Wie man dem Arbeitskräftemangel im Bereich Cybersicherheit zuvorkommt

Der Arbeitskräftemangel im Bereich der Cybersicherheit ist in vollem Gange, und Unternehmen auf der ganzen Welt bekommen seine Auswirkungen zu spüren. In unserem neuesten E-Book schlagen wir drei Strategien vor, die Sicherheitsverantwortlichen helfen, den Arbeitskräftemangel zu bewältigen.

Heute werden wir eine dieser Strategien untersuchen: die Modernisierung Ihrer PKI, die ein Segen für die Effizienz Ihrer IT- und Sicherheitsteams sowie für die Sicherheitslage Ihres Unternehmens sein kann. Doch zunächst lohnt es sich, eine Bestandsaufnahme der unzähligen Faktoren zu machen, die zum Fachkräftemangel im Bereich der Cybersicherheit beitragen. 

Der Arbeitskräftemangel ist kein Problem, das sich schnell von selbst lösen wird. Seine Symptome und Auswirkungen werden in den kommenden Jahren erhebliche Folgen für die Geschäftswelt haben - selbst wenn die derzeitige Nachfrage nach Cybersecurity-Talenten die Zahl der Arbeitskräfte übersteigt.

Der Arbeitskräftemangel ist auch kein neues Problem. Cybersecurity Ventures berichtet dass 2013 weltweit eine Million Stellen im Bereich Cybersicherheit unbesetzt waren. A 2022 Cybersecurity-Arbeitskräfte-Studie von (ISC)² zeigte, dass der Cybersecurity-Arbeitskräftepool im Jahr 2022 mit 4,7 Millionen Arbeitskräften ein Allzeithoch erreichte - ein Anstieg von 11 % gegenüber 2021. Die Arbeitskräftelücke hat sich jedoch um 26,2 % vergrößert, was zu einem weltweiten Mangel von 3,4 Millionen Arbeitskräften führt. Mehr als 700.000 dieser unbesetzten Stellen befinden sich in den USA.

Cybersecurity Ventures behauptet, dass der Arbeitskräftemangel zwar abflacht, aber nicht abnimmt. Sie sagen voraus, dass die derzeitige Lücke von 3,4 Millionen Arbeitskräften bis 2025 bestehen bleiben wird.

Eine Studie von Trellix zeigt, dass der Mangel 85 % der Sicherheitslage von Unternehmen betrifft. Die (ISC)²-Umfrage befragte Cybersicherheitsexperten zu den größten Hindernissen, die durch den Mangel verschärft werden.

• Falsch konfigurierte Systeme (32%) 
• Unzureichende Zeit für eine angemessene Risikobewertung und ein angemessenes Risikomanagement (30 %)
• Übermäßige Verzögerung bei der Aktualisierung kritischer Systeme (29 %)
• Überwachung von Verfahren und Prozessen (28%)
• Unfähigkeit, aktiven Bedrohungen gegen Unternehmensnetze einen Schritt voraus zu sein (27 %)
• Eilige Einsätze (27%)

Diese Schwachstellen können den Geschäftsbetrieb erheblich stören, und kein Unternehmen ist davor gefeit. Crypto.com, das Rote Kreuz, Microsoft, Cash App und andere erlitten im Jahr 2022 bemerkenswerte Sicherheitslücken. Der IBM-Bericht Cost of a Data Breach stellte fest, dass 85 % der Unternehmen von einer Datenschutzverletzung betroffen waren - viele sogar von mehr als einer.

Erschwerend kommt hinzu, dass die Kosten einer Sicherheitsverletzung noch nie so hoch waren wie heute. IBM schätzt, dass eine Datenschutzverletzung in den USA durchschnittlich 9,44 Millionen Dollar kostet.wobei die Kosten für Datenschutzverletzungen im Gesundheitswesen mit durchschnittlich 10,10 Millionen Dollar noch höher sind.

