Das Grundproblem lässt sich in einem Satz zusammenfassen: Große Bedrohung trifft große Qualifikationslücken – Unternehmen müssen dringender denn je in ihre Cybersecurity investieren, monetär ebenso wie personell. Laut aktueller Bitkom-Studie erlitten 75 Prozent der 1.000 befragten Unternehmen in den vergangenen 12 Monaten Cyberangriffe. 52 Prozent der Unternehmen fühlen sich durch Cyberangriffe sogar in ihrer Existenz bedroht; ein starker Anstieg im Vergleich zum Jahr 2021, in dem gerade einmal 9 Prozent sich derart bedroht fühlten.
Was
in diesem Kontext nur schwer nachvollziehbar ist: Es fließen durchschnittlich
gerade einmal 14 Prozent des IT-Budgets der Unternehmen in die IT-Sicherheit. Bitkom
und das BSI empfehlen hingegen ein Investment von 20 Prozent und mehr.
Muss es also erst weh tun, bevor Unternehmen sich gegen Cyberattacken wappnen? Es scheint so. Anders lässt sich die Diskrepanz zwischen existenzieller Sorge einerseits und ausbleibendem Investment andererseits nicht erklären.
Vielleicht liegt es auch an einem „Wird uns schon nicht treffen“-Mindset, schließlich las man lange vor allem die großen Namen in den Schlagzeilen – Siemens, Bayer, ThyssenKrupp, Continental und ganz aktuell die Commerzbank. Doch diese Zeiten sind vorbei, heute sind Unternehmen jeder Branche und Größe betroffen, ebenso wie Kreisverwaltungen, Gemeinden oder etwa jüngst das Berliner Naturkundemuseum.
Alarmstufe
Rot in Sachen Cybersecurity
Ein Problem, was sich mit Geld allein nicht
lösen lässt, ist der IT-Fachkräftemangel, wozu auch Expert:innen für
Cybersecurity zählen. Wie
schlecht es um die Branche steht – trotz des offensichtlichen Bedarfs –
spiegelt sich auch in der internationalen Cyber Workforce Study 2023 wider.
Es wurden rund 15.000 Cybersecurity-Fachleute befragt.
Die
Arbeitskräftelücke wächst global ebenso wie in Deutschland: Global gibt es rund
5,5 Millionen Beschäftigte im Bereich Cybersecurity. Jedoch ist auch die Lücke
zwischen der Zahl der benötigten und der verfügbaren Arbeitskräfte enorm – es
fehlen unglaubliche vier Millionen Fachkräfte. In Deutschland ist die Zahl der
Beschäftigten im Vergleich zum Vorjahr leicht auf 455.951 gesunken und es
bleiben mehr als 100.000 Stellen unbesetzt.
Entsprechend
verfügt ein großer Teil der Unternehmen heute nicht über die nötigen
Mitarbeitenden, um auf Cyberattacken zu reagieren. Und die Unternehmen werden
diese Fachkräfte auch weder in Deutschland noch in Europa oder global zeitnah
finden – denn die Lücke zwischen benötigten und verfügbaren Fachkräften ist und
bleibt vorerst weltweit riesig.
Unternehmen haben die Lösung
selbst in der Hand
Die
meiner Meinung nach einzige – und zugleich smarteste, günstigste und schnellste
– Lösung: bestehende Mitarbeitende als Quereinsteiger zu
Cybersecurity-Expert:innen weiterbilden, um Qualifikationslücken zu schließen.
Je nach Anbieter dauert so etwas 12 Monate oder 8 Wochen, wird in Vollzeit oder
in Teilzeit neben dem Job, remote oder vor Ort absolviert.
Ein
solches Investment rechnet sich zudem meist schnell: Laut dem „Future of Jobs Report 2023“ des
Weltwirtschaftsforums rechnen 32 Prozent der beteiligten Unternehmen im Rahmen
von Weiterbildungsmaßnahmen mit einem „Return on Investment“ (ROI) innerhalb
von sechs Monaten und weitere 30 Prozent innerhalb von sechs bis zwölf Monaten.
Auch mit Blick auf das Thema Retention – also das Halten von Talenten – ist es sinnvoll, bestehende Mitarbeitende weiterzubilden und so womöglich unentdeckte Potenziale sowie Interessen zu fördern. Wenn Unternehmen gezielt in die individuelle Entwicklung von Mitarbeitenden investieren, steigen ihre Zufriedenheit und Bindung, was wiederum die Fluktuationsrate senkt und Kosten für Neueinstellungen und Einarbeitungen reduziert. Auch die Attraktivität gegenüber potenziellen neuen Talenten steigt durch diesen Gestaltungsspielraum der eigenen Rolle. Es gibt also wirklich keinen Grund mehr für deutsche Unternehmen zu warten, bis es wehtut!
Eric Lein ist General Manager von Ironhack Deutschland, einem IT-Weiterbildungsunternehmen.
