Anmelden


(ISC)² Global Information Security Workforce Study

Unternehmen und Organisationen haben es immer schwieriger, Bedrohungen abzuwehren, Fehler zu vermeiden und nach Cyberattacken wieder den Regelbetrieb aufzunehmen – dies zeigt eine heute veröffentlichte Studie des (ISC)²® („ISC-squared“), der größten Non-Profit-Organisation von zertifizierten Fachkräften für Informations- und Softwaresicherheit weltweit mit über 100.000 Mitgliedern. Die siebte Global Information Security Workforce Study (GISWS) des (ISC)² wurde von Frost & Sullivan durchgeführt; ihre Ergebnisse belegen, dass die Sicherheit von Unternehmen gefährdet ist, weil oft unterbesetzte Teams vor der komplexen Aufgabe stehen, viele verschiedene Sicherheitstechnologien verwalten zu müssen. „Unsere erste Workforce Study fand 2004 statt und beleuchtete kritische Anliegen der Informationssicherheit, denen nicht die gebührende Aufmerksamkeit gewidmet wurde. Der aktuelle Bericht zeigt, dass viele dieser Themen endlich die dringend notwendige finanzielle Unterstützung und Priorität erhalten. Leider sind wir heute mit neuen Herausforderungen konfrontiert, und unser Kompetenz- und Fachkräftebedarf steigt laufend weiter“, kommentiert Dr. Adrian Davis, CISSP, Managing Director, EMEA,(ISC)². In der diesjährigen Umfrage sagten 62 Prozent der Teilnehmer (gegenüber 56 Prozent im Jahr 2013), dass ihre Organisation zu wenig IT-Sicherheitsexperten beschäftigt, obwohl das Budget mehr Mitarbeiter zulassen würde. Frost & Sullivan schätzen, dass der globale Fachkräftemangel in fünf Jahren auf 1,5 Millionen Stellen anwachsen wird. Zeitgleich gewinnen Cyber-Bedrohungen an Vielfalt und Ausgereiftheit. Immer mehr Systeme und Geräte müssen geschützt werden. Begleiterscheinungen dieser bedrohlichen Entwicklung werden als kritische Themen identifiziert: Beispielsweise kommt es häufiger zu Konfigurationsfehlern und anderen Versäumnissen. Die Erholungszeit nach Angriffen auf Systeme oder Daten verlängert sich stetig. Der Bericht belegt, dass die IT-Sicherheitsausgaben für Technologie, Personal und Schulung generell steigen. Gleichfalls planen Unternehmen, mehr in Tools und Technologien zu investieren. Die Anbieter von Technologieprodukten haben Probleme mit den sich rasant entwickelnden Bedrohungen Schritt zu halten:. Zwei Drittel der Umfrageteilnehmer sind der Ansicht, dass ein neues Phänomen – der sogenannte „Technology Sprawl“ – die Effektivität behindert. Angesichts dieser und anderer Herausforderungen für Personalverantwortliche – 45 Prozent von ihnen haben Probleme, zusätzliche Kräfte einzustellen – nimmt auch die Nutzung von Outsourcing, Managed Services und professionellen Dienstleistungen zu. „Insgesamt gesehen reicht es nicht aus, in Sicherheitstechnologien, Fachkräfte und Outsourcing zu investieren, um der rein reaktiven Rolle zu entkommen, in der das Berufsfeld der Informationssicherheit derzeit steckt“, schlussfolgert der Berichtsverfasser, Mike Suby, Program Manager für Communications Service Strategies & Opportunities bei Stratecast, einem Geschäftsbereich von Frost & Sullivan. „In der diesjährigen Studie haben wir aufgedeckt, dass viele Elemente des Informationssicherheitsprogramms in IT-Abteilungen und anderen Unternehmenseinheiten ausgeführt werden – das heisst IT wirkt hier als Kraftmultiplikator“, sagt David Shearer, CISSP, PMP, Executive Director des (ISC)². „Jahr um Jahr hat die Studie einen Fachkräftemangel belegt; jetzt stellen wir allerdings fest, dass dieser Mangel durch andere, immer dringlichere Probleme noch verschärft wird, wie zum Beispiel Konfigurationsfehler und Versäumnisse, die sich negativ auf die Sicherheitslage globaler Unternehmen auswirken können.“ Weitere wichtige Erkenntnisse der Studie: Nur ein Fünftel der Teilnehmer weltweit geht davon aus, dass eine Erholung von Angriffen auf Systeme oder Daten innerhalb eines Tages möglich ist. Dies ist ein deutlicher Rückgang gegenüber der GISWS 2011, in der ein Drittel der Teilnehmer diese Meinung vertrat. Schwachstellen in Anwendungen sowie Malware wurden zum dritten Mal in Folge als größte Sicherheitsbedrohungen identifiziert. Sicherheitsprüfungen finden bei Anwendungen zumeist erst nach der Produktion statt. Phishing ist die Hauptangriffsmethode für Hacker, doch wie die Ergebnisse zeigen, hat die entsprechende Sensibilisierungsschulung an Bedeutung verloren. Die Anzahl der Teilnehmer, die mit höheren Ausgaben für Sicherheitstechnologien rechnen (45 Prozent), erreicht ihren höchsten Stand seit Beginn der Studie im Jahr 2004. Für über 70 Prozent der Teilnehmer waren