Wie man den Fachkräftemangel im Bereich Cybersicherheit beheben kann

Wenn Ihr Unternehmen Schwierigkeiten hat, Mitarbeiter mit Cybersicherheitskenntnissen einzustellen, ist es nicht allein. Eine Studie von (ISC)² aus dem Jahr 2021 weist darauf hin, dass weltweit mehr als 2,7 Millionen Fachkräfte für Cybersicherheit fehlen.[1] Eine weitere Studie der Information Systems Security Association ergab, dass 95 % der Fachleute für Cybersicherheit nicht glauben, dass sich das Qualifikationsdefizit in den letzten Jahren verbessert hat. 44 % gaben sogar an, dass sich die Situation verschlechtert hat.[2]

Ein Drittel der Befragten des State of Email Security 2022 (SOES) Berichts von Mimecast gaben an, dass unzureichendes Sicherheitspersonal eine der größten Herausforderungen für die E-Mail-Sicherheit darstellt. Bezeichnenderweise ist dies ein Anstieg gegenüber 25 % im Jahr 2021. Zusätzliche Einstellungen und Schulungen sind offensichtliche Schritte nach vorn - aber auch Investitionen in technologische Hilfsmittel, die dazu beitragen, die Gefährdung eines Unternehmens durch Cybersecurity-Bedrohungen zu minimieren.

Personalmangel in der Cybersicherheit macht Unternehmen angreifbar 

Der Fachkräftemangel betrifft die Unternehmen in vielerlei Hinsicht. Laut dem Bericht (ISC)² gehören zu den häufigsten Risiken falsch konfigurierte Systeme, unvollständige Risikobewertungen, langsame Patches, überstürzte Implementierungen und ein Mangel an vollständiger Kontrolle über den Sicherheitsprozess oder die Bedrohungslandschaft. 

Es bedeutet auch eine erhöhte Arbeitsbelastung für talentarme Cybersicherheitsteams - was oft zu Burnout führt - und Unternehmen, die schlecht aufgestellt sind, um auf eine sich ständig verändernde und expandierende Cybersicherheitslandschaft zu reagieren.

Das ist besorgniserregend, wenn man bedenkt, dass laut dem Internet Crime Complaint Center des FBI die Zahl der gemeldeten Cyberverbrechen in den Vereinigten Staaten von 2020 bis 2021 um 7 % steigen wird. Die potenziellen finanziellen Verluste durch diese Straftaten beliefen sich auf fast 7 Milliarden Dollar, wobei allein 2,4 Milliarden Dollar durch die Kompromittierung von Geschäfts-E-Mails verloren gingen.[3] Dies ist ein wichtiges Anliegen, da 80 % der Unternehmen in der Mimecast SOES-Studie angaben, dass sie innerhalb des nächsten Jahres wahrscheinlich von einem E-Mail-basierten Cyberangriff betroffen sein werden. Unternehmen sind auch mit einer Vielzahl anderer Bedrohungen konfrontiert, von der Log4j-Schwachstelle - die ein Jahrzehnt oder länger in Computersystemen bleiben könnte[4] - bis hin zu staatlich gesponserten Exploits, die von bösen Akteuren in China[5] oder Russland durchgeführt werden.[6]

Aufgrund des Mangels an Fachkräften im Bereich der Cybersicherheit und der begrenzten finanziellen und technischen Ressourcen sind viele Unternehmen nicht in der Lage, den Bedrohungen zu begegnen, denen sie ausgesetzt sind. So verfügen beispielsweise nur 64 % der mittelständischen Unternehmen über einen Plan zur Reaktion auf Cybersecurity-Vorfälle,[7] , und viele haben noch nicht einmal einen Partner für die Reaktion auf Vorfälle gefunden.[8]

Unternehmen mit weniger als 500 Mitarbeitern befinden sich in einer ähnlichen Situation, die noch dadurch verschärft wird, dass die Unternehmer glauben, sie seien zu klein, um ein Ziel zu sein. Eine Umfrage von Digital.com ergab, dass 51 % keine Maßnahmen zur Cybersicherheit ergriffen haben,[9] , während Kleinunternehmer in einer CNBC-Umfrage Inflation, Unterbrechung der Lieferkette und Arbeitskräftemangel als wichtigere Probleme einstuften als Cybersicherheit.[10]

Leider ist dieser Glaube ein Irrglaube. Einem Gartner-Bericht aus dem Jahr 2022 zufolge konzentrieren sich Cyberkriminelle jetzt auf kürzere Kampagnen und kleinere Ziele, insbesondere wenn es um Ransomware geht.[11] Kriminelle haben auch erkannt, dass kleine Unternehmen eine immer wichtigere Rolle in den globalen Lieferketten spielen, was sie zu attraktiven Ausgangspunkten für groß angelegte Angriffe macht.[12]

Bekämpfung des Fachkräftemangels im Bereich Cybersicherheit 

Unternehmen können verschiedene Maßnahmen ergreifen, um den Mangel an Cybersicherheitsfachkräften zu bekämpfen. 

