„Awareness ist eine der wichtigsten Sicherheitsmaßnahmen“

Andreas Tomek ist Head of Professional Services bei SBA Research und Vorstandsmitglied beim (ISC)² Chapter Österreich. Computerwelt.at hat ihn zu den Ergebnissen der aktuellen Global Information Security Workforce Study (GISWS) des (ISC)² – und in diesem Zusammenhang zu den Zuständen in Österreich – befragt. [...]

Die siebte Global Information Security Workforce Study (GISWS) des (ISC)² kommt zu dem Schluss, das international bis 2020 1,5 Millionen IT-Security-Fachkräfte fehlen werden. Aber wie sieht die Lage in Österreich aus? Computerwelt.at hat den Experten Andreas Tomek, Head of Professional Services bei SBA Research und Vorstandsmitglied beim (ISC)² Chapter Österreich, dazu befragt.

Zwischen dem Bedarf an Fachkräften und dem Beenden einer Ausbildung geht oft eine Schere auf: Wenn akuter Bedarf an Experten besteht, und genug Personen zu diesem Zeitpunkt bereit sind sich ausbilden zu lassen, dauert es dennoch einige Zeit, bis sie ihre Ausbildung auch abgeschlossen haben und zur Verfügung stehen. Bis dahin haben sich die Anforderungen aber vielleicht bereits wieder geändert. Sehen Sie das auch so? Und wenn ja: Was könnte dagegen unternommen werden?
Andreas Tomek: Wissen über Security kann in zwei Teile geteilt werden: Grundlagenwissen und Produktwissen. Erstes ändert sich nur langsam und ist aufbauend, Letzteres veraltet hingegen schneller. Um Grundlagenwissen zu erwerben, sind Security-Studiengänge und allgemeine Zertifizierungen wie der CISSP (Certified Information Systems Security Professional) optimal, Produktwissen kann dann darauf aufbauend relativ rasch in kurzen Trainings und Selbststudium beziehungsweise bei Training-on-the-Job erworben werden. Die Anforderungen ändern sich nicht so rasch, da mindestens 50 Prozent der Security-Maßnahmen in Unternehmen organisatorischer Natur sind und diese durch Grundlagenwissen und ein funktionierendes Sicherheitsmanagement abgedeckt werden. Man sollte demnach in eine gute Grundausbildung investieren und hier setzt (ISC)² mit dem CISSP sicher einen guten und umfassenden Standard.

Kann der aktuelle und künftige Bedarf an IT-Security-Fachkräften überhaupt gestillt werden? Selbst wenn man den Bestfall annimmt, und morgen würden 1,5 Millionen Menschen eine Ausbildung als Security-Fachkraft beginnen, wären die dann bis 2020 auf einem Level, um dann den Anforderungen genügen zu können? Wäre dann der Fachkräftemangel abgewendet?
Fünf Jahre reichen ohne Probleme um einen Großteil der benötigten Fachkräfte auszubilden und mit entsprechender Erfahrung zu versehen. Nichts desto trotz braucht es interessierte Personen und davon hat die gesamte IT-Branche immer noch zu wenige. Informationssicherheit bleibt dabei eines der zukunftsträchtigsten, abwechslungsreichsten und spannendsten Themengebiete für Menschen die sich für eine IT-Karriere interessieren.

Was können Unternehmen tun, um einerseits einen bereits bestehenden, akuten Bedarf an Fachkräften, und andererseits ihren künftigen Bedarf, abzudecken?
Wieder gibt es zwei Gebiete: Einerseits müssen alle Mitarbeiter in Security-Grundlagen geschult werden, Awareness ist eine der wichtigsten Sicherheitsmaßnahmen. Fachkräfte sind sowohl am Markt als auch bei Beratern als Zukaufoption vorhanden, entsprechend zu anderen Spezialbereichen wie SAP, kosten diese aber mehr als der durchschnittliche IT-Mitarbeiter. Dies ist auch deshalb so, weil Security-Spezialisten analog zu beispielsweise SAP-Beratern organisatorisches und technisches Wissen vereinen müssen.

Wie schätzen Sie die Lage in Österreich ein? Ist die Awareness für Security-Themen bei den heimischen Unternehmen hoch genug? Oder besteht noch Aufklärungsbedarf?
Die Awareness ist in den letzten Jahren gestiegen und geht schön langsam auch Richtung den obersten Management Ebenen, natürlich auch durch bekannt gewordene Vorfälle und Compliance-Richtlinien. Trotzdem ist hier noch Luft nach oben, vor allem im KMU-Bereich.

Wie schätzen Sie den Mangel an IT-Security-Experten in Österreich ein? Ist er ähnlich dramatisch, wie in der aktuellen Studie dargestellt?
Gerade in Österreich wurde in den letzten Jahren einiges im universitären und außer-universitären Security Umfeld investiert. Es gibt demnach schon gute Möglichkeiten für eine qualitativ hochwertige Ausbildung an Fachhochschulen und Universitäten. Spezialwissen muss jedoch gleichfalls im Ausland und online erworben werden, da internationale Konferenzen und der Wissensaustausch im Security-Bereich besonders wichtig sind. Aktuell fehlen sicher hierzulande Experten in allen möglichen Bereichen, das betrifft sowohl die IT allgemein als auch die Security im Speziellen.

Ist das Angebot an Ausbildungsmöglichkeiten und -Plätzen für IT-Security in Österreich hoch genug? Wie ist das Niveau der angebotenen Ausbildung Ihrer Meinung nach?
Diese Frage wurde weitgehend schon in der vorigen Frage beantwortet. Security-Ausbildung ist einfach sehr vielschichtig und muss auch mit Eigenmotivation selbst vorangetrieben werden. Dabei ist nach Abschluss einer Ausbildung und etwaigen Zertifizierung vor allem die Fortbildung wichtig, welche zum Beispiel auch eine formale Anforderung zum Behalten der Zertifizierung für alle CISSPs ist. Auch wird dies durch Maßnahmen wie das (ISC)² Chapter Österreich mit regelmäßigen Treffen und Vorträgen unterstützt.

Das Gespräch führte Rudolf Felser.


Mehr Artikel

Unternehmen legen ihren Fokus auf Investitionen zur Performancesteigerung durch Künstliche Intelligenz. (c) Pexels
News

GenAI: Vom Experiment zum strategischen Werkzeug

KI hat sich von einem Hype zu einem strategischen Gamechanger entwickelt. Laut einer Studie von NTT DATA ist die Experimentierphase für generative KI (GenAI) endgültig vorbei. Stattdessen stehen nun konkrete Pläne zur langfristigen Nutzung im Vordergrund – mit dem Ziel, Performance, Arbeitsplatzkultur, Compliance, Sicherheit und Nachhaltigkeit zu optimieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*