Kein Zweifel: Der Mangel an IT-Sicherheits-Fachkräften und -Expertise ist dramatisch. Rund drei von zehn Cybersecurity-Spezialisten in Deutschland sagen laut einer Bitdefender-Studie einen gravierenden Effekt voraus, wenn der Mangel an Cybersecurity-Expertise für fünf weitere Jahre anhalten wird: 21% der deutschen Befragten sagen, es werde „ernsthafte Störungen“ verursachen.
Weitere 7% sagen sogar, es werde Unternehmen zerstören. Für die Studie wurden im Rahmen einer großangelegten internationalen Studie 513 Cybersecurity- und IT-Mitarbeiter in Deutschland befragt.
Doch es scheint einen Ausweg zu geben: Ein hoher Anteil der deutschen Befragten plädiert für eine größere Diversität in der IT-Sicherheit. Diese könnte sowohl den Fachkräftemangel lindern als auch durch ausgereiftere Strategien für eine höhere Sicherheit sorgen. Der Aussage „Es mangelt an Vielfalt in der Cybersicherheit – und das gibt Anlass zur Sorge“ hätten im Jahr 2015 nach eigener Einschätzung 47% zugestimmt. Jetzt, im Jahr 2020, stimmt der Aussage mit 54% deutlich über die Hälfte der Teilnehmer zu. Sieben von zehn Befragte (71%) glauben, dass in der Cybersicherheit ein Bedarf an vielfältigeren Fähigkeiten besteht.
Cyberkriminelle Gruppen waren schon immer heterogen
Was oft übersehen wird: Bedrohungsakteure und cyberkriminelle Gruppen waren schon immer ein heterogener Haufen. Wenn wir einen Blick auf einige der produktivsten APT-Gruppen werfen, wie zum Beispiel Carbanak, werden wir feststellen, dass sie grenzüberschreitend arbeiten, dass sie unterschiedlicher ethnischer Herkunft sind, dass sie unterschiedliche IT-Kenntnisse haben und dass sie wahrscheinlich unterschiedliche religiöse Überzeugungen haben. Es ist anzunehmen, dass sie auch gemischtgeschlechtlich aufgestellt sind. Cyberkriminellen Gruppen haben keine Regeln bezüglich eines universitären Hintergrunds, einer Ausbildung oder eines Bewerbungsprozesses.
Hier sollte die Cybersicherheit offenbar ein wenig von den Cyberkriminellen lernen, um auf Dauer überlegen zu bleiben. Unternehmen sollten beim Recruiting aufgeschlossener sein und Menschen mit einzigartigen Talenten suchen. So können auch Sicherheitsteams Kollegen gebrauchen, die vielleicht technisch nicht besonders qualifiziert sind, aber ausgezeichnet kommunizieren können. Sie könnte von großem Nutzen sein, um mit nicht-technischer Sprache Ziele zu erreichen und beim Vorstand Zustimmung für unverzichtbare Investitionen zu gewinnen.
Neurodiversität: Einbindung von Menschen im Autismus-Spektrum oder mit Legasthenie, Dyspraxie und ADHS
Eine besondere Rolle in der Verstärkung der Abwehrkräfte von Unternehmen könnte Neurodiversität spielen. Darunter versteht man eine stärkere Einbindung von Menschen im Autismus-Spektrum oder mit Legasthenie, Dyspraxie, ADHS und anderen neurologischen Besonderheiten. Fast die Hälfte der deutschen Befragten (47%) glaubt, dass der Cyber-Sicherheitssektor in den nächsten fünf Jahren neurodiverser werden sollte.
Neeraj Suri, Professor für Cybersecurity an der Universität Lancaster, erklärt den Vorteil neurodiverser Cybersecurity-Teams so: „Jede Gruppe, die das gleiche Verständnis eines Themas hat, sei es aufgrund ihrer Herkunft oder der Art und Weise, wie sie über ein bestimmtes Thema denkt, wird die gleichen Annahmen treffen. Beim Konzept von Neurodiversität geht es darum, dass Menschen mit unterschiedlichem Hintergrund dasselbe Problem betrachten, es aber unterschiedlich interpretieren.“
Falsche Vorannahmen aufdecken
Unterschiedliche Fähigkeiten und Neurodiversität gelten zurecht als Schlüssel zur Verbesserung der Cybersicherheitsabwehr, weil sie blinde Flecken und falsche Vorannahmen aufdecken. Organisationen sollten beim Aufbau von Sicherheitsteams flexibler und aufgeschlossener werden, indem sie statt nach Menschen, die in Schablonen passen, nach den Individuen suchen, die den Job am besten erledigen können.
Über die Studie:
„10 in 10“ Die Bitdefender-Studie „10 in 10“ untersucht die Frage, welche zehn Faktoren den Erfolg der IT-Sicherheit in den nächsten zehn Jahren bestimmen werden. Insgesamt wurden dazu im Mai diesen Jahres 6.724 Cybersecurity- und IT-Mitarbeiter in Großbritannien, den USA, Australien, Neuseeland, Deutschland, Frankreich, Italien, Spanien, Dänemark und Schweden durch das Marktforschungsinstitut Sapio Research befragt. Der Bericht repräsentiert einen breiten Querschnitt von Organisationen und Branchen, von jungen KMU ab 100 Angestellten bis hin zu börsennotierten Unternehmen mit mehr als 10.000 Beschäftigten in einer Vielzahl von Branchen, darunter Finanzen, Verwaltung und Energie. 23% der Befragten gehören dem Topmanagement („C-Level“) an.
Weitere Informationen: