.svg)
Der Cybersecurity-Fachkräftemangel ist eines der konstantesten Themen in meinen Gesprächen mit Kunden oder potentiellen Kunden bei Kertos. In den letzten Monaten habe ich regelmäßig mit CISOs, CTOs und Heads of InfoSec gesprochen, und kaum ein Gespräch ist vergangen, ohne dass dieses Thema aufgetaucht wäre. Nicht als abstrakte Branchensorge. Als gelebte, alltägliche Realität.
Die Geschichten, die ich höre, handeln nicht von Unternehmen, die es versäumt haben, die richtigen Leute einzustellen. Es sind Geschichten von Teams, die unter unmöglichen Bedingungen außerordentliche Arbeit leisten, die über zu viele Aufgaben verteilt sind und Bedrohungen bekämpfen, die schneller wachsen als die Budgets. Und in den meisten Fällen sitzen die Führungskräfte, die mir das berichten, nicht in großen Konzernen mit tiefen Taschen. Sie sind in mittelgroßen Unternehmen, schnell gewachsenen Startups und KMU, die dieselben Compliance-Anforderungen erfüllen müssen wie Organisationen, die zehnmal so groß sind.
Ein Torwart gegen zwölf gegnerische Mannschaften
Der Cybersecurity-Fachkräftemangel ist im Kern ein strukturelles Missverhältnis zwischen der Nachfrage nach Expertise und dem Angebot an qualifizierten Fachkräften. Nirgendwo ist das deutlicher spürbar als in europäischen KMU.
Die einprägsamste Beschreibung, die ich je gehört habe, kam von einem CISO eines deutschen Technologieunternehmens. Er verglich sein Team mit einem Torwart im Fußball. Ihre Aufgabe ist es, jeden Schuss, aus jedem Winkel, jederzeit zu blocken. In einem gut aufgestellten Team reduzieren Verteidiger den Druck und helfen, das Spielfeld zu kontrollieren. Sein Team hatte jedoch seit Jahren ohne genug Verteidiger operiert. "Stell dir einen Torwart vor", sagte er mir, "nicht nur gegen elf Spieler. Gegen mehrere Mannschaften gleichzeitig. So sieht unsere Woche aus."
Laut der ISC2 Cybersecurity Workforce Study 2024 beläuft sich die globale Lücke bei Cybersicherheitsfachkräften auf rund 4,8 Millionen Stellen, ein Anstieg von 19 Prozent gegenüber dem Vorjahr, bei einem tatsächlichen Bedarf von 10,2 Millionen Fachkräften weltweit. Europa wird dabei nicht verschont: Die Cybersecurity-Belegschaft des Kontinents schrumpfte 2024 sogar um 0,7 Prozent, obwohl die Nachfrage weiter stieg. Besonders alarmierend: 64 Prozent der Befragten sind der Ansicht, dass Kompetenzlücken einen deutlich größeren negativen Einfluss haben als reiner Personalmangel.
Was sich in den vergangenen Jahren am dramatischsten verändert hat, ist die Frage, wen dieses Problem trifft. Informationssicherheit und Compliance waren früher vor allem die Domäne großer regulierter Einheiten: Banken, Gesundheitssysteme, Rüstungsunternehmen. Eine Welle europäischer Regulierung hat dieses Bild grundlegend verändert. NIS2, das im Oktober 2024 in Kraft trat, hat verbindliche Sicherheitspflichten auf zehntausende zusätzliche Einrichtungen in kritischen Sektoren ausgeweitet. Kleinere Unternehmen, die bislang ohne ein formales Informationssicherheitsprogramm auskamen, stehen nun vor verbindlichen Anforderungen in den Bereichen Risikomanagement, Meldepflichten bei Sicherheitsvorfällen und Lieferkettensicherheit.
Der Torwart soll jetzt in der Profiliga spielen, mit einer Amateurmannschaft und ohne Zeit zum Trainieren.
Warum der Mangel an Cybersicherheitsfachkräften weiter wächst
Der Fachkräftemangel in der Sicherheitsbranche ist ein Angebots-Nachfrage-Problem, bei dem sich beide Seiten der Gleichung gleichzeitig in die falsche Richtung entwickeln.
Auf der Nachfrageseite treibt regulatorischer und kommerzieller Druck das Wachstum an. NIS2-Anforderungen zwingen Organisationen dazu, Sicherheitsfunktionen aufzubauen, die sie bisher nie benötigt haben. Eine ISO-27001-Zertifizierung wird von Unternehmenskunden und Einkaufsabteilungen zunehmend vor Vertragsabschluss erwartet. Die DSGVO-Durchsetzung wird entschlossener. Jede dieser Entwicklungen schafