Fast täglich machen Cybersicherheitsvorfälle in Unternehmen, Behörden oder anderen Organisationen...
IT-Sicherheitslücke: Die Bedrohung durch fehlende Fachkräfte
„Es besteht kein `Maßnahmenmangel`, sondern ein `Umsetzungsmangel`“ – so das BSI zur Lage der Cybersicherheit in einem Beitrag auf Linkedin.
Woran aber scheitert die Umsetzung von sicherheitsstiftenden Maßnahmen in deutschen Unternehmen?
Eines ist sicher - und das ist der Fachkräftemangel
Vorab eine einfache Rechnung: Unternehmen benötigen IT-Fachkräfte zum Einführen, Warten und Anpassen technischer Sicherheitslösungen. Können diese keine Fachkräfte gewinnen, oder halten, so können sie gleichermaßen keine technischen Security-Lösungen einsetzen und Instand halten.
Im Jahr 2023 war der Mangel für IT-Fachkräfte erneut auf einem Rekordhoch. Bitkom berichtet im Dezember 2023 von 149.000 zu besetzenden IT-Stellen und somit von einem absoluten Zuwachs von 12.000 offenen Stellen im Vergleich zum Vorjahr. 77% der 853 befragten Unternehmen befürchten zudem, dass sich die Lage noch weiter verschärft.
Zu wenige junge Leute studieren Informatik, die Quote an Studienabbrechern liegt bei über 50%. Besonders Frauen, die bekanntermaßen die Hälfte der Gesellschaft ausmachen, scheinen sich nicht vom Studienangebot angesprochen zu fühlen. Das minimiert die Gesamtanzahl an möglichen Fachkräften zusätzlich drastisch.
Aus den Hochschulen heraus wird der Mangel an Fachkräften auch künftig nicht zu decken sein. Bitkom Präsident Dr. Ralf Wintergest spricht im Zusammenhang des IT-Fachkräftemangels von einem „systemischen Problem“, das unabhängig von Konjunkturzyklen auftritt. Neben dem zahlenmäßigen Mangel an IT-Fachkräften, stehen Unternehmen bei der Besetzung entsprechender offener Stellen noch vor weiteren Problemen.
So berichten über die Hälfte der befragten Unternehmen von Gehaltsvorstellungen, die nicht in das eigene Gehaltsgefüge oder zu den vorgewiesenen Kompetenzen passen. Etwas weniger als die Hälfte der Bewerber sind den Unternehmen zufolge entweder fachlich (46%), oder in Bezug auf notwendige Soft-Skills (41%) unterqualifiziert.
Die Unternehmen räumen allerdings auch bei sich selbst Potentiale ein, um die Anforderungen der Fachkräfte besser zu erfüllen. So geben 40% an, den Wunsch nach mobilem Arbeiten nicht (genügend) gerecht zu werden. Knapp 30% fordern Reisebereitschaft oder einen Umzug von Bewerbern und auch der Wunsch nach Weiterbildung wird von 19% der Unternehmen nicht erfüllt.
Bislang wahrscheinlich wenig überraschend: Deutsche Unternehmen suchen IT-Fachkräfte und verbleiben dabei häufig erfolglos oder können (und wollen?) sich diese nicht leisten. Woher kommt denn nun aber dieser besonders intensive Mangel an Fachkräften im Bereich der IT?
Offensichtlich nimmt der demografische Wandel auch auf diesen Arbeitsmarkt Einfluss. So kämpft die IT-Branche, wie viele weitere Branchen, mit der geringen Ratio von eintretenden zu ausscheidenden Fachkräften.
Allerdings ist die Situation in der IT weitaus dramatischer als in anderen Branchen.
Stress, Stigma und Sicherheitslücken
SoSafe hat in einer Befragung von Security-Fachkräften wichtige Erkenntnisse zu den Arbeitsverhältnissen der Branche gewonnen. Entsprechende Umstände könnten Einfluss darauf nehmen, wie viele Menschen den Berufszweig für sich wählen:
Befragt wurden 1000 Sicherheitsteams aus Europa und den USA. Zwei Drittel der Teilnehmer berichten von extremem Stress auf der Arbeit. Etwas mehr als die Hälfte der Befragten erhalten verschreibungspflichtige Medikamente für ihre Psyche und 19% der Fachkräfte trinken mehr als drei alkoholische Getränke pro Tag, um den Stress zu bewältigen.
Diese hohe Arbeitsbelastung ist nicht nur ungesund für die jeweiligen Teams, sie wirkt sich zudem negativ auf die Cybersecurity aus:
Eine entsprechende Belastung ist auf Dauer ermüdend und kann schließlich dazu führen, dass wichtige Details übersehen werden, Bedrohungen nicht adäquat begegnet wird und das Sicherheitsniveau der Organisation damit merklich sinkt.