Obwohl IBM feststellte, dass Phishing-Versuche und kompromittierte Anmeldedaten die häufigste und kostspieligste Ursache für Sicherheitsverletzungen sind, werden Ausfälle von Zertifikaten immer häufiger und teurer.

KeyfactorDer Bericht "State of Machine Identity Management 2022 ergab, dass 81 % der Unternehmen in den letzten zwei Jahren mindestens zwei oder mehr störende Ausfälle aufgrund abgelaufener Zertifikate erlebt haben, wobei das durchschnittliche Unternehmen vier zertifikatsbedingte Ausfälle erlitt. Die durchschnittlichen Kosten eines Zertifikatsausfalls für ein globales Unternehmen mit 5.000 Mitarbeitern beliefen sich auf 15 Millionen Dollar.

Die Gründe dafür sind vielfältig.

• Das Volumen der Zertifikate, die ein durchschnittliches Unternehmen verwendet, liegt weit über einer Viertelmillion.
• Drei Viertel der Unternehmen geben an, dass die zunehmende Verwendung von digitalen Zertifikaten und Schlüsseln die operative Belastung ihrer IT-Organisation deutlich erhöht hat. 
• Verkürzte Lebenszyklen von Zertifikaten stellen eine Herausforderung dar. Im Jahr 2020 wurden die Lebenszyklen von Zertifikaten von 27 auf 13 Monate halbiert, was den Aufwand und das Risiko für Unternehmen ohne ausgereifte PKI-Prozesse (Public Key Infrastructure) verdoppelt.

CyberSN, eine Jobbörse für Cybersicherheit, berichtete, dass die Kündigungen im Bereich der Cybersicherheit seit Beginn der Pandemie um 20 % gestiegen sind. Vor der Covid 19-Pandemie nannten Cybersecurity-Mitarbeiter sowohl an der Ost- als auch an der Westküste fehlende Wachstumschancen als Hauptgrund für ihre Kündigung. Bemerkenswert ist, dass Burnout an keiner der beiden Küsten zu den fünf wichtigsten Gründen für eine Kündigung gehörte. Im Gegensatz dazu ist Burnout heute an der Westküste der Hauptgrund für eine Kündigung und an der Ostküste der zweithäufigste Grund, der jeweils 30 % der Kündigungen ausmacht.

Viele Cybersicherheitsteams verschwenden Stunden mit operativen Aufgaben, die leicht automatisiert werden könnten, so dass sie sich auf andere Aufgaben konzentrieren können. Neben der Zeitersparnis kann die Automatisierung auch andere positive Auswirkungen auf das Unternehmen haben, da sie die Risiken im Zusammenhang mit Fehlkonfigurationen aufgrund menschlicher Fehler verringern kann. IT- und Sicherheitsteams, die die PKI ihres Unternehmens manuell verwalten, sehen sich unter anderem mit folgenden Hindernissen konfrontiert:

• Mangelndes Fachwissen führt zu nachgelagerten Ineffizienzen
  PKI ist ein unnachgiebiges Unterfangen. Sie muss von Anfang an perfekt konzipiert sein, da bestimmte Elemente, wenn sie einmal eingerichtet sind, nicht mehr geändert werden können, ohne dass das PKI-Projekt neu gestartet werden muss. Generalistische Teams verfügen nur selten über das nötige Fachwissen, um PKI gleich beim ersten Mal richtig zu machen, was ihnen mehr Arbeit bei der Verwaltung und Wartung der PKI beschert.
• Manuelle Prozesse behindern die Skalierbarkeit
  Der Prozess der Beantragung, Erstellung, Ausstellung und Verfolgung von Zertifikaten ist mühsam und manuell. Laut dem KeyfactorState of Machine Identity Management 2022 Reportverwenden 42 % der Befragten immer noch Tabellenkalkulationen zur Verfolgung von Zertifikaten. Dies kostet Ihr Team zweifellos jede Woche Stunden um Stunden.

