Skip to main content
main-content

07.09.2017 | Aus- und Weiterbildung | Im Fokus | Onlineartikel

Weiterbildung statt Outsourcing in der IT-Sicherheit

Autor:
Sven Eisenkrämer

Große Unternehmen sorgen selbst für die Weiterbildung ihrer IT-Mitarbeiter, wenn es um spezielle Aufgaben der IT-Sicherheit geht. Outsourcing der IT-Security ist kaum ein Thema. Finanzdienstleister und öffentliche Verwaltungen stellen sogar vermehrt Experten ein, wenn sich neue Security-Herausforderungen ergeben.

Externe Berater und IT-Dienstleister verkaufen Sicherheit in der Informationstechnologie als Security-as-a-Service. Während bei Kleinen und Mittleren Unternehmen (KMU) externe Hilfe weiterhin gefragt ist und der Markt boomt, beißt sich die Consultant-Branche in Sachen IT-Security bei großen Konzernen die Zähne aus. Wie die neue "Potenzialanalyse Digital Security 2017" des Beratungsunternehmens Sopra Steria Consulting ergab, setzt der überwiegende Teil der Firmen mit mehr als 500 Mitarbeitern darauf, das eigene IT-Personal selbst weiterzubilden, statt auf externe Unterstützung zu setzen. 

Empfehlung der Redaktion

2017 | Buch

Das IT-Gesetz: Compliance in der IT-Sicherheit

Leitfaden für ein Regelwerk zur IT-Sicherheit im Unternehmen

Dieses Buch bietet konkrete Vorschläge zu Unternehmensrichtlinien und zur IT-Sicherheit, zum sicheren IT-Betrieb und zu sicheren IT-Systemen, zum Management und zur Organisation von IT-Sicherheit sowie zum Schutz von Daten. Es ist damit wertvolles Hilfsmittel für Führungskräfte, die IT-Sicherheit in ihrem Unternehmen umfassend verankern möchten.


Insgesamt 64 Prozent der befragten IT-Entscheider aus den großen Unternehmen gaben für die Studie an, die eigenen IT-Fach- und -Führungskräfte selbst in regelmäßigen Schulungen für die speziellen Aufgaben der IT-Security weiterzubilden. Besonders im Automotive-Bereich, also bei Herstellern und Zulieferern, unterrichten die Unternehmen ihre ITler selbst (80 % der Unternehmen). Jeweils fünf Prozent der Auto-Firmen stellen entweder neue IT-Spezialisten für Security-Aufgaben ein, beauftragen externe Berater oder lagern die Sicherheitsprozesse als Managed Services aus. 

Laufend durchzuführende Schulungen erhalten Wissen, Fähigkeiten, Begabungen und ein Bewusstsein für Internal Controls und Security auf dem erforderlichen Niveau, das notwendig ist, um die Unternehmensziele zu erreichen. Die Gefahr kritischer Abhängigkeiten von Schlüsselpersonen sollte durch Wissensaufzeichnung (knowledge capture) , Teilen von Wissen, Nachfolgeplanung und Vertretung von Personal aufgefangen werden." Grünendahl, Steinbacher und Will in "Das IT-Gesetz: Compliance in der IT-Sicherheit" (2017) (Seite 261).

IT-Weiterbildung auch bei Energie- und Wasserversorgern wichtig

Ebenfalls überdurchschnittlich stark engagieren sich Unternehmen in den Bereichen Energie- und Wasserversorgung (77 Prozent), im sonstigen verarbeitenden Gewerbe (74 Prozent) sowie im Bereich der Telekommunikation und Medien für die hausinterne Weiterbildung der Spezialisten zu Sicherheitsthemen. Für die Wasserversorger als Betreiber einer Kritischen Infrastruktur ("KRITIS") ist das Thema zunehmend interessant, da zum August 2017 das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Eignung des Branchenstandards IT-Sicherheit Wasser/Abwasser festgestellt hat und damit nun auch gesetzlich gedeckte Mindeststandards bei der Sicherheit der IT-Systeme für Wasserversorger existieren.

Banken und Finanzdienstleister sowie öffentliche Verwaltungen setzen nur unterdurchschnittlich auf die Fortbildung der eigenen IT-Fachkräfte (55 und 48 Prozent). Die Finanzbranche und der öffentliche Sektor fokussieren ich allerdings stärker als die anderen Branchenzweige auf Neueinstellungen von Sicherheitsexperten in der IT. Jeweils mehr als ein Drittel der Befragten (36 und 34 Prozent) gab in der Umfrage an, Spezialisten einzustellen, wenn sich in der IT-Sicherheit besondere Herausforderungen auftun.

Struktur muss für jedes Unternehmen individuell festgelegt sein

"Die interne und externe IT-Organisationsstruktur sollte die Unternehmenserfordernisse widerspiegeln. Ein Prozess sollte etabliert werden, der periodisch die IT-Organisationsstruktur überprüft, um die Anforderungen an die Personalausstattung und die Beschaffungsstrategien den erwarteten Unternehmenszielen und sich ändernden Umständen anzugleichen." Das schreiben die Springer-Autoren Ralf-T. Grünendahl, Andreas F. Steinbacher und Peter H. L. Will in ihrem Kapitel "Verankerung der IT-Sicherheit in der Organisation" aus dem Fachbuch "Das IT-Gesetz: Compliance in der IT-Sicherheit" (2017) (Seite 260). Grünendahl, Steinbacher und Will geben darin Unternehmen Tipps, wie IT-Sicherheit geplant und organisiert werden kann. 

Anforderungen an die Stellenbesetzung sind regelmäßig oder nach wesentlichen Änderungen im Unternehmen, Betrieb oder der IT-Umgebung neu zu evaluieren, um sicherzustellen, dass die IT-Organisation eine ausreichende Zahl kompetenter Mitarbeiter hat. Die Stellenbesetzung beachtet auch die Zusammenarbeit zwischen Unternehmens- und IT-Personal, eine funktionsübergreifende Ausbildung, Job-Rotation und Möglichkeiten zum Outsourcing." Grünendahl, Steinbacher und Will in "Das IT-Gesetz: Compliance in der IT-Sicherheit" (2017) (Seite 260).

IT-Security auszulagern, halten über alle Geschäftsfelder hinweg die meisten großen Unternehmen allerdings für nicht zielführend, wie die Sopra-Steria-Potenzialanalyse festhält. Insgesamt nur zwei Prozent der Unternehmen buchen externe Sicherheitsservices. Am ehesten passiert das in der öffentlichen Verwaltung: Knapp ein Zehntel der großen Verwaltungen setzt auf Security-as-a-Service.

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

Das könnte Sie auch interessieren

06.06.2017 | Aus- und Weiterbildung | Im Fokus | Onlineartikel

Wie flexible Weiterbildung gelingt

30.08.2017 | Mentoring | Im Fokus | Onlineartikel

Cross Mentoring fördert Nachwuchskräfte

Premium Partner

GI LogoNeuer Inhalt

BranchenIndex Online

Die B2B-Firmensuche für Industrie und Wirtschaft: Kostenfrei in Firmenprofilen nach Lieferanten, Herstellern, Dienstleistern und Händlern recherchieren.

Whitepaper

- ANZEIGE -

Erforderliche Schutzmaßnahmen für das (vernetzte) Auto

Längst sind moderne Autos kleine Rechnernetzwerke auf Rädern. Was bedeutet dies für die Sicherheit? Dieser Beitrag liefert einen Überblick über Angriffsmethoden und Sicherheitstechnologien für moderne Fahrzeuge. Jetzt gratis downloaden!