Fachkräftemangel im Bereich Cyber-Sicherheit

Hintergrund

Zur Lösung der komplexesten Sicherheitsherausforderungen, mit denen die Unternehmen heute konfrontiert sind, müssen Industrie, Regierung und Hochschulen die Anzahl der Cyber-Sicherheitsexperten unter den Arbeitskräften substanziell erhöhen. Zugangsbarrieren müssen beseitigt und Bildungsangebote ausgeweitet werden, um sicherzustellen, dass qualifizierte Menschen mit unterschiedlichsten Werdegängen die Möglichkeit haben, den immer größer werdenden Mangel an IT- und Cyber-Sicherheitsexperten abzubauen. Gleichzeitig braucht es ausgefeiltere automatisierte Lösungen, um den Fachkräftemangel auszugleichen.

Dass dieser Fachkräftemangel die Unternehmen bei der Gewährleistung der Sicherheit ihrer zunehmend komplexen Informationsnetzwerke beeinträchtigt, ist bereits hinreichend dokumentiert. Im Rahmen der 2016 von McAfee und dem Center for Strategic and International Studies (CSIS) durchgeführten Studie "Der Weg aus dem Fachkräftemangel" wurde festgestellt, dass der Fachkräftemangel im Cyber-Sicherheitsbereich nicht nur ein regionales oder sogar nationales Problem ist – er ist ein weltweites Problem. Weltweit sahen 82 % der Befragten einen Mangel an Cyber-Sicherheitskompetenzen in ihrem Unternehmen, und 71 % bestätigten, dass Unternehmen aufgrund fehlender Kompetenzen anfälliger für Angriffe sind.

Es wird erwartet, dass sich dieses Problem in den kommenden Jahren eher noch verschärfen wird. Laut einer im Februar 2017 von (ISC)2 durchgeführten weltweiten Umfrage zu Fachkräften für Informationssicherheit (Global Information Security Workforce Study) wird erwartet, dass bis 2022 im Bereich Cyber-Sicherheit 1,8 Millionen Fachkräfte fehlen werden. Zur Beseitigung dieses Mangels muss die Politik darauf hinwirken, dass eine größere Bevölkerungsgruppe einen technischen Beruf wählt, insbesondere im Bereich Cyber-Sicherheit.

Besonders akut ist der Mangel an Cyber-Sicherheitsexperten in der US-Bundesregierung. Nach Auskunft des früheren Federal Chief Information Officer der USA, Tony Scott, gab es in der US-Bundesregierung schätzungsweise 10.000 offene Stellen für Cyber-Experten, jedoch nicht genügend qualifizierte Kräfte, um diese zu besetzen. Angesichts der bedeutenden Rolle, die US-Regierungsbehörden wie das Verteidigungsministerium oder das Heimatschutzministerium sowie Nachrichtendienste in den Vereinigten Staaten spielen, ist diese Qualifikationslücke besorgniserregend und verdient daher die Aufmerksamkeit der politischen Entscheidungsträger.

Im Mai 2017 erließ US-Präsident Donald Trump eine Präsidentenverfügung zu Cyber-Sicherheit. Darin wurden das Wirtschafts- und das Heimatschutzministerium um eine Bewertung gebeten, ob die Bemühungen der Administration im Hinblick auf die Ausbildung und Schulung künftiger amerikanischer Fachkräfte für Cyber-Sicherheit umfassend genug und angemessen sind. Dabei geht es auch um Bildungspläne sowie Schulungs- und Ausbildungsprogramme, angefangen bei der Grund- bis hin zur Hochschulbildung.

Bedeutung für McAfee

Eine unserer wichtigsten Unternehmensinitiativen besteht darin, für eine wachsende Zahl an qualifizierten Cyber-Sicherheitsexperten auf allen Ebenen zu sorgen. Unser Ziel ist es, mit Interessengruppen aus dem öffentlichen und privaten Sektor zusammenzuarbeiten, um die langfristige, systemische Qualifikationslücke im Bereich Cyber-Sicherheit durch politische Fürsprache und Partnerschaften mit Schulen und Universitäten zu schließen. Durch unser aktives Engagement zur Schließung dieser Qualifikationslücke können wir in den Communitys, in denen wir präsent sind, auch enge Bindungen herstellen – und dadurch wiederum leichter die Art von Fachkräften anwerben und binden, die wir für das Wachstum und den Erfolg unseres Unternehmens benötigen.

Als führendes Unternehmen für Cyber-Sicherheit setzt McAfee alles daran, dass der Fachkräftemangel nicht nur entschärft, sondern auch ausgeglichen wird. Unserer Meinung nach sollte in einer integrierten Umgebung intelligente Automatisierung eingesetzt werden, um Personal zu ersetzen, das bislang für Routineaufgaben benötigt wurde. Auf diese Weise können sich Unternehmen besser schützen. Erreicht werden kann dies durch eine unternehmensspezifische Richtlinie zur Förderung von intelligenter, kontextabhängiger Automatisierung, bei der die Menschen das tun können, was sie am besten beherrschen – denken und handeln.

Schwerpunkte

Gegenseitige Unterstützung des öffentlichen und privaten Sektors

Wir müssen kreative Ansätze entwickeln, damit der öffentliche und private Sektor bei Bedarf Fachkräfte austauschen können – insbesondere bei bedeutenden Cyber-Sicherheitsereignissen. Cyber-Sicherheit ist ein Bereich, der einem rasanten Wandel unterliegt. Was heute noch gültig ist, kann morgen schon überholt sein. Wir wissen, dass Gegner ständig an Neuerungen und Richtungswechseln arbeiten. Dies geschieht oft als Reaktion auf neue Abwehrmöglichkeiten, die im privaten Sektor entwickelt werden. Es ist unrealistisch zu glauben, dass die Cyber-Experten der Regierung in einer sich so schnell entwickelnden Umgebung ohne Unterstützung des privaten Sektors mithalten könnten. Wir sollten daher einen Mechanismus für Cyber-Fachkräfte – vor allem für bestehende oder künftige Analysten – entwickeln, um einen Austausch zwischen dem öffentlichen und privaten Sektor zu ermöglichen. Auf diese Weise könnte das Know-how in den Regierungsbehörden ständig aufgefrischt werden.

Dazu könnte das US-Heimatschutzministerium beispielsweise Partnerschaften mit Unternehmen und anderen Organisationen wie Universitäten eingehen, um einen Kader aus Cyber-Sicherheitsexperten – Betreibern, Analysten und Forschern – zu schmieden, die sich frei zwischen dem öffentlichen und privaten Sektor bewegen können. Diese Fachkräfte könnten insbesondere im privaten Sektor auf Abruf eingesetzt werden, um betroffene Einrichtungen und die Regierung zeitnah bei der Reaktion auf schwere Hackerangriffe zu unterstützen. Durch eine regelmäßige, möglicherweise zwei oder drei Wochen pro Jahr stattfindende Arbeitsplatzrotation würden die Cyber-Sicherheitsexperten der Regierung und des privaten Sektors gleichermaßen profitieren. Diese Art von gegenseitiger Unterstützung würde allen Beteiligten beim Austausch von bewährten Vorgehensweisen im Hinblick auf die Technologie, die Geschäftsprozesse und die Personalführung helfen. Das US-Heimatschutzministerium sollte einen flexiblen, öffentlich-privaten Pool zertifizierter Experten in seine Planungen integrieren und seinen Einstellungs- sowie Personalbindungsplan für Cyber-Sicherheitsexperten umgestalten. Wenn das Heimatschutzministerium nicht bereit ist zu handeln, sollte der Kongress eine unabhängige Expertenkommission mit Fachleuten aus dem öffentlichen und privaten Sektor einsetzen, um zu untersuchen, wie ein flexibler Kader von Cyber-Sicherheitsexperten gebildet und verwaltet werden könnte. Ein flexibler Personalbesetzungsansatz zur Schließung der Qualifikationslücke könnte sich wie bei der Nationalgarde zu einem Exzellenzmodell entwickeln.

 

Erweiterung des CyberCorps-Programms

Mit dem Programm CyberCorps Scholarship for Service (SFS) der National Science Foundation (NSF) soll der Kader von Informationssicherungsspezialisten für den Schutz von Regierungssystemen und -netzwerken erweitert sowie gestärkt werden. Bislang hat die US-Bundesregierung das SFS-Programm zuverlässig unterstützt. Im Jahr 2015 wurden 45 Millionen US-Dollar dafür aufgewendet, im Jahr 2016 waren es 50 Millionen US-Dollar und im Jahr 2017 dann 70 Millionen US-Dollar. Für das Finanzjahr 2018 wurde zudem ein Etatantrag in Höhe von 40 Millionen US-Dollar gestellt. Durch eine Investition von 40 Millionen US-Dollar können schätzungsweise 1.500 Studenten ein Stipendium erhalten. In Anbetracht der Größe und des Ausmaßes des Know-how-Defizits im Cyber-Sicherheitsbereich sollte die Politik den Programmumfang deutlich aufstocken. Durch eine Investition von 180 Millionen US-Dollar könnte das Programm etwa 6.400 Stipendien unterstützen und den Fachkräftemangel im Cyber-Sicherheitsbereich damit kurzfristig etwas ausgleichen.

 

Einrichtung eines Community-College-Programms

Community Colleges ziehen meist sehr unterschiedliche Studenten an – angefangen bei High-School-Absolventen bis hin zu zurückkehrenden Kriegsveteranen und anderen erwachsenen Studenten mit Berufserfahrung, die an einem beruflichen Wechsel interessiert sind. Durch öffentliche und private Investitionen könnten Community Colleges geförderte Studiengänge mit einem Schwerpunkt auf IT und Cyber-Sicherheit einrichten. Interessierte Studenten würden sowohl von College-Lehrkräften als auch von Fachleuten aus dem Privatsektor unterrichtet und erhielten nach zwei Jahren ein Zertifikat in Cyber-Sicherheit, das sich auf eine vierjährige Schulausbildung übertragen ließe oder den Studenten den direkten Zugang zum Fachkräftemarkt ermöglichen würde. Wie beim CyberCorps-Programm würden Absolventen eine bundesstaatliche Position bekleiden. Der Zeitaufwand wäre dabei mit der Stipendienlaufzeit identisch, und sie hätten eine garantierte staatliche Anstellung. Ein solches Programm sollte das bestehende und wertvolle CyberCorps SFS-Programm nicht ersetzen, sondern vielmehr ergänzen.

 

Schulwesen

Es ist entscheidend, jungen Menschen in K-12-Einrichtungen nahezubringen, dass Cyber-Sicherheit eine hervorragende Karrierechance ist und sich sehr positiv auf die Gesellschaft auswirken kann. Aus aktuellen Daten von Microsoft geht hervor, dass Mädchen in Europa im Alter von etwa 11 Jahren ein Interesse an MINT-Fächern entwickeln, das bis zum 15. Lebensjahr jedoch wieder nachlässt. Dies macht deutlich, dass wir junge Frauen in diesem kritischen Zeitraum einbinden und begeistern müssen.

Wir müssen weitere Lehrkräfte einstellen. Dabei dürfen wir jedoch nicht vergessen, dass Cyber-Sicherheit eine besondere Fachrichtung ist und daher auch einen spezifischen Lehransatz erfordert. Fachkräfte aus der Branche haben umfassende und sehr unterschiedliche Erfahrungen, die den Dialog über die Frage fördern können, was einen effektiven Cyber-Sicherheitsexperten ausmacht. Außerdem können sich aus den praktischen Erfahrungen in diesem Bereich außergewöhnliche Einblicke eröffnen.

 

Deutliche Steigerung der Diversität

Der Berufsstand der Cyber-Sicherheitsexperten profitiert in vielen Sektoren erheblich von Diversität. Laut dem Bericht Women in Cybersecurity des Center for Cyber Safety and Education sowie des Executive Women’s Forum zu Informationssicherheit, Risikoverwaltung und Datenschutz sind weltweit nur 11 % Frauen in diesem Bereich tätig. In Nordamerika sind nur 14 % der Cyber-Sicherheitsexperten Frauen. Laut den Zahlen des Bureau of Labor Statistics ist dieser Prozentsatz bei Afroamerikanern noch geringer: Ganze 3 % der Informationssicherheitsanalysten in den USA sind Afroamerikaner. Durch die Schulung und Einstellung von mehr Frauen und farbigen Menschen könnte die Qualifikationslücke verkleinert werden. Interessanterweise sind viele der gesellschaftlich als "weiblich" angesehenen Merkmale im Bereich Cyber-Sicherheit sehr wertvoll – so etwa Zusammenarbeit, Teamfähigkeit und Kreativität.

Darüber hinaus können wir mehr Frauen ansprechen und mehr Personen mit menschenfreundlicher Einstellung gewinnen, wenn wir besser erklären, wie Cyber-Sicherheit den Menschen hilft. Unter den Frauen mit abgeschlossenem Ingenieurstudium sind die Zahlen in der Biomedizintechnik und der Umwelttechnik beispielsweise am höchsten – also in Bereichen, in denen die Studenten einen direkten Zusammenhang dazu herstellen können, der Menschheit zu helfen. Cyber-Sicherheit ist ein klar definierter Bereich, der dazu beiträgt, Menschen zu schützen und zu stärken. Bei einer wirksamen Vermarktung dieses Bereichs eröffnet sich ein Pool mit hohem Potenzial und hochgradig kompetenten Mädchen und Frauen, die aufschließen und dieses (weiter wachsende) 1,5-Millionen-Defizit auffüllen könnten.

 

Automatisierung von Routinefunktionen

Eine letzte und langfristigere Strategie zur Beseitigung des Know-how-Defizits im Cyber-Sicherheitsbereich besteht in der Förderung zunehmend automatisierter Systeme. Dies sind besonders fortschrittliche Technologien, bei denen Machine Learning und künstliche Intelligenz zum Einsatz kommen. Eine automatisierte Architektur trägt zur Beseitigung der Qualifikationslücke bei, da Cyber-Sicherheitspersonal sowie IT-Mitarbeiter von Routinearbeiten entbunden werden und sich ganz auf Behebungsmaßnahmen konzentrieren können, für die Benutzereingriffe und Analysen erforderlich sind. Der Einsatz von ausgereiften automatisierten Lösungen ist nicht nur effizient, sondern auch notwendig. Trotz der schnellen Verbesserungen der Technologie sind wir noch weit davon entfernt, den Fachkräftemangel im Cyber-Sicherheitsbereich zu beseitigen. Wir müssen daher zwei Notwendigkeiten gleichzeitig Rechnung tragen: Einerseits müssen mehr Cyber-Sicherheitsexperten geschult werden, und andererseits müssen ihre Rollen durch die Automatisierung von Routineaufgaben anspruchsvoller werden.