyber-Fähigkeiten zu erwerben. Sie können auch Software einsetzen, um einige Aspekte der Cybersicherheit zu automatisieren, so dass sie sich trotz eines begrenzten Kontingents an menschlichem Fachwissen schützen können. Mimecast zum Beispiel hat in den letzten Jahren damit begonnen, Tools zu entwickeln, die speziell auf die Unterstützung von KMUs ausgerichtet sind. 

5 Maßnahmen, die SMBs ergreifen können, um Cyber-Rollen zu besetzen

Wie die Nationalmannschaft eines kleineren Landes, die an einem globalen Sportereignis teilnehmen möchte, sollte die erste Frage für KMU nicht lauten, ob sie die Meisterschaft gewinnen können, sondern wie sie auf das gleiche Spielfeld gelangen können. Dabei ist ein gewisses Maß an Flexibilität hilfreich.

Flexibilität bei der Einstellung von Cybersecurity-Mitarbeitern bedeutet für KMUs, dass sie ihr Potenzial über ihre beruflichen Leistungen stellen. Es kann auch bedeuten, dass sie ihre geringere Größe zu ihrem Vorteil nutzen. Im Folgenden finden Sie fünf Maßnahmen, die KMU ergreifen können, um auf dem umkämpften Talentmarkt Stellen im Bereich Cybersicherheit zu besetzen:

1. Verzichten Sie auf unrealistische Anforderungen an den Lebenslauf.

Bei der Suche nach jemandem, der für die Leitung von Cybersicherheitsprozessen und -systemen zuständig ist, ist die Versuchung groß, einen Kandidaten mit drei, vier oder fünf Jahren Erfahrung zu suchen. Leider sind solche Kandidaten in den Gewässern, in denen KMUs nach Talenten fischen, selten. Oft sind die Gehaltsvorstellungen eines solchen Bewerbers höher als das, was ein KMU bieten kann. In anderen Fällen zieht der potenzielle neue Mitarbeiter das Prestige vor, für ein größeres Unternehmen mit einem anerkannten Namen zu arbeiten - ein Wunsch, der vielleicht erst in der Endphase des Vorstellungsgesprächs oder kurz nach der Einstellung des Mitarbeiters deutlich wird.

Eine Möglichkeit für KMUs, diesen kostspieligen Fehler zu vermeiden, besteht darin, neu zu definieren, wie der ideale Bewerber aussieht. So könnten beispielsweise KMU in Universitätsstädten versuchen, junge Hochschulabsolventen einzustellen. Solche Kandidaten haben keine langen Lebensläufe, aber sie haben vielleicht kürzlich praktische Erfahrungen mit Cybersicherheit durch die Arbeit in den Technologielabors ihrer Schulen gesammelt. Ein weiterer Vorteil ist, dass die neuen Absolventen weniger vorgefasste Meinungen über die technologische Infrastruktur an ihrem neuen Arbeitsplatz haben. Dies ist eine gute Lösung für die meisten kleinen und mittleren Unternehmen, die vielleicht nicht über die anspruchsvollste technologische Infrastruktur verfügen.

2. Beauftragen Sie jemanden, der bereits in Ihrem Unternehmen für die Cybersicherheit zuständig ist.

Wenn Sie als Sheriff für den Schutz einer Kleinstadt zuständig wären, die von Eindringlingen bedroht wird, würden Sie nicht die Augen vor der Gefahr verschließen, sondern ihr zuvorkommen und wahrscheinlich jemanden zu Ihrem Stellvertreter ernennen. Dasselbe gilt für CEOs von KMUs, die sich mit Cyber-Risiken auseinandersetzen müssen, unabhängig davon, ob die Cyber-Bedrohungen in Form von Phishing-, Ransomware- oder Imitationsangriffen auftreten. Oft besteht die Möglichkeit, einen bestehenden Mitarbeiter mit der Überwachung der Cybersicherheit zu betrauen.

Es ist möglich, dass keiner Ihrer Mitarbeiter einen Titel im Technologiebereich hat. In der Regel gibt es jedoch mindestens eine Person, die sich mit den IT-Systemen des Unternehmens besser auskennt als die meisten anderen, die sich mit der Behebung von technischen Problemen auskennt oder auf die man sich in der Vergangenheit bei der Bewertung neuer Software oder Hardware verlassen hat. Diese Person kann eine gute Option sein, um die Cybersicherheit zu beaufsichtigen, entweder auf permanenter Basis oder bis das Unternehmen eine andere Person in Vollzeit einstellen kann. 

Wenn Sie niemanden finden, den Sie einstellen können, oder wenn Sie sich nicht nur auf eine Person verlassen wollen, können Sie auch in Erwägung ziehen, Ihre bestehenden Teammitglieder durch Schulungen und Lehrstellen weiterzubilden.

