Suchen

Fachkräftemangel bei Finanzunternehmen Der Finanzwelt fehlten Cyber-Security-Fachkräfte

| Autor / Redakteur: Henning Sander / Peter Schmitz

Die digitale Transformation bringt für alle Unternehmen riesige strategische und betriebliche Möglichkeiten birgt aber auch neue Risiken für Unternehmen und neue Angriffswege für Kriminelle. In der Finanzbranche werden fast täglich Systeme von Hackern angegriffen. Dies ist die dunkle Seite der Digitalisierung und sie verdient genauso viel Aufmerksamkeit wie die Chancen, die die Digitalisierung mit sich bringt.

Firmen zum Thema

Der IT-Sicherheitsbereich im Finanzsektor hat Nachholbedarf, insbesondere wenn es um das personelle Aufrüsten geht.
Der IT-Sicherheitsbereich im Finanzsektor hat Nachholbedarf, insbesondere wenn es um das personelle Aufrüsten geht.
(Bild: Pixabay / CC0 )

Banken, Investmentgesellschaften und Versicherungen zählen zu beliebten Angriffszielen von Cyber-Kriminellen. Die Motive sind dabei sehr unterschiedlich; vom klassischen Diebstahl von Geld oder sensiblen Daten bis hin zur Manipulation von Geschäftsprozessen oder gar der Zerstörung wichtiger Infrastrukturen. Der in den vergangenen Jahren im Finanzdienstleistungssektor entstandene finanzielle Schaden aufgrund Cyber-Attacken ist im Branchenvergleich mit der höchste.

Der kritische Aspekt im Umgang mit Cyber-Risiken ist bei einigen Instituten noch immer primär nur auf dem Papier geregelt. Institute, die lediglich reagieren und nicht proaktiv agieren, werden früher oder später mit schmerzhaften und teilweise auch kostspieligen Problemen konfrontiert. Es gibt viele zwingend erforderliche Maßnahmen, um gegen Angriffe gewappnet zu sein. Um das Thema Cybersecurity nicht als Trivialität weg zu delegieren, ist es essentiell, das entsprechende Know-how an Bord zu holen. Neben Standardkenntnissen rund um die Themen ISMS, IT-Riskmanagement und Sicherheitsmanagement sind auch fundierte Erfahrungen mit gängigen Netzwerken, Systemen, Anwendungsentwicklungen und Rechenzentren von Nöten. Die Rekrutierung von IT-Sicherheitstalenten kann sogar zum Wettbewerbsvorteil werden.

Ergänzendes zum Thema
IT-Sicherheit in der Landesverwaltung benötigt Fachkräfte

Ministerialdirektor Stefan Krebs CIO/CDO – Beauftragter der Landesregierung für Informationstechnologie:

Die IT-Sicherheit hat in der Landesverwaltung hohe Priorität und wird weiter ausgebaut. Im Staatshaushaltsplan für 2017 sind 30 neue Stellen in der Landesverwaltung für IT-Sicherheit geschaffen worden. Die Stellen sind ressortübergreifend für verschiedene Bereiche der Landesverwaltung vorgesehen. Trotz des Umstandes, dass IT-Fachkräfte insbesondere auch im Bereich der Informationssicherheit nur begrenzt auf dem Arbeitsmarkt zur Verfügung stehen, konnten die bisher ausgeschriebenen Stellen sowohl in qualitativer Hinsicht als auch quantitativ gut besetzt werden.

Der Landesverwaltung ist bewusst, dass das Thema der Mitarbeitergewinnung – und Mitarbeiterbindung vor allem an einem wirtschaftlich so bedeutenden Standort im Bereich der IT-Fachkräfte eine wichtige Herausforderung und Zukunftsaufgabe darstellt. Daher wollen wir aktuell im Dialog mit den Hochschulen und weiteren Bildungseinrichtungen Lösungen finden und dabei das Thema der IT-Sicherheit zusätzlich zu den bereits vorhandenen vielfältigen Studien- und Ausbildungsgängen im IT-Umfeld thematisieren. Ein möglicher Weg wäre für Behörden und Unternehmen gleichermaßen, Fachpersonal im Spezialgebiet der IT-Sicherheit qualifiziert auszubilden. Für das in vielen Bereichen der Landesverwaltung eingesetzte IT-Fachpersonal wurden zudem vielfältige Aus- und Fortbildungsangebote geschaffen, was unabdingbar zur Attraktivität der Arbeitsplätze beiträgt.

Die Landesverwaltung stellt sich im Bereich der Informationssicherheit derzeit strategisch neu auf. Die hierzu erlassene „Verwaltungsvorschrift des Innenministeriums zur Informationssicherheit“ (VwV Informationssicherheit) ist zum 1. Mai 2017 in Kraft getreten. Hierin sind unter anderem auch die Rollen und Aufgabenträger der künftigen Informationssicherheitsprozesse definiert. Ein größerer Teil der mit den 30 Stellen geschaffenen Personalressourcen ist mit der Umsetzung dieser VwV Informationssicherheit in den Ministerien und deren nachgeordneten Bereichen betraut. Hierfür sind nicht in erster Linie die höchst technischen operativen Kompetenzen eines IT-Administrators gefragt. Viel mehr werden Kompetenzen im Bereich der strategischen IT-Sicherheit gefordert. Hierzu wird neben einem hohen Maß an technischem Verständnis insbesondere Know-How im Bereich der Methodik des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik (BSI) benötigt. Damit kann ein breiteres Spektrum an Bewerbern angesprochen werden.

Der Beauftragte der Landesregierung für Informationstechnologie entwickelt und steuert als CIO/CDO die IT-Strategie der gesamten Landesverwaltung. Er hat die Aufsicht über die BITBW, den zentralen IT-Dienstleister des Landes und vertritt Baden-Württemberg im Bund-Länder-übergreifenden IT-Planungsrat. Gleichzeitig ist ihm die Stabsstelle für Digitalisierung zugeordnet, die für die Konzeptionierung und Umsetzung einer ressortübergreifenden Digitalisierungsstrategie des Landes zuständig ist.

Finanzinstitute aller Größen haben Sicherheitslücken

Viele Institute verfügen über eine Governance und können Bedrohungspotentiale für sensible und kritische Daten identifizieren. Einige Institute haben zwar Schutzmechanismen eingeführt, jedoch fehlt es häufig an Regularien, die den Umgang mit komplexeren Bedrohungsszenarien beschreiben. Ebenso fehlt es oft an notwendigen Erweiterungen für die Anwendung technischer Überwachungsansätze. Viele kleinere Institute haben nur einen minimalen Aufwand vorgesehen, um den normalen Geschäftsbetrieb nach einer Attacke zeitnah wieder aufnehmen zu können.

Cybermanager und Talente gesucht

Die für den Sicherheitsbereich gesuchten IT-Spezialisten müssen im Hinblick auf ihre Qualifikationen und Profile viel breiter aufgestellt sein als reine IT-Experten. Bankinterne ISMS Rahmenwerke müssen gemäß MaRisk weiterentwickelt und regelmäßig gepflegt werden sowie relevante IS-Kontrollen (IKS) etabliert und überwacht werden. Führungskräfte müssen außerdem Informationssicherheitsstandards etablieren und mithilfe gezielter Kampagnen und Trainings im Unternehmen einführen sowie Sonderaudits zur Sicherheitsüberwachung planen und durchführen.

Eine effektive Präventionsarbeit dieser Spezialisten beinhaltet auch die Planung potenzieller Angriffs-Szenarien, beispielsweise wenn Datenbanken angezapft oder Prozesse blockiert werden sollen. Für eine derartige Planung sind neben den reinen Programmiersprachen fundierte Kenntnisse im Security und Netzwerkbereich, Kryptografie und natürlich Vertrautheit mit allen gängigen Softwareherstellern und deren Produkten erforderlich. Vorteilhaft sind auch Zertifizierungen wie CISM, CISA oder CISSP und Kenntnisse in den gängigen Sicherheitsstandards wie ISO 2700x, BSI Grundschutz, CoBit, NIST, etc. Zudem muss der IT-Spezialist sich in die vermutete Zielsetzung und idealerweise sogar in die Denkweise der Hacker hineinversetzen können, um geeignete Gegenmaßnahmen zu ergreifen.

Neben der theoretischen Konstruktion von ‚worst case Szenarien‘ ist es natürlich auch erforderlich, mögliche Schlupflöcher im gesamten System aufzufinden. Auch sollten Szenarien überdacht werden, die nicht rein auf der Programmierung, dem Angriff auf die Firewall oder direkten anderen Angriffen beruhen. Erhebliches Gefährdungspotential an Cyberangriffen ist mittlerweile auch dem Social Matching zuzuschreiben.

Rekrutierungsprobleme für Finanzinstitute

Das Bewusstsein und auch die Sensibilisierung für die neuen Anforderungen an IT-Sicherheit ist zwar gewachsen, jedoch ist die Umsetzung noch sehr langsam. Die ersten Hochschulen bieten mittlerweile Lehrstühle oder haben eine auf IT-Sicherheit spezialisierte Professur eingerichtet.

Viele Finanzinstitute erkennen die hohe Bedeutung der IT-Sicherheit, haben es aber sehr schwer, personell aufzurüsten, um geeignete Qualifikationen an Bord zu holen. Generell sind aktuell auf dem Arbeitsmarkt nur wenige Experten im Bereich IT-Sicherheit verfügbar. Da es sich im IT-Sicherheitsbereich um einen Arbeitnehmermarkt handelt, suchen die Spezialisten bevorzugt nach Unternehmen, die technologische Vorreiter sind und die dem Kandidaten die aktuellsten Standards bieten.

Der Quereinstieg im IT-Sicherheitsumfeld

Als Quereinsteiger in der IT-Sicherheitsbranche Fuß zu fassen, bedeutet oftmals, intensive Umschulungsprogramme und Weiterbildungsmaßnahmen zu absolvieren, die hohen persönlichen Einsatz erfordern. Von Quereinsteigern wird hohe Flexibilität und Eigeninitiative erwartet. Sie haben es angesichts der steigenden Komplexität immer schwerer, in die IT-Sicherheitsbranche zu gelangen. Durch die Komplexität und Anfälligkeit der IT-Systeme ist es gleichzeitig erforderlich, neben dem Fachwissen auch ein Verständnis für systemübergreifende Zusammenhänge mitzubringen.

Gesamtfazit

Der IT-Sicherheitsbereich im Finanzsektor hat Nachholbedarf, insbesondere wenn es um das personelle Aufrüsten geht. Da das Thema IT-Security alle Branchen betrifft und Fach- und Führungskräfte rund um die IT-Sicherheit eher rar sind, handelt es sich mittlerweile um einen Arbeitnehmermarkt. Daher empfiehlt es sich, auf Kompromisse bei geeigneten Bewerbern einzugehen, wenn nicht alle fachlichen Kompetenzen vorhanden sind. Darüber hinaus lohnt es sich, in hochqualifizierte Mitarbeiter und Weiterbildungsangebote zu investieren, um die größtmögliche Expertise im Unternehmen zu bündeln und zu halten.

Über den Autor: Henning Sander ist Business Unit Manager für den Bereich Banking bei der Hager Unternehmensberatung und besetzt Management- und Fachpositionen in der Bankenbranche. Henning Sander arbeitete er als internationaler Personalberater und war in diesem Rahmen sowohl für Recruiting als auch für Trainings und Auswahlverfahren zuständig. Darüber hinaus ist er ausgebildeter systemischer Coach.

(ID:45236920)