Einschätzung von ESG
So beeinflusst die Rezession den Fachkräftemangel
Foto: Black Salmon - shutterstock.com
Laut dem jüngsten Forschungsbericht der Enterprise Strategy Group (ESG) und der Information System Security Association International (ISSA) sind 57 Prozent der Unternehmen vom globalen Fachkräftemangel im Bereich Cybersicherheit betroffen. Weitere 44 Prozent glauben, dass sich der Fachkräftemangel in den letzten Jahren verschärft hat. Das führt zu einer zunehmenden Arbeitsbelastung der vorhandenen Mitarbeiter im Bereich Cybersicherheit, Stellen werden wochen- oder monatelang unbesetzt und zu hohen Burnout-Raten und Fluktuation bei Cybersicherheitsexperten.
Lesetipp: Jede fünfte Stelle für IT-Sicherheit im Bund unbesetzt
Diese Security-Stellen bleiben am häufigsten unbesetzt
In einer weiteren Studie hat die ESG untersucht, welche Positionen in der IT-Security-Branche am stärksten unterbesetzt sind:
37 Prozent der Unternehmen haben einen Mangel an Sicherheitsarchitekten, sowie bei Stellen, die sich auf die Technologieintegration konzentrieren, also die Konsolidierung mehrerer Technologien zu einer kohärenten Plattformarchitektur.
Bei 35 Prozent der Unternehmen fehlt es an Sicherheitsingenieuren, die Lösungen installieren, konfigurieren und warten, so dass es einer suboptimalen Nutzung von Sicherheitstechnologien gleichkommt. Die ESG stellt außerdem eine wachsende Nachfrage nach Fachkräften fest, die für Detection ausgebildet sind. Daher zielen Anbieter von EDR, XDR und SIEM darauf ab, die Wissenslücke mit ihren Erkennungstechniken zu schließen.
34 Prozent der Unternehmen haben einen Mangel an Tier-3-SOC-Analysten. Dabei handelt es sich um die erfahrensten SOC-Analysten, die schwierige Untersuchungen durchführen und häufig mit der proaktiven Suche nach Bedrohungen betraut sind. Anstelle von Tier-3-Analysten haben die Unternehmen keine andere Wahl, als Generalisten mit der Arbeit von Spezialisten zu beauftragen.
33 Prozent der Befragten gaben an, dass in ihrem Unternehmen zu wenig Analysten für das Schwachstellenmanagement vorhanden sind. Ein solcher Mangel bedeutet ein erhöhtes Cyberrisiko, da Anomalien in der IT-Infrastruktur unentdeckt bleiben und Lösungen falsch konfiguriert und somit anfällig bleiben.
In 31 Prozent der Unternehmen fehlen ein Chief Information Security Officer (CISO), ein Business Information Security Officer (BISO) oder andere leitende Positionen im Bereich der Cybersicherheit. Das kann dazu führen, dass Unternehmen Sicherheitsprogramme ohne klare Verantwortlichkeit betreiben, Schwierigkeiten dabei haben, Cyberrisiken zu erkennen und die IT-Sicherheit auf das Geschäft abzustimmen. Sehr beängstigend!
Jetzt kostenlos für den CSO-Newsletter anmelden
So wird sich der Markt entwickeln
Mit dem Fachkräftemangel im Bereich der Cybersicherheit haben wir schon seit Jahren zu tun, aber es gibt einen neuen Aspekt: die aktuelle Wirtschaftslage. In den nächsten 12 bis 18 Monaten wird der wirtschaftliche Gegenwind die Auswirkungen des Fachkräftemangels im Bereich der Cybersicherheit noch verschärfen:
Cybersecurity-Profis werden bei der Jobsuche wählerischer sein. In den vergangenen zehn Jahren wurden Sicherheitsfachleuten großzügige Vergütungspakete angeboten, die oft an Aktienoptionen gebunden waren. Jetzt, wo die Märkte am Boden liegen und Börsengänge oftmals nicht in Sicht sind, werden Sicherheitsexperten Aktien anstelle von einer direkten Vergütung meiden. Abgesehen davon führen wirtschaftliche Turbulenzen tendenziell dazu, dass Arbeitnehmer Risiken für ihre Karriere möglichst klein halten wollen.
Die zunehmende Inanspruchnahme von Sicherheitsdiensten wird den Talentpool leeren. Immer mehr Unternehmen greifen auf Managed Services zurück, um ihr eigenes, teilweise überlastetes oder unterqualifiziertes, Personal zu ergänzen. Aus einer aktuellen ESG-Studie über Sicherheitsoperationen geht hervor, dass 85 Prozent der Unternehmen bereits eine Art von MDR-Service (Managed Detection and Response) nutzen, und 88 Prozent planen, in Zukunft verstärkt auf Managed Services zurückzugreifen. Da sich dieses Muster fortsetzt, müssen die Anbieter von Managed Security Services (MSSPs) ihren Personalbestand erhöhen, um die steigende Nachfrage zu bewältigen. Das kann dazu führen, dass diese Service Provider eine höhere Rendite auf die Mitarbeiterproduktivität berechnen und sie bereit sind, eine bessere Vergütungen anzubieten, als andere Unternehmen. Und auf der Führungsebene werden wir in naher Zukunft eine steigende Nachfrage nach den Diensten virtueller CISOs (vCISOs) zur Erstellung und Verwaltung von Sicherheitsprogrammen erleben.
Einstellungsstopps werden sich als Hindernis erweisen. In Zeiten des wirtschaftlichen Abschwungs treffen Unternehmen oft drakonische, pauschale Entscheidungen, wie zum Beispiel die Kürzung von Schulungen, die Reduzierung des Personalbestands oder einen Einstellungsstopp für alle Bereiche. In diesem Fall müssen die CISOs mit der Personalabteilung um jede einzelne notwendige Besetzung kämpfen.
Ja, der wirtschaftliche Gegenwind macht den CISOs zu schaffen - vor allem denjenigen, die bereits mit Personal- und Qualifikationsproblemen im Sicherheitsbereich zu kämpfen haben. Was können sie also tun? Die Schulungsbudgets aufstocken, ihr Engagement gegenüber wichtigen Mitarbeitern verstärken, eng mit den Anbietern zusammenarbeiten, um das Beste aus ihren Produkten herauszuholen, und das Knowhow des Personals mit Dienstleistungen ergänzen. (ms)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.