3. Nutzen Sie Ihre Kultur, um Mitarbeiter im Bereich Cybersicherheit anzuziehen und zu halten.

Im Bereich der Cybersicherheit steht viel auf dem Spiel, und die Arbeit kann sehr anstrengend sein. Laut (ISC)2 sind zwei häufige Gründe, warum Cybersecurity-Mitarbeiter ihren Arbeitsplatz verlassen, Burnout und eine schlechte Work-Life-Balance.[2 ] Dies bietet KMUs die Möglichkeit, ihre kulturellen Vorteile auszuspielen, wie z. B. flexiblere Arbeitszeiten, spontanere Belohnungen und individuellere Leistungen und Vergünstigungen. Sicherlich bietet nicht jedes KMU ein utopisches Arbeitsleben. Aber kleine und mittlere Unternehmen, die einzigartige Vorteile, eine starke Kultur und eine bessere Work-Life-Balance bieten, können diese hervorheben, um angehende Cybersecurity-Stars zu rekrutieren und zu halten, die andernfalls das höhere Gehalt und das hellere Licht eines großen Unternehmens suchen würden.

4. Berater in Betracht ziehen.

Einige KMUs verfügen möglicherweise nicht über die Mittel für einen Vollzeit-Cybersicherheitsdirektor oder sehen keine Bedrohungslage, die die Ernennung eines Vollzeit-CISO rechtfertigt. Solche Unternehmen könnten sich nach einem freiberuflichen Technologieberater umsehen, der diese Arbeit für sie auf Vertragsbasis erledigt. Ein guter Anfang ist es, in sozialen oder beruflichen Netzwerken nach vertrauenswürdigen Empfehlungen zu suchen. Kürzlich in den Ruhestand getretene Techniker sind eine weitere potenzielle Quelle für Beratungsleistungen. Und es gibt auch andere Beratungsmöglichkeiten. Ein größeres KMU möchte vielleicht mit einem Unternehmen zusammenarbeiten, das CISOs in Teilzeit anstellt. Diese "virtuellen CISOs" tun alles, von der Durchführung von Schulungen zur Sensibilisierung für Cyberfragen bis hin zur Beratung bei der Auswahl von Cybersicherheitssoftware. Eine weitere Möglichkeit besteht darin, einen Vertrag mit einem Unternehmen für verwaltete Cybersicherheitsdienste abzuschließen. Diese Unternehmen bieten einen starken Schutz und oft auch eine schnelle Abhilfe, obwohl ihr Service mit höheren Kosten verbunden ist.

5. Nutzen Sie eine Basis von Sicherheitssoftware, um Ihre Cybersicherheit zu automatisieren.

Technologie ist ein wichtiger Bestandteil jeder Cyberverteidigungsstrategie. In großen Unternehmen sind die Cybersicherheitssysteme oft sehr komplex, und die Verwaltung der gesamten Palette von Tools kann sehr aufwendig sein. Die Anti-Spam-Software könnte von einem Anbieter stammen und die Software zur Erkennung von Bedrohungen von einem anderen Anbieter, je nachdem, wer in den einzelnen Bereichen als "best-in-breed" gilt. Große Unternehmen verfügen möglicherweise auch über Softwareentwickler, die in der Lage sind, ihre Cybersicherheitssysteme mithilfe der in die Software ihrer Anbieter integrierten Anwendungsprogrammierschnittstellen (APIs) anzupassen.

Dies ist nicht der Ansatz, den die meisten KMUs verfolgen sollten. Die begrenzten personellen Ressourcen, die KMUs für die Cybersicherheit aufwenden können, erfordern die Investition in ein System, das in der Lage ist, sich selbst zu verwalten. Eine integrierte, benutzerfreundliche Cybersicherheitslösung ist von Vorteil, vor allem, wenn der Cybersicherheitsmanager eines KMUs mehrere Aufgaben im Unternehmen wahrnimmt.

Die Auswahl der richtigen Technologie zur Abwehr von Cyberangriffen ist für kleine und mittelständische Unternehmen langfristig so wichtig, dass es hilfreich sein kann, einen externen Berater zu engagieren, der bei der Produktevaluierung und Anbieterauswahl hilft. 

Die Quintessenz

Unbesetzte Stellen im Bereich der Cybersicherheit stellen für KMUs ein besonders großes Problem dar. Kleinere Firmen können nicht mit den Gehältern konkurrieren, die große Unternehmen für CISOs zahlen. Daher müssen sie kreativer sein, sich um junge Hochschulabsolventen bemühen, Verträge mit Cybersecurity-Beratern und CISO-for-hire-Firmen abschließen und ihre einzigartigen kulturellen Vorteile bei potenziellen Bewerbern hervorheben. KMUs profitieren auch von Cybersicherheitsprodukten, die sie mit minimalem Aufwand installieren und warten können. Lesen Sie, wie das Produkt Cloud Integrated von Mimecast KMUs dabei helfen kann, viele Aspekte der Cybersicherheit zu automatisieren.

[1 ] (ISC)² Cybersecurity Workforce Study, International Information System Security Certification Consortium

[2] Ebd.