• Mehr Rollen im Bereich Cybersicherheit besetzen. Angesichts der hohen Nachfrage nach qualifizierten Cybersecurity-Fachleuten mag dies wie eine Zwickmühle erscheinen, aber Branchenexperten weisen darauf hin, dass es möglich ist, wenn Unternehmen bereit sind, zwei Schritte zu unternehmen. Eine davon ist die Erweiterung des Talentpools auf Personen mit weniger formaler Cybersicherheitserfahrung oder -ausbildung, aber mit der Bereitschaft zu lernen und der Fähigkeit, Probleme zu lösen - die beiden am meisten gesuchten nichttechnischen Eigenschaften unter Cybersicherheitspersonal, laut (ISC)². Der andere Schritt besteht darin, interne Bewerber mit übertragbaren Fähigkeiten in Betracht zu ziehen, da sie die Unternehmenskultur bereits kennen und eine kürzere Einarbeitungszeit benötigen als neu eingestellte Mitarbeiter. 
• Verstärkung der Sicherheitsschulungen Bemühungen. Wenn die Mitarbeiter im gesamten Unternehmen lernen, wie man gängige Bedrohungen erkennt, können die Mitarbeiter der Cybersicherheit ein wenig aufatmen. Der Mimecast SOES-Bericht zeigt, dass Unternehmen mit einer Vielzahl von Risiken konfrontiert sind, die aus Fehlern der Mitarbeiter resultieren, von schlechter Passwort-Hygiene bis hin zur Nutzung von nicht genehmigten Anwendungen wie persönlichen E-Mails, Online-Shopping-Seiten oder Cloud-basierten Speichern. Da nur 23 % der Unternehmen angeben, dass sie regelmäßig Schulungen zur Cybersicherheit durchführen, ist klar, dass die Unternehmen überdenken müssen, wie oft sie ihre Mitarbeiter schulen - und sicherstellen, dass diese Schulungen das Verhalten der Mitarbeiter tatsächlich verbessern.
• Befassung mit den Grundlagen der Cybersicherheit. Die U.S. Small Business Association[13] und die Federal Communications Commission[14] bieten zahlreiche Empfehlungen zur Unterstützung von Unternehmen bei der Stärkung ihrer Cybersicherheit. Dazu gehören unter anderem die Verwendung von Firewalls, sicheren Wi-Fi-Netzwerken, aktueller Antivirensoftware, mehrstufiger Authentifizierung und physischen Schutzmaßnahmen für Laptops und mobile Geräte. Diese Schritte mögen einfach erscheinen, aber nicht jeder setzt sie um. Selbst nach einem Cyberangriff installierten weniger als die Hälfte der Unternehmen Antivirensoftware, nur 25 % führten Mitarbeiterschulungen zum Thema Cybersicherheit durch und 8 % nahmen keinerlei Änderungen an den Cybersicherheitspraktiken vor, so Digital.com.
• Bereitstellung von technischen Lösungen. Neben der Abdeckung der Grundlagen können Unternehmen auf eine Reihe von technischen Lösungen zurückgreifen, die gängige Cybersicherheitsaufgaben wie die Identifizierung und Beseitigung von Bedrohungen oder die Autorisierung neuer Geräte vereinfachen. Leider kann die Verwendung von Dutzenden von Produkten zu sich wiederholenden oder widersprüchlichen Warnungen führen, die mit der Zeit unbemerkt bleiben und das Risiko erhöhen, einen legitimen Cyberangriff zu übersehen. Ein besserer Ansatz ist es, sich auf einige wenige integrierte Best-of-Breed-Lösungen zu verlassen, anstatt zu viele - oder zu wenige - Sicherheitstools einzusetzen.

Die Quintessenz

Angesichts des weltweiten Fachkräftemangels im Bereich der Cybersicherheit brauchen die Unternehmen von heute jede Hilfe, die sie bekommen können. Die Einstellung von Cybersicherheitspersonal ist ein naheliegender erster Schritt, aber es kann viele Monate dauern, eine offene Stelle im Bereich Cybersicherheit zu besetzen und dann einen neuen Mitarbeiter einzuarbeiten. Glücklicherweise kann eine Reihe von Sicherheitstools das Risiko eines Cyberangriffs für ein Unternehmen minimieren und sofort Wirkung zeigen. Mimecasts Lösungen für E-Mail-Sicherheit, Web-Sicherheit und Incident Response helfen Unternehmen, die Sicherheit durch Intelligenz und Automatisierung zu stärken, während Security Awareness Training das Risiko menschlicher Fehler reduziert.

[1] "2021 Cybersecurity Workforce Study," (ISC)²

[2] "The Life and Times of Cybersecurity Professionals 2021," Information Systems Security Association

[3] "Federal Bureau of Investigation Internet Crime Report 2021," Internet Crime Complaint Center

[4] "Review of the December 2021 Log4j Event," Cyber Safety Review Board

[5] "People's Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices," Cybersecurity & Infrastructure Security Agency

[6] "Update: Destruktive Malware zielt auf Organisationen in der Ukraine," Cybersecurity & Infrastructure Security Agency 

[7] "Cybersecurity Trends for Mid-Sized Organizations," Egnyte

[8] "Der Markt für Cybersecurity Incident Response bietet eine große Auswahl - aber bitte wählen Sie, bevor Sie getroffen werden!" Forrester

[9] "51% der kleinen Unternehmen geben zu, dass sie Kundendaten unsicher lassen," Digital.com

[10] "Amerikas kleine Unternehmen sind nicht auf einen Cyberangriff vorbereitet," CNBC

[11] "How to Respond to the 2022 Cyberthreat Landscape," Gartner

[12] "Die Lücke in der Cybersicherheit bleibt das fünfte Jahr in Folge bestehen," TechRepublic

[13] "Stärken Sie Ihre Cybersicherheit," U.S. Small Business Association 

[14] "Cybersecurity for Small Businesses," Federal Communications Commission