.jpg)
Der Arbeitsmarkt für qualifizierte IT-Sicherheitskräfte explodiert in diesem Jahr geradezu, wie beispielsweise ein Artikel der Computerwoche zeigt. Die Nachfrage nach Sicherheitsexperten ist hoch, aber aktuell kommen auf drei ausgeschriebene Stellen für IT-Sicherheitsexperten nur ein Bewerber. Auch ungewöhnliche Kandidaten wie ehemalige Hacker mit ihren Kenntnissen und Erfahrungen sind bei der Jobsuche gefragt.
Allein die Nachfrage nach Kandidaten mit diesem besonderen Profil stieg innerhalb eines Jahres um satte 84 Prozent. Insgesamt stieg die Anzahl der ausgeschriebenen Positionen für IT-Sicherheit in Deutschland zwischen 2014 und 2016 um mehr als ein Drittel (38,6 Prozent). IT-Sicherheitsingenieure und -Berater sowie IT-Auditoren sind dabei die in Deutschland am schwierigsten zu besetzenden Stellen.
Die Zahlen verdeutlichen, dass der branchenspezifische Bedarf an IT-Sicherheitswissen zur Begegnung von Cyberattacken immer größer wird. Aber was bringen selbst große Investitionen in die Cybersicherheitsmaßnahmen, wenn sich das Management dem Rat von IT-Experten verschließt?
So lässt sich in einem Reddit-Thread aus erster Hand der tief sitzende Frust eines IT-Sicherheitsarchitekten nachempfinden, der im Rahmen eines Server-Projektes seinen Gefühlen freien Lauf lässt. Die Vorgeschichte und die gesamte E-Mail-Konversation zwischen ihm, einem Kollegen und ihrem Chef sind auf Reddit dokumentiert. Im Kern geht es darum, dass selbst größte Sicherheitsbedenken und fachlicher Rat einfach übergangen wurden, um das Projekt umzusetzen. In einer E-Mail formuliert der Vorgesetzte es folgendermaßen:
Der Zeitdruck durch das kommende Event zwingt uns einfach dazu, die Dinge jetzt zum Laufen zu bringen und uns dann später um Patches und Sicherheitsmaßnahmen zu kümmern.
Das gesamte Gespräch zeigt, dass es sich dabei nicht um eine Ausnahme handelt, sondern die übliche Vorgehensweise in vielen Unternehmen. Ein Leser kommentiert das so:
Wenn Sicherheitsvorkehrungen die Umsetzung verlangsamen und dadurch die Profitabilität drücken, stellt sich die Firmenleitung grundsätzlich nicht auf die Seite der IT-Abteilung. Das ist eine Frage der Balance und der Abwägung von Risiken. Hat es bisher noch keinen schwerwiegenden Sicherheitsvorfall gegeben, wird man immer die risikoreiche Variante wählen.
Andere Diskussionsteilnehmer bestätigen das:
Selbst wenn es einen Sicherheitsvorfall gegeben hat, nimmt man das Thema IT-Sicherheit nur sechs Wochen lang ernst, und dann geht es so weiter wie vorher und Das Management sagt: „Na ja, im Vergleich zu Ihren vorgeschlagenen Sicherheitsinvestitionen, waren die Sicherheitsverletzungen gar nicht so teuer.“
Am besten drückt es vielleicht der Nutzer aus, der die Diskussion ursprünglich eröffnete:
Im Dunstkreis der üblichen Buzz-Wörter und falscher Prioritätensetzung auf Unternehmensseite, sind wir Zeuge der Geburt eines neuen Cybersicherheitsloches, das nicht mehr geschlossen wird.
Hier ist eine Änderung der generellen Einstellung nötig, wenn Unternehmen ihre wertvollen Assets wirklich schützen wollen. Cybersecurity-Profis sollten in alle Aspekte eines Projektes mit einbezogen werden, und ihr Input sollten von allen Beteiligten zur Erreichung der erwünschten Projektergebnisse berücksichtigt werden. Im Fall des besprochenen Reddit-Nutzers war es so, dass er über die Änderungen der Server-Konfiguration erst in letzter Minute informiert und seine vorgeschlagenen Sicherheitsanpassungen dem erwünschten Projektstart untergeordnet wurden. Hätte man ihn bei Projektbeginn bereits konsultiert, wäre sein Feedback noch umsetzbar gewesen, ohne das Gesamtprojekt auszubremsen.
Natürlich ist es auch denkbar, dass selbst dann alle Empfehlungen ignoriert worden wären. Dieses Gedankenszenario beunruhigt mich (und vermutlich alle Leser mit Sicherheitsaufgaben!) am meisten. Die Rekrutierung neuer IT-Sicherheitsexperten ist der erste Schritt zur Bewältigung aktueller IT-Herausforderungen, aber wird der fachliche Rat übergangen, abgewertet und nicht umgesetzt, hilft auch eine bessere Personalsituation wenig.
Organisationen müssen also ihre Hausaufgaben erledigen, damit der dokumentierte Reddit-Thread eine Ausnahme bleibt und nicht zur Regel wird. Die Nachfrage nach talentierten Fachpersonal für Cybersicherheit ist hoch — jetzt ist die richtige Zeit, dass sie ihre Aufgabe auch erfüllen können.