Netzwerküberwachung und -informationen sowie verbesserte Intrusion Detection die Technologien, die für eine deutliche Steigerung der Sicherheit sorgen. Mehr als die Hälfte (58 Prozent) gaben an, dass sie fortschrittliche Analytik für die Erkennung von Malware implementiert haben, derzeit einführen oder bewerten. Mangelnde innerbetriebliche Kompetenzen sind der Hauptgrund für Outsourcing; fast ein Drittel der Teilnehmer nannte den Wechsel zu Outsourcing und Managed Services als eine Strategie zur Bewältigung von Technology Sprawl. "Seit mehr als zehn Jahren führt die (ISC)², eine gemeinnützige Organisation im Bereich Informationssicherheit die Global Information Security Workforce Studie (GISWS) durch. Die Studie gibt einen Überblick über die aktuelle Arbeitsmarktsituation für Experten aus dem Bereich Informations- und IT-Sicherheit sowie einen internationalen Vergleich über Gehälter, Aufstiegschancen und generelle Marktentwicklungen. Darüber hinaus werden auch immer wieder neue Technologie-Trends diskutiert und Bedrohungen aufgezeigt. In diesem Jahr stehen besonders Incident Response Management und Cloud Security im Fokus“, fügt Isabel Münch, Referatsleiterin Allianz für Cyber-Sicherheit und IT-Grundschutz beim Bundesamt für Sicherheit in der Informationstechnik (BSI) an. Wim Remes, CISSP und Manager Strategic Services EMEA bei Rapid7 meint: „Incident Response Management, also die Fähigkeit schnell und entschlossen auf Sicherheitsvorfälle reagieren zu können, ist bei Unternehmen rund um den Globus gefragt. Die Geschwindigkeit mit der Cyber-Kriminelle agieren und sich verändern, stellt Sicherheitsverantwortliche täglich vor Herausforderungen und die erforderlichen Fähigkeiten lassen sich nicht leicht entwickeln. In der aktuellen Studie der (ISC)² gaben 85 Prozent der Befragten an, dass sie zumindest teilweise mit Incident Response Tätigkeiten befasst waren. Es ist offensichtlich, dass Sicherheitsvorfälle erhebliche Ressourcen unserer Arbeitszeit kosten. Mit einer geringen Anzahl an verfügbaren trainierten und qualifizierten Experten ist es nicht verwunderlich, dass Unternehmen die dafür nötigen Ressourcen entwickeln und aufbauen. Die Global Workforce Studie von (ISC)² zeigt dies deutlich auf, denn 64 Prozent der Befragten gaben an, dass sie Schwierigkeiten hatten, ihre Teams intern zu trainieren. 47 Prozent haben sogar angegeben, dass sie demnächst mit einer wachsenden Nachfrage nach externen Weiterbildungsmöglichkeiten rechnen und mehr als die Hälfte ist interessiert daran, seine Incident Response Fähigkeiten weiterzuentwickeln. Cyber-Kriminelle werden nicht langsamer. Um auf Vorfälle reagieren zu können und deren Auswirkungen zu vermindern, sollten Unternehmen nicht zögern, um ihren Sicherheitsverantwortlichen entsprechendes on-the-job Training oder aber externe Weiterbildungsmöglichkeiten anzubieten.“ Der Vorstand des (ISC)² Chapter Deutschland e.V. kann die Ergebnisse der Studie nur bestätigen: "Das verfügbare Security Budget zu 70 Prozent in containment & remediation und 20 Prozent in Monitoring und 10 Prozent in herkömmliche Security Maßnahmen zu investieren, macht 100 Prozent Sinn. Die Erfahrung unserer Mitglieder und die Studie zeigen auf, dass es immer noch bis zu 260 Tage dauern kann, bis ein Eindringling bemerkt wird und 2 bis 3 mal solange, bis ein sicherer Zustand erreicht ist.“ Die Studie wurde von Frost & Sullivan im Auftrag der (ISC)² Foundation durchgeführt und wird der Branche dank der Unterstützung der Unternehmenspartner Booz Allen Hamilton, Cyber 360 Solutions und NRI als kostenlose Ressource zur Verfügung gestellt. Die GISWS 2015 ist die wahrscheinlich größte Studie im Fachbereich der Informationssicherheit je: Zwischen Oktober und Dezember 2014 nahmen mehr als 13.000 Experten und Fachkräfte für Informationssicherheit mittels einer Internetumfrage daran teil. Seit der ersten Auflage im Jahr 2004 ermittelt die GISWS regelmäßig die Ansichten von Fachkräften für Informationssicherheit und bietet detaillierte Einsichten in wichtige Entwicklungen und Chancen in diesem Berufssektor. Die GISWS verfolgt das Ziel, einen klaren Überblick über Gehaltsskalen, Qualifikationslücken, Schulungsbedürfnisse, Einstellungspraktiken von Unternehmen, Sicherheitsbudgets, Karriereaussichten und den Stellenwert der Informationssicherheit im Unternehmen vermitteln. Damit wird sie Unternehmen, Personalverantwortlichen und Fachkräften für Informationssicherheit gleichermaßen von Nutzen sein. Die ausführliche GISWS 2015 steht hier zum Download zur Verfügung: https://www.isc2cares.org/IndustryResearch/GISWS/.