Im Bericht werden zudem mehrere Maßnahmen genannt, die Unternehmen ergreifen können, um die Arbeitsverhältnisse von Security Teams zu verbessern. Hierzu zählen unter anderem das Priorisieren von Work-Life-Balance, ein Trainings- und Weiterbildungsangebot sowie das Intensivieren der Mitarbeiterbindung bspw. durch regelmäßige Feedback- und Lagegespräche.1
Unternehmen, die diese Maßnahmen nicht ergreifen und auch sonst nicht an der eigenen Arbeitgeberattraktivität arbeiten, können daher erhebliche Schwierigkeiten haben IT-Security Fachkräfte zu finden und halten.
Eine weitere Maßnahme, die in diesem Zuge nicht besprochen wurde, ist die Anerkennung. Befasst man sich mit Arbeitszufriedenheit, so stolpert man unweigerlich über die 2 Faktoren Hypothese nach Herzberg. Er hat untersucht, welche Faktoren sich auf die Arbeitszufriedenheit auswirken und dabei seine Hypothese abgeleitet:
Laut Herzberg gibt es sogenannte „Hygienefaktoren“, die erfüllt sein müssen, um Unzufriedenheit der Mitarbeiter zu vermeiden. Hierzu zählen beispielsweise Komponenten wie Sicherheit der Arbeitsstelle und Gehalt. Die zweite Dimension des Modells beschreibt die „Motivatoren“. Während erfüllte Hygienefaktoren ausschließlich Unzufriedenheit abwenden können, sorgen die Motivatoren tatsächlich für Zufriedenheit (und Motivation) der Mitarbeiter. Ein zentraler Motivator ist die Anerkennung.
Häufig mangelt es allerdings an Anerkennung gegenüber Fachkräften der IT-Abteilungen. Ihre Aufgabe ist, dass alles so funktioniert, wie es soll und jeder seiner Arbeit nachgehen kann. Wenn das der Fall ist (normale Arbeitsbedingungen) wird das selten zum Anlass genommen die entsprechenden Kollegen oder Mitarbeiter dafür explizit zu loben – es wird vielmehr als Standard empfunden, von dem nicht abzuweichen ist.
Wenn dann einmal etwas nicht funktioniert, bekommen die IT-Fachkräfte direktes Feedback: „Das kann doch nicht wahr sein, dass ich schon wieder nicht arbeiten kann, weil die blöde Technik nicht funktioniert“. Der Regelfall ist also gar kein Feedback für die eigene Leistung oder Anerkennung für einen guten Job. Dafür aber viele verärgerte oder gestresste Kollegen, wenn etwas schief geht. Das sind recht offensichtlich wenig motivierende Umstände…
Eine Umfrage der Bitkom aus 2024 liefert zudem erschreckende Ergebnisse: Knapp die Hälfte der Befragten innerhalb von deutschen ITK Unternehmen stimmen der Aussage, Männer seien für ITK-Berufe schlicht besser geeignet, zu.
Veraltete Rollenklischees und hartnäckige Vorurteile, wie dieses, wirken sich bis heute darauf aus, ob Frauen IT-Berufe ergreifen. Dabei wären Frauen eine sehr vielversprechende Möglichkeit dem Fachkräftemangel zu begegnen.
Laut Verband der Maschinen- und Anlagenbauer (VDMA) ließe sich der Fachkräftemangel in MINT2-Berufen aktuell lösen, wenn doppelt so viele Frauen darin ausgebildet würden, als es momentan der Fall ist. An der Universität Aachen ist der prozentuale Anteil von Frauen im Studiengang Informatik 2023 beispielsweise bei nur 18%.
Schuld daran sind althergebrachte Rollenbilder, so ein Mitarbeiter des Instituts für Arbeitsmarkt- und Berufsforschung. In der Gesellschaft existieren noch heute klischeehafte Vorstellungen davon, welcher Beruf zu Männern- und welcher zu Frauen gehört.
Aber nicht nur Frauen müssen sich in der IT mit Vorurteilen und Klischees auseinandersetzen. Der Berufsstand selbst wird häufig stigmatisiert, was ihn, neben dem hohen Druck und fehlenden Motivatoren, für junge Leute unattraktiv machen könnte.
Die Süddeutsche Zeitung hat den Stereotypen des Informatikers satirisch aufgearbeitet: Ein sozial inkompetenter (oder sozialphobischer?), blasser, pickeliger Mann mit komischen Essgewohnheiten, einer (zu) innigen Beziehung zu seinem Computer und einer besserwisserischen Ader.
Weiterführende Quellen:
(1) SoSafe GmbH Cybercrime-Trends Report 2024
(2) Mathematik, Informatik, Naturwissenschaft, Technik