• Mangelnde Zentralisierung verschleiert die Sichtbarkeit
  KeyfactorDer Bericht "State of Machine Identity Management 2022 zeigt, dass ein unternehmensweiter Überblick über den Status aller Zertifikate für PKI-Teams oberste Priorität hat. Die Komplexität, die mit dem Erreichen dieser Transparenz verbunden ist, macht sie zu einer Aufgabe für sich. Ohne einen zentralen Knotenpunkt für die PKI-Verwaltung können die Teams weder die Grundlagen für die Automatisierung schaffen noch proaktiv handeln, um Zertifikatsausfälle zu verhindern.

Bei der Abwägung, ob eine Automatisierung Ihrer PKI sinnvoll ist, sind einige Faktoren zu berücksichtigen.

Sprechen Sie mit den Teams und Führungskräften, die mit dem PKI-Prozess in Berührung kommen, um zu verstehen, wie die Zertifikate verwaltet werden und wie viel Zeit die Bereitstellung, Installation und Erneuerung der Zertifikate in Anspruch nimmt. 

Dieses Team kann Ihnen dabei helfen, die Infrastruktur der Zertifizierungsstelle (CA) Ihres Unternehmens, die Anwendungen, für die Zertifikate benötigt werden, und die Arbeitsabläufe bei der Verwaltung von Zertifikaten darzustellen. Mit diesem Gesamtüberblick können Sie die Gesamtbetriebskosten Ihrer aktuellen PKI-Strategie besser einschätzen. Die folgenden Fragen helfen Ihnen dabei, die Gesamtbetriebskosten für Ihre PKI-Verwaltungsprozesse zu erfassen.

• Wie viele Stunden werden pro Woche und Monat für die Verwaltung der PKI aufgewendet, und wie hoch ist der Dollarbetrag, der diesen Arbeitskosten entspricht?
• Wie viel gibt Ihre Organisation für PKI-bezogene Tools und Lizenzgebühren aus? 
• Wie oft kommt es in Ihrer Organisation zu Ausfällen im Zusammenhang mit Zertifikaten? 
• Wie lange dauert es, auf einen Ausfall von Zertifikaten zu reagieren?
• Wie viel verlieren Sie durch Ausfallzeiten, Prozessunterbrechungen, entgangene Chancen und Rufschädigung aufgrund dieser Ausfälle?

Die Belastung durch ineffiziente PKI-Verwaltung und -Infrastruktur ist nicht statisch. Sie wird mit der Zeit zunehmen, da die Nutzung von Zertifikaten steigt, die Compliance-Vorschriften eskalieren und die Risiken eines Verstoßes größer werden. Nichtstun ist mit Kosten verbundenEin Preis, den Sie bei der Bewertung einer PKI-Investition berücksichtigen sollten.

Beachten Sie, dass Unternehmen, die die PKI allgemeinen IT- und Sicherheitsteams anvertrauen, dies auf Kosten ihrer primären Aufgaben tun. Wenn diese Teams gezwungen sind, zwischen diesen primären Aufgaben und der Verwaltung von PKI zu wählen, wird PKI fast immer an zweiter Stelle stehen. Das ist nur natürlich, aber es ist mit einem Kostenaufwand verbunden, der nur zunehmen wird, wenn die Unternehmen versuchen, mit weniger Personal in allen Abteilungen mehr zu erreichen.

• Welche Risiken birgt Ihr derzeitiger PKI-Prozess, und wie werden sich diese Risiken im Laufe der Zeit erhöhen (einschließlich der Einhaltung von Vorschriften)?
• Wenn die Teammitglieder, die in Ihrem Unternehmen für die PKI zuständig sind, mehr Stunden für ihre primären, nicht mit der PKI zusammenhängenden Aufgaben zur Verfügung hätten, wie viel Wert würde das für das Unternehmen bedeuten? Wie viel von diesem Wert geht Ihnen verloren, weil PKI immer schwerfälliger wird und mehr Zeit der Teammitglieder in Anspruch nimmt?
• Beeinträchtigen PKI-Aufgaben die Effektivität der Teammitglieder in ihren Hauptaufgaben? Werden beispielsweise Probleme langsamer gelöst, oder müssen Sie Teammitglieder für Überstunden bezahlen, damit sie ihre Arbeit vollständig erledigen können? Ab welchem Punkt erfordert die Arbeitsbelastung eine Neueinstellung, und was kostet das?
• In dem Maße, in dem Sie die PKI im Rahmen Ihres aktuellen Prozesses einsetzen, werden auch Ihre Probleme zunehmen. In welchem Maße werden sie häufiger und schwerwiegender werden? Wo liegt die Schwelle für Ihr Unternehmen? Wie viel wird diese Schwelle kosten, und wie viel wird es kosten, sie zu überwinden?

