Fortbildung statt Outsourcing: Große Unternehmen sorgen selbst für Expertenwissen zu IT-Sicherheits-Aufgaben bei ihren IT-Fachkräften. Auslagerung von IT-Security ist bei Konzernen nicht gefragt. (Symbolfoto)
fovito | Fotolia
Externe Berater und IT-Dienstleister verkaufen Sicherheit in der Informationstechnologie als Security-as-a-Service. Während bei Kleinen und Mittleren Unternehmen (KMU) externe Hilfe weiterhin gefragt ist und der Markt boomt, beißt sich die Consultant-Branche in Sachen IT-Security bei großen Konzernen die Zähne aus. Wie die neue "Potenzialanalyse Digital Security 2017" des Beratungsunternehmens Sopra Steria Consulting ergab, setzt der überwiegende Teil der Firmen mit mehr als 500 Mitarbeitern darauf, das eigene IT-Personal selbst weiterzubilden, statt auf externe Unterstützung zu setzen.
Insgesamt 64 Prozent der befragten IT-Entscheider aus den großen Unternehmen gaben für die Studie an, die eigenen IT-Fach- und -Führungskräfte selbst in regelmäßigen Schulungen für die speziellen Aufgaben der IT-Security weiterzubilden. Besonders im Automotive-Bereich, also bei Herstellern und Zulieferern, unterrichten die Unternehmen ihre ITler selbst (80 % der Unternehmen). Jeweils fünf Prozent der Auto-Firmen stellen entweder neue IT-Spezialisten für Security-Aufgaben ein, beauftragen externe Berater oder lagern die Sicherheitsprozesse als Managed Services aus.
Laufend durchzuführende Schulungen erhalten Wissen, Fähigkeiten, Begabungen und ein Bewusstsein für Internal Controls und Security auf dem erforderlichen Niveau, das notwendig ist, um die Unternehmensziele zu erreichen. Die Gefahr kritischer Abhängigkeiten von Schlüsselpersonen sollte durch Wissensaufzeichnung (knowledge capture) , Teilen von Wissen, Nachfolgeplanung und Vertretung von Personal aufgefangen werden." Grünendahl, Steinbacher und Will in "Das IT-Gesetz: Compliance in der IT-Sicherheit" (2017) (Seite 261).
IT-Weiterbildung auch bei Energie- und Wasserversorgern wichtig
Ebenfalls überdurchschnittlich stark engagieren sich Unternehmen in den Bereichen Energie- und Wasserversorgung (77 Prozent), im sonstigen verarbeitenden Gewerbe (74 Prozent) sowie im Bereich der Telekommunikation und Medien für die hausinterne Weiterbildung der Spezialisten zu Sicherheitsthemen. Für die Wasserversorger als Betreiber einer Kritischen Infrastruktur ("KRITIS") ist das Thema zunehmend interessant, da zum August 2017 das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Eignung des Branchenstandards IT-Sicherheit Wasser/Abwasser festgestellt hat und damit nun auch gesetzlich gedeckte Mindeststandards bei der Sicherheit der IT-Systeme für Wasserversorger existieren.
Banken und Finanzdienstleister sowie öffentliche Verwaltungen setzen nur unterdurchschnittlich auf die Fortbildung der eigenen IT-Fachkräfte (55 und 48 Prozent). Die Finanzbranche und der öffentliche Sektor fokussieren ich allerdings stärker als die anderen Branchenzweige auf Neueinstellungen von Sicherheitsexperten in der IT. Jeweils mehr als ein Drittel der Befragten (36 und 34 Prozent) gab in der Umfrage an, Spezialisten einzustellen, wenn sich in der IT-Sicherheit besondere Herausforderungen auftun.
Struktur muss für jedes Unternehmen individuell festgelegt sein
"Die interne und externe IT-Organisationsstruktur sollte die Unternehmenserfordernisse widerspiegeln. Ein Prozess sollte etabliert werden, der periodisch die IT-Organisationsstruktur überprüft, um die Anforderungen an die Personalausstattung und die Beschaffungsstrategien den erwarteten Unternehmenszielen und sich ändernden Umständen anzugleichen." Das schreiben die Springer-Autoren Ralf-T. Grünendahl, Andreas F. Steinbacher und Peter H. L. Will in ihrem Kapitel "Verankerung der IT-Sicherheit in der Organisation" aus dem Fachbuch "Das IT-Gesetz: Compliance in der IT-Sicherheit" (2017) (Seite 260). Grünendahl, Steinbacher und Will geben darin Unternehmen Tipps, wie IT-Sicherheit geplant und organisiert werden kann.
Anforderungen an die Stellenbesetzung sind regelmäßig oder nach wesentlichen Änderungen im Unternehmen, Betrieb oder der IT-Umgebung neu zu evaluieren, um sicherzustellen, dass die IT-Organisation eine ausreichende Zahl kompetenter Mitarbeiter hat. Die Stellenbesetzung beachtet auch die Zusammenarbeit zwischen Unternehmens- und IT-Personal, eine funktionsübergreifende Ausbildung, Job-Rotation und Möglichkeiten zum Outsourcing." Grünendahl, Steinbacher und Will in "Das IT-Gesetz: Compliance in der IT-Sicherheit" (2017) (Seite 260).
IT-Security auszulagern, halten über alle Geschäftsfelder hinweg die meisten großen Unternehmen allerdings für nicht zielführend, wie die Sopra-Steria-Potenzialanalyse festhält. Insgesamt nur zwei Prozent der Unternehmen buchen externe Sicherheitsservices. Am ehesten passiert das in der öffentlichen Verwaltung: Knapp ein Zehntel der großen Verwaltungen setzt auf Security-as-a-Service.