Wie sich der Mangel an Cybersecurity-Fähigkeiten auf Ihr Unternehmen auswirkt

Veröffentlicht: 2021-05-13

Der Mangel an technischen Fähigkeiten ist nichts Neues, aber die Auswirkungen, die er auf Unternehmen jeder Größe hat, waren noch nie so deutlich.

Die Notwendigkeit, dass selbst kleine Unternehmen heute über einen starken Technologie-Stack für ihre Geschäftsprozesse und einen sicheren Sicherheits-Stack für ihre Daten und Informationen verfügen, bedeutet, dass die Auswirkungen des Fachkräftemangels im Bereich Cybersicherheit KMU häufiger denn je treffen.

Kurz gesagt, jeder braucht technisches Sicherheits-Know-how, aber die Nachfrage ist so groß, dass viele Unternehmen es sich einfach nicht für alle ihre Bedürfnisse leisten können.

Der Fachkräftemangel vor der Pandemie

Der Fachkräftemangel in der Technik braut sich seit einigen Jahren zusammen – Sie müssen nur bis 2017 zurückgehen, um zu sehen, wie die Unternehmen damals über die Situation dachten, als drei Viertel der Organisationen zu diesem Zeitpunkt keine Veränderung oder eine Verschlechterung der Qualifikationslücke sahen tech (siehe Grafik unten).

Dies war für viele Unternehmen ein Haupthindernis bei der Einstellung von Kandidaten für ihre Technologie- und IT-Anforderungen.

Lücke bei den technischen Fähigkeiten, wie von Unternehmen gemeldet | Wie sich der Mangel an technischen Fähigkeiten auf Ihr Unternehmen auswirkt

Veränderungen seit der Pandemie

Viele der Veränderungen in der Herangehensweise von Unternehmen an Themen wie technologische Reife und Cybersicherheit wurden durch die Pandemie vorangetrieben und verschärften bestehende Probleme, die ohnehin den Talentmangel beeinträchtigten.

Im Jahr 2020, als Lockdowns weit verbreitet waren, mussten Unternehmen, denen die notwendige Technologie fehlte, um beispielsweise die geeigneten Ressourcen für eine vollständig remote arbeitende Belegschaft bereitzustellen, schnell umstellen und die Talente und Lösungen dafür übernehmen.

Dies betraf praktisch jeden Geschäftsbereich, ob Vertrieb, Marketing, Produkt-/Dienstleistungsentwicklung – jeder Aspekt der Geschäftsprozesse eines Unternehmens benötigte plötzlich eine grundlegende technische Fähigkeit, um im Betrieb effektiv zu bleiben.

Verwandtes Webinar: Überwindung des Talentmangels | Moderne Geschäftsanforderungen

Überlegungen zu technischen Lösungen

In dieser Zeit haben viele Unternehmen darüber nachgedacht, was sie kürzen müssen, um zahlungsfähig zu bleiben, aber auch, in was sie aus dem gleichen Grund investieren müssen – es macht wenig Sinn, die Ausgaben zu reduzieren, um ein Unternehmen über Wasser zu halten, wenn es mit kostspieligen Daten zu kämpfen hat verletzen und in dem Fall einen höheren finanziellen Schaden erleiden.

Also, wohin haben diese Investitionen geführt? Wenn wir uns die Daten von Microsoft vom August 2020 ansehen, sehen wir, dass die Top-5-Investitionen seit Beginn der Pandemie in Bezug auf die Sicherheit sind:

  1. Multifaktor-Authentifizierung (MFA) – 20 %
  2. Endgeräteschutz – 17 %
  3. Anti-Phishing-Tools – 16 %
  4. VPN – 14 %
  5. Endbenutzer-Sicherheitsschulung – 12 %

Viele dieser Lösungen, insbesondere Endpunktschutz, VPNs und andere Sicherheitstools, erfordern das Fachwissen eines Cybersicherheitsexperten, um sie zu warten.

Nehmen Sie zum Beispiel Endpoint Protection. Es ist üblich, dass Mitglieder des Cybersicherheitspersonals den Schutz von Endpunkten über eine Cloud-Plattform wie Cisco Meraki (die Impact mit Kunden verwendet) verwalten.

Die Bereitstellung, Sicherung und Wartung von Geräten, insbesondere bei Mitarbeitern, die über mehrere Büros verteilt sind oder nicht in einem einzigen Netzwerk arbeiten, ist nicht einfach und erfordert eine gewisse Aufsicht.

Wenn Sie alle anderen Aspekte der Informations- und Unternehmenssicherheit, wie zum Beispiel Compliance, berücksichtigen, ist es nicht schwer zu verstehen, warum die Einstellung eines Sicherheitspersonals zusätzlich zum vorhandenen IT-Personal für viele Unternehmen nicht machbar ist.

Wer stellt ein?

Die meisten Unternehmen sind sich bewusst, dass sie ihre Ausgaben für Cybersicherheit erhöhen müssen, und tatsächlich tun viele von ihnen genau das, oft auf Kosten ihrer breiteren IT-Budgets.

Kaspersky berichtet, dass die IT-Budgets zwischen 2018 und 2020 zwar stagnierten, die Sicherheitsbudgets jedoch in der Regel um 11-15 % gestiegen sind – was auf eine klare Neigung hindeutet, Sicherheitsinitiativen gegenüber IT-Projekten zu bevorzugen, auch wenn dies auf Kosten der IT im Allgemeinen geht.

Der Gesamtmarkt für Cybersicherheit hatte 2004 einen Wert von 3,5 Milliarden US-Dollar. 2017 wurde er auf 120 Milliarden US-Dollar geschätzt und bis 2022 soll er 170 Milliarden US-Dollar erreichen.

Als Ergebnis dieser Budgetierung hat die Mehrheit der KMUs mit einem Cybersicherheitsbudget von etwa 275.000 US-Dollar zu tun, verglichen mit etwa 14 Millionen US-Dollar für Unternehmen.

Was sich daraus ergibt, ist eine fast unmögliche Aufgabe für kleine und mittlere Organisationen.

Betrachten Sie einige Cybersicherheitspositionen und ihre Durchschnittsgehälter:

  • Informationssicherheitsmanager: 125.000 $ – 215.000 $
  • Cybersicherheitsingenieur: 120.000 bis 200.000 US-Dollar
  • Anwendungssicherheitsingenieur: 120.000 bis 180.000 US-Dollar
  • Cybersicherheitsanalyst: 90.000 bis 160.000 US-Dollar
  • Penetrationstester: $80.000 – $130.000
  • Netzwerksicherheitsingenieur: 125.000 – 185.000 US-Dollar
  • Corporate Compliance Officer im Gesundheitswesen: 120.000 US-Dollar

Im aktuellen Umfeld sind Cybersicherheitspositionen sehr gefragt und werden hoch bezahlt, eine Hürde, die für viele einfach zu schwer zu überwinden ist.

Wenn wir das durchschnittliche Budget von rund 275.000 US-Dollar nehmen, das viele Unternehmen für ihre Cybersicherheit haben, ist es offensichtlich, dass es allein durch Talente sehr schnell versiegen wird – und das, ohne auch nur einen Cent für die technischen Lösungen zu bezahlen.

Dies hat dazu geführt, dass Unternehmen zögern, neue Cybersicherheitsmitarbeiter oder sogar ein Sicherheitsteam einzustellen – dies entspricht weit verbreiteten Vorbehalten, da rund 54 % der Unternehmensleiter sich Sorgen um die Ausgaben für Cybersicherheitspersonal machen.

Drei Leute, die leeren Raum im Puzzle betrachten | Wie sich der Mangel an technischen Fähigkeiten auf Ihr Unternehmen auswirkt

Wie reagieren Unternehmen darauf?

Hier spielen widersprüchliche Dinge eine Rolle – Unternehmen müssen ihre Budgets ausgleichen und gleichzeitig mehr für Cybersicherheit ausgeben, um sich selbst zu schützen.

Die Frage für viele ist dann die einfache Frage, was zu tun ist. Für viele bestand die Antwort darin, ihre Sicherheitsanforderungen an Dritte auszulagern.

Ein MSSP ist ein Managed Security Service Provider. Das Konzept unterscheidet sich nicht von anderen Managed Services – der MSSP stellt die Ressourcen (Technik und Personal) bereit und das Kundenunternehmen schließt einen Servicevertrag mit dem MSSP ab.

Qualitäts-MSSPs bieten ihren Kunden einen Vertrag mit monatlicher Festgebühr an, damit sie nicht mit unerwarteten Rechnungen konfrontiert werden.

Der Markt für verwaltete Sicherheitsdienste ist im Laufe der letzten Jahre erheblich gewachsen, von 32 Milliarden US-Dollar im Jahr 2020 auf voraussichtlich 46 Milliarden US-Dollar bis 2025, was einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 8 % entspricht.

Durch die Einstellung eines MSSP für Cybersicherheit kann das Unternehmen das Fachwissen und die Tools des MSSP nutzen, ohne die Bank zu sprengen, indem es intern ein ganzes Cybersicherheitsteam aufbaut.

Natürlich kennt ein internes Team ein Unternehmen immer am besten, weshalb es für Unternehmen wichtig ist, zu überlegen, welche Art von MSSP für ihre spezielle Organisation wünschenswert ist – nicht alle Dienstanbieter sind gleich geschaffen.

Verwandter Beitrag: Welche MSSP-Services sollten Sie von Ihrem Sicherheitspartner erwarten?

Endeffekt

Das erhöhte Risiko, dass Unternehmen Opfer von Cyberkriminalität werden, hat zu einer starken Nachfrage nach Cybersicherheitsexperten und -diensten geführt.

Dies hat wiederum Unternehmen unter Druck gesetzt, in ihren Budgets Platz für ein Sicherheitsprogramm zu finden, aber für die Mehrheit ist dies einfach zu schwierig.

Unternehmen müssen sich entscheiden, entweder die Bedrohung durch Cyberkriminalität zu ignorieren und den Kopf in den Sand zu stecken (was eine nicht unerhebliche Anzahl von Unternehmen tatsächlich tut) oder einen anderen Weg finden, um eine Verteidigungsstrategie aufzubauen.

MSSPs als Alternative bieten Unternehmen die Möglichkeit, in ihre Cybersicherheit zu investieren und gleichzeitig ein begrenztes Budget einzuhalten, und das ist ein großer Teil des Grundes, warum die Branche der Managed Security Services in den letzten Jahren einen großen Aufschwung erlebt hat.

Unternehmen, die sich Sorgen um den Stand ihrer Cybersicherheitsverteidigung machen, sollten die Bedrohung durch Cyberkriminalität, aber auch ihr Budget realistisch einschätzen.

Obwohl im letzten Jahr Verbesserungen zu verzeichnen waren, bleibt der Mangel an Cybersicherheit ein Problem für Unternehmen, die Sicherheitstalente einstellen, und ein Problem, das heute viele Unternehmen betrifft, die ihre Daten und Prozesse schützen möchten.

Diese Organisationen sollten dringend einen Managed Security Service Provider in Betracht ziehen, um ihre Anforderungen mit einem begrenzten Budget zu erfüllen, da es unwahrscheinlich ist, dass der Mangel an Cybersicherheits-Fähigkeiten in dem erforderlichen Maße behoben wird, um für KMUs in absehbarer Zeit erschwinglich zu sein.

Erfahren Sie mehr darüber, was eine vollständige Cybersicherheitsstrategie beinhaltet und wie ein MSSP diese Anforderungen erfüllt, in unserem eBook „ Was macht eine gute Cybersicherheitsverteidigung für ein modernes KMU aus?“.