Seit Jahren steigen die Cyberattacken in allen relevanten Industrien: Allein in Deutschland gab 2021 rund jedes zweite Unternehmen an, in den vergangenen zwölf Monaten Opfer solcher Angriffe geworden zu sein. Seit Jahren steigt daher auch das Bewusstsein in Unternehmen und Institutionen, dass sie etwas tun müssten, um sich gegen Cybervorfälle zu schützen. Seit Jahren wachsen regulatorische Vorgaben, Grundschutzvorgaben und Zertifizierungserfordernisse und es entstehen immer neue Institute und Behörden, die versuchen, der komplexen Welt der IT-Sicherheit und Cyberrisiken Herr zu werden. Und seit Jahren steigt im Zuge all dieser Entwicklungen der Expert:innenmangel im Bereich IT- und Cybersicherheit (Tagesspiegel Background berichtete).
So hat die aktuelle Krisensituation in der Ukraine wieder einmal aufgezeigt, wie empfindlich zahlreiche Bereiche sind. Auch wenn es bislang noch zu keinem schwerwiegenden Cyberangriff auf Kritische Infrastrukturen wie Stromnetze, Versorgungseinrichtungen oder Logistikketten gekommen ist, sind sich viele Cyberexpert:innen seit langem einig, dass dies nur eine Frage der Zeit ist und insbesondere Deutschland dieser „Wake-up-Moment“ unmittelbar bevorsteht.
Sehr beunruhigend in dieser Situation ist, dass sich trotz allem erst ein Bruchteil von Unternehmen auf Cyberattacken richtig vorbereitet hat und viele immer noch im Blindflug agieren, wenn es um die kontinuierliche Risikobewertung und das proaktive Management von Cybervorfällen geht: 46 Prozent der von Cyberkriminalität betroffenen Unternehmen räumen Versäumnisse im Umgang mit dem Thema ein. Unzureichendes Wissen in der Belegschaft wird als einer der zentralen Risikofaktoren gewertet.
Cybersicherheit ist die Basis erfolgreichen Wirtschaftens
Dabei sollte allen längst klar sein: Cybersicherheit ist seit langem kein reines IT-Thema mehr. Es geht um den strategischen Schutz von Kernprozessen in Unternehmen, die Sicherheit von relevanten Unternehmens- und Kundendaten, die Aufrechterhaltung von essenziellen Versorgungs- und Lieferketten sowie den Schutz von Innovationen, Patenten und IP in der neuen „Deutschland AG“. Es geht um die Bewahrung von Kerngeschäft, um Reputation und um Vertrauen in langjährige Kunden- und Lieferbeziehungen. Die beste Vorsorge lautet: frühzeitiger Kompetenzaufbau an breiter Front. Das Basiswissen über relevante Grundlagen und Zusammenhänge im Bereich IT- und Cybersecurity sollte daher im Grundstudium jedes naturwissenschaftlichen und betriebswirtschaftlichen Studiums verankert sein.
Zum Vergleich: Deutschland versucht seit Jahren, im Rahmen der nationalen KI-Strategie, Lehrstühle an deutschen Universitäten mit Professor:innen zu besetzen, um so weitreichende KI-Kompetenz bei angehenden Ingenieur:innen und dem Managementnachwuchs aufzubauen. Das ist bislang nur eingeschränkt gelungen. Das gleiche Schicksal droht auch im Bereich der Cybersicherheit, die auf Basis der aktuellen Ereignisse einen wesentlich höheren Stellenwert einnehmen sollte als die eher mittel- bis langfristig angelegten Entwicklungsziele im Bereich der Künstlichen Intelligenz. Beide Bereiche sind für die Zukunft des Standortes Deutschland extrem wichtig – ohne ausreichende Cybersicherheit sind jedoch auch Ergebnisse und Entwicklungen in der KI-Forschung nicht ausreichend geschützt.
Passende staatliche Bildungsangebote? Fehlanzeige!
Die Ausbildungslandschaft im Bereich Cybersicherheit an deutschen Universitäten ist heute sehr heterogen und mehr als ernüchternd. Auch wenn Informationssicherheit bereits ein integrierter Bestandteil in den Informatikstudiengängen ist, muss man spezialisierte Ausbildungen an den staatlichen Universitäten mit der Lupe suchen. Freie und private Hochschulen sind derzeit mit Angeboten weiter vorangeschritten und binden aktiv Expert:innen aus der IT- und Sicherheitsindustrie mit marktaktuellem Praxiswissen in ihre Angebote ein. Universitäten in den USA und Großbritannien sind erheblich breiter aufgestellt und bieten sowohl in Bachelor- als auch Masterstudien ein breites Portfolio im Bereich der Cybersicherheit an.
Deutschland benötigt bereits heute tausende zusätzliche technische Expert:innen für die Konzeption und Umsetzung von Cybersicherheitsprojekten und zudem Managementnachwuchs, der sich den kontinuierlich steigenden Risiken aus Cyberattacken für den Industrie- und Innovationsstandort Deutschland bewusst ist und ein praxisorientiertes Methodenwissen direkt aus dem Studium in die Unternehmen einbringen kann.
Fazit: Cybersicherheit gehört schnellstmöglich auf den Lehrplan
Daher muss das Thema in betriebswirtschaftlichen Studiengängen als Pflichtfach auf dem Vorlesungsplan stehen. Absolvent:innen der Wirtschaftswissenschaften – also die zukünftigen Managementnachwuchskräfte – sollten die wesentlichen Risiken von digitalen Angriffen aber auch die Grundlagen für den Aufbau von Cybersicherheitsprozessen im Unternehmen verstehen. Dazu gehören neben einem grundlegenden Verständnis von IT-Unternehmensarchitekturen auch das Design von reaktionsfähigen Organisationsstrukturen und Managementskills, um Reaktionen auf Cybervorfälle im Unternehmen anzuleiten.
Auf Basis der Prämisse „bislang alles gut gegangen“ ist in vielen Unternehmensleitungen die hohe Bedeutung der Informationssicherheit immer noch nicht angekommen. Eine Bewertung der aktuellen Cyberrisiken und die Resilienzfähigkeit des Unternehmens gehört im Jahr 2022 mindestens einmal monatlich in das Vorstandsmeeting und das Berichtswesen der Aufsichtsorgane. Das Handwerkszeug für diese neue Selbstverständlichkeit muss bereits in den Hochschulen geschaffen werden. Davon sind wir heute aber noch weit entfernt.
Nicole Gaiziunas ist Gründerin und Co-Ceo der Online-Education-Plattform XU, die sich auf die Zukunftskompetenzen Digitalisierung, E-Mobilität und Nachhaltigkeit konzentriert.
Maik Neubauer, Senior Advisor bei DECOMPLEXITY Europe, berät Energieversorger und Betreiber von kritischen Infrastrukturen im Bereich von Cybersicherheit und Unternehmenstransformation.
Beide sind Teil der XU Exponential University of Applied Sciences, Nicole Gaiziunas als Mitinitiatorin der Hochschule und Maik Neubauer als Gastprofessor für Digital Transformation und Cybersecurity.