Die Automatisierung erfordert zwar beträchtliche Investitionen in die Technologie, ist aber ein großer Gewinn für Unternehmen, die verlorene Effizienzgewinne zurückgewinnen können - was sich auf dem angespannten Arbeitsmarkt direkt finanziell auswirkt.

Die PKI-Verwaltung kann und sollte Automatisierung, Transparenz, Skalierbarkeit und einen präventiven, proaktiven Ansatz ermöglichen. Einmal eingerichtet, wird die Wartung und Verwaltung der PKI zu einer geringeren Belastung.

• Wenn Ihr derzeitiges PKI-Team die PKI-Verwaltung automatisieren, skalieren und proaktiv gestalten könnte, wie viel Bandbreite würde es dadurch zurückgewinnen, die es für andere Sicherheits- und IT-Aufgaben nutzen könnte? Wie wäre es, wenn Sie ihnen die PKI komplett abnehmen könnten?
• Welche Effizienzgewinne auf Infrastrukturebene werden durch die Modernisierung der PKI erzielt, und wie schlagen sich diese Effizienzgewinne in geringeren Kosten oder höheren Einnahmen nieder? 
• Wie lange wird es dauern, bis sich Ihre Lösung durch weniger Ausfälle und effektiver geleistete Arbeitsstunden amortisiert hat?

Cybersecurity- und IT-Fachleute arbeiten leidenschaftlich gern. Sie brennen nicht aus, weil sie zu viel arbeiten - sie brennen aus, weil sie unnötige Arbeit leisten. Die am häufigsten übersehene Möglichkeit, die Effizienzkurve zu verändern, besteht darin, manuelle Prozesse zu finden und zugunsten der Automatisierung zu eliminieren.

Und während der Anstieg der Gehälter für Cyber-Profis zweifellos mehr Arbeitskräfte in die Branche locken und den Arbeitskräftemangel beseitigen werden, gehen Experten davon aus, dass es zwei bis fünf Jahre dauert, bis man einen Beruf im Bereich der Cybersicherheit erlernt hat, was eine lange Vorlaufzeit für die Entwicklung und Beschaffung von Talenten bedeutet.

Glücklicherweise ist die Zukunft nicht nur düster. Wir müssen uns nach wie vor auf die Behebung des Arbeitskräftemangels konzentrieren, aber es ist für Unternehmen auch unerlässlich, Technologien einzuführen, die ihren bestehenden Cybersicherheitsteams helfen, effizienter zu arbeiten. Diese Technologien können einen großen Beitrag zur Bewältigung der heutigen Herausforderungen leisten.

Keyfactor hilft Unternehmen (auch solchen mit unterbesetzten Teams), jeden digitalen Schlüssel und jedes Zertifikat für Multi-Cloud-Unternehmen, DevOps und eingebettete IoT Sicherheit zu sichern. Klicken Sie hier, um mehr über unser Angebot zu erfahrenund wie unsere Cloud PKI-as-a-Service jeder Organisation Zugang zu einem Elite-Team von Cybersecurity-Experten bietet.

Erfahren Sie mehr darüber, wie ein modernisierter PKI-Ansatz Ihrem Cybersecurity-Team zu mehr Effizienz verhelfen kann, laden Sie unser neues ebook herunter: Drei Strategien zur Unterstützung von Sicherheitsverantwortlichen bei der Bewältigung des Fachkräftemangels im Bereich Cybersicherheit.