Fachkräftemangel und Karrieren

Der CISO emanzipiert sich vom CIO

12.09.2016 von Christiane Pütter
In Sachen IT-Security schlägt der Fachkräftemangel noch stärker durch als in der IT allgemein. Das erklärt zumindest jeder zweite Teilnehmer einer Studie von Intel. Helfen sollen Diversity, Gamification – und die Emanzipation des Chief Information Security Officer (CISO) vom CIO.
  • Drei von vier Entscheidern klagen, das Bildungssystem investiere zu wenig in das Thema Cybersecurity
  • Das US-amerikanische Verteidigungsministerium hat ein Spiel namens CyberProtect entwickelt
  • IDC erwartet, dass 2018 rund drei Viertel der CISOs an den CEO berichten, 2015 waren es 15 Prozent
Wie Marktforscher von Vanson Bourne bis IDC beobachten, feilen Unternehmen an der Rolle eines Chief Information Security Officer (CISO).
Foto: Pepsco Studio - shutterstock.com

Speziell das Thema Daten- und Informationssicherheit vor dem Hintergrund des Fachkräftemangels interessiert den Hersteller Intel. Seine Studie "Hacking the skills shortage" untersucht den Status Quo in acht Ländern, darunter Deutschland, die USA und Japan. 775 Entscheider haben sich an der Umfrage beteiligt, die Intel gemeinsam mit dem Marktforscher Vanson Bourne durchgeführt hat. Fazit: Security-Themen sind vom Fachkräftemangel besonders stark betroffen.

Mehr als jeder Zweite (53 Prozent) gibt an, das Fehlen von Cybersecurity-Spezialisten wirke sich stärker aus als der generelle Mangel an Informatikern. 71 Prozent sprechen von direkten und messbaren Schäden für ihr Unternehmen durch das Fehlen von Cybersecurity Skills.

Die Kritik der Studienteilnehmer richtet sich zunächst einmal an "den Staat", konkret an Universitäten und Bildungssystem. Es werde zu wenig in die Ausbildung der benötigten Fachkräfte investiert, diesen Vorwurf erheben 76 Prozent der Befragten. Im gleichen Atemzug fordern sie, Gesetzeslücken zu schließen. Lediglich 21 Prozent halten die derzeitigen Gesetze für ausreichend.

Vanson Bourne/Intel nennen drei Punkte, an denen Unternehmen ansetzen können. Das sind Diversity, Gamification und die Entwicklung der Rolle des Chief Information Security Officer (CISO).

Stichwort Diversity: Die Marktforscher haben sich angesehen, wen die Unternehmen beschäftigen. Ergebnis: Die Firmen bemühen sich zunehmend um Frauen als Mitarbeiterinnen. Mit Blick auf die USA fällt den Studienautoren allerdings auf, dass Afroamerikaner und Hispanics nach wie vor wenig angeworben werden. Je vielfältiger aber die Belegschaft, je besser - eine These, die Vanson Bourne/Intel unterstützen.

Andererseits interessieren sich wenig junge Frauen und Vertreter von Minderheiten für diesen Bereich. Die Marktforscher geben den Anteil an Absolventinnen mit 17 bis 18 Prozent an. Die Analysten zitieren hier eine weitere Studie von (ISC)², wonach Frauen nur elf Prozent der Cybersecurity-Beschäftigten stellen.

Intel "Hacking the skills shortage"
Mangel an Security-Fachkräften
Speziell das Thema Daten- und Informationssicherheit vor dem Hintergrund des Fachkräftemangels interessiert den Hersteller Intel. Die Studie „Hacking the skills shortage“ untersucht den Status Quo in acht Ländern, darunter Deutschland, die USA und Japan. 775 Entscheider haben sich an der Umfrage beteiligt, die Intel gemeinsam mit dem Marktforscher Vanson Bourne durchgeführt hat.
Auswirkungen
Mehr als jeder Zweite (53 Prozent) gibt an, das Fehlen von Cybersecurity-Spezialisten wirke sich stärker aus als der generelle Mangel an Informatikern.
Gesetzeslage
Außerdem sehen die Studienteilnehmer die Politik gefragt. Nur gut jeder Fünfte (21 Prozent) hält die derzeitige Gesetzeslage für ausreichend.
Hebel 1: Diversity
Die Marktforscher unterstützen die These, dass sich Vielfalt in der Belegschaft positiv auswirkt. Sie appellieren an Unternehmen, mehr Frauen und Migraten einzustellen.
Hebel 2: Gamification
Vanson Bourne/Intel plädieren für mehr Computerspiele, die Cybersecurity-Fertigkeiten trainieren. Unternehmen könnten solche Vorlagen für das Training und die Entwicklung eigener Sicherheits-Spezialisten nutzen.
Hebel 3: die CISO-Rolle
Nicht nur Vanson Bourne, sondern beispielsweise auch die Marktforscher von IDC beobachten, dass Unternehmen die Rolle eines CISO (Chief Information Security Officer) entwickeln. These von IDC: Schon 2018 berichten 75 Prozent der CISOs an den CEO.

Gamification als Motor: Vanson Bourne/Intel plädieren für mehr Computerspiele, die Cybersecurity-Fertigkeiten trainieren. Als positive Beispiele nennen sie MySecureCyberspace. Das US-amerikanische Verteidigungsministerium jedenfalls setzt bereits auf Gamification. Die Behörde hat ein Spiel namens CyberProtect entwickelt. Die Nutzer üben sich in Ressourcen-Management und entwickeln Maßnahmen gegen Cyberkriminelle. Auch beliebte Games wie Watch Dogs und Deus Ex enthalten Hacking-Elemente.

Unternehmen könnten solche Vorlagen für das Training und die Entwicklung eigener Sicherheits-Spezialisten nutzen, betonen die Studienautoren. Mit unterhaltsamen und spielerischen Elementen bringen sie mehr Mitarbeiter dazu, sich mit Cybersecurity zu beschäftigen, so die Erwartung.

Noch aber scheinen Entscheider in den Unternehmen mit Hackern zu fremdeln. Die Marktforscher wollten wissen, ob Hacker-Wettbewerbe wie etwa "International Capture the flag" beim Aufbau von Cybersecurity Skills eine Rolle für sie spielten. 29 Prozent der Entscheider zeigen sich von dieser Idee sehr überzeugt und sprechen solchen Wettbewerben "eine große Rolle" zu. Ihnen stehen allerding 26 Prozent gegenüber, die damit bisher gar nichts anfangen können.

Rolle des CISO: Jenseits solcher Diskussionen steht eines fest - die Relevanz von Cyber-Sicherheit wächst und damit auch die Rolle des Chief Information Security Officer (CISO). 97 Prozent der Studienteilnehmer erklären, der Vorstand ihres Unternehmens halte das Thema für wichtig. Zum Vergleich: Vor fünf Jahren tauchte Cybersecurity noch gar nicht in den Top Ten der größten Risiken auf, wie Lloyds jährliche Risiko-Umfrage belegt.

Vanson Boune/Intel erwartet, dass der CISO zunehmend in den Fokus rückt. Die Studienautoren beziehen sich dabei auf eine Analyse von IDC unter 269 CISOs im vergangenen Jahr. Diese Job-Rolle sei noch neu, schrieb IDC. 15 Prozent der Befragten berichteten direkt an den CEO - IDC erwartet, dass es schon 2018 eine Mehrheit von 75 Prozent sein wird. Vanson Bourne/Intel prognostizieren, dass diese Kräfteverschiebung zu Ungunsten des CIO verlaufen wird.

Ob es zu Konflikten kommt, das hängt für Adam Rice vom CIO ab. Rice ist CISO von Cubic Corp., einem Verteidigungs- und Transport-Unternehmen aus San Diego. Er jedenfalls traut seinem CIO zu, mögliche Interessenkonflikte zu kommunizieren und mit ihm zu besprechen. Zu seinem ersten Board-Meeting in der damals noch neuen Funktion im Herbst 2014 saßen der CIO und er nebeneinander. Der Vorstand zeigte von Anfang an Sensibilität für mögliche Schwierigkeiten dieser Konstellation.