Fachkräftemangel und Karrieren

Der CISO emanzipiert sich vom CIO

12. September 2016
Christiane Pütter ist Journalistin aus München. Sie schreibt über IT, Business und Wissenschaft. Zu ihren Auftraggebern zählen neben CIO und Computerwoche mehrere Corporate-Publishing-Magazine, vor allem im Bereich Banken/Versicherungen.
In Sachen IT-Security schlägt der Fachkräftemangel noch stärker durch als in der IT allgemein. Das erklärt zumindest jeder zweite Teilnehmer einer Studie von Intel. Helfen sollen Diversity, Gamification – und die Emanzipation des Chief Information Security Officer (CISO) vom CIO.
Wie Marktforscher von Vanson Bourne bis IDC beobachten, feilen Unternehmen an der Rolle eines Chief Information Security Officer (CISO).
Wie Marktforscher von Vanson Bourne bis IDC beobachten, feilen Unternehmen an der Rolle eines Chief Information Security Officer (CISO).
Foto: Pepsco Studio - shutterstock.com

Speziell das Thema Daten- und Informationssicherheit vor dem Hintergrund des FachkräftemangelsFachkräftemangels interessiert den Hersteller Intel. Seine Studie "Hacking the skills shortage" untersucht den Status Quo in acht Ländern, darunter Deutschland, die USA und Japan. 775 Entscheider haben sich an der Umfrage beteiligt, die Intel gemeinsam mit dem Marktforscher Vanson Bourne durchgeführt hat. Fazit: Security-Themen sind vom Fachkräftemangel besonders stark betroffen. Alles zu Fachkräftemangel auf CIO.de

Mehr als jeder Zweite (53 Prozent) gibt an, das Fehlen von Cybersecurity-Spezialisten wirke sich stärker aus als der generelle Mangel an Informatikern. 71 Prozent sprechen von direkten und messbaren Schäden für ihr Unternehmen durch das Fehlen von Cybersecurity Skills.

Die Kritik der Studienteilnehmer richtet sich zunächst einmal an "den Staat", konkret an Universitäten und Bildungssystem. Es werde zu wenig in die Ausbildung der benötigten Fachkräfte investiert, diesen Vorwurf erheben 76 Prozent der Befragten. Im gleichen Atemzug fordern sie, Gesetzeslücken zu schließen. Lediglich 21 Prozent halten die derzeitigen Gesetze für ausreichend.

Vanson Bourne/Intel nennen drei Punkte, an denen Unternehmen ansetzen können. Das sind Diversity, Gamification und die Entwicklung der Rolle des Chief Information Security Officer (CISO).

Stichwort Diversity: Die Marktforscher haben sich angesehen, wen die Unternehmen beschäftigen. Ergebnis: Die Firmen bemühen sich zunehmend um Frauen als Mitarbeiterinnen. Mit Blick auf die USA fällt den Studienautoren allerdings auf, dass Afroamerikaner und Hispanics nach wie vor wenig angeworben werden. Je vielfältiger aber die Belegschaft, je besser - eine These, die Vanson Bourne/Intel unterstützen.

Andererseits interessieren sich wenig junge Frauen und Vertreter von Minderheiten für diesen Bereich. Die Marktforscher geben den Anteil an Absolventinnen mit 17 bis 18 Prozent an. Die Analysten zitieren hier eine weitere Studie von (ISC)², wonach Frauen nur elf Prozent der Cybersecurity-Beschäftigten stellen.

Gamification als Motor: Vanson Bourne/Intel plädieren für mehr Computerspiele, die Cybersecurity-Fertigkeiten trainieren. Als positive Beispiele nennen sie MySecureCyberspace. Das US-amerikanische Verteidigungsministerium jedenfalls setzt bereits auf Gamification. Die Behörde hat ein Spiel namens CyberProtect entwickelt. Die Nutzer üben sich in Ressourcen-Management und entwickeln Maßnahmen gegen Cyberkriminelle. Auch beliebte Games wie Watch Dogs und Deus Ex enthalten Hacking-Elemente.

Unternehmen könnten solche Vorlagen für das Training und die Entwicklung eigener Sicherheits-Spezialisten nutzen, betonen die Studienautoren. Mit unterhaltsamen und spielerischen Elementen bringen sie mehr Mitarbeiter dazu, sich mit Cybersecurity zu beschäftigen, so die Erwartung.

Noch aber scheinen Entscheider in den Unternehmen mit Hackern zu fremdeln. Die Marktforscher wollten wissen, ob Hacker-Wettbewerbe wie etwa "International Capture the flag" beim Aufbau von Cybersecurity Skills eine Rolle für sie spielten. 29 Prozent der Entscheider zeigen sich von dieser Idee sehr überzeugt und sprechen solchen Wettbewerben "eine große Rolle" zu. Ihnen stehen allerding 26 Prozent gegenüber, die damit bisher gar nichts anfangen können.

Rolle des CISO: Jenseits solcher Diskussionen steht eines fest - die Relevanz von Cyber-Sicherheit wächst und damit auch die Rolle des Chief Information SecuritySecurity Officer (CISO). 97 Prozent der Studienteilnehmer erklären, der Vorstand ihres Unternehmens halte das Thema für wichtig. Zum Vergleich: Vor fünf Jahren tauchte Cybersecurity noch gar nicht in den Top Ten der größten Risiken auf, wie Lloyds jährliche Risiko-Umfrage belegt. Alles zu Security auf CIO.de

Vanson Boune/Intel erwartet, dass der CISO zunehmend in den Fokus rückt. Die Studienautoren beziehen sich dabei auf eine Analyse von IDC unter 269 CISOs im vergangenen Jahr. Diese Job-Rolle sei noch neu, schrieb IDC. 15 Prozent der Befragten berichteten direkt an den CEO - IDC erwartet, dass es schon 2018 eine Mehrheit von 75 Prozent sein wird. Vanson Bourne/Intel prognostizieren, dass diese Kräfteverschiebung zu Ungunsten des CIO verlaufen wird.

Ob es zu Konflikten kommt, das hängt für Adam Rice vom CIO ab. Rice ist CISO von Cubic Corp., einem Verteidigungs- und Transport-Unternehmen aus San Diego. Er jedenfalls traut seinem CIO zu, mögliche Interessenkonflikte zu kommunizieren und mit ihm zu besprechen. Zu seinem ersten Board-Meeting in der damals noch neuen Funktion im Herbst 2014 saßen der CIO und er nebeneinander. Der Vorstand zeigte von Anfang an Sensibilität für mögliche Schwierigkeiten dieser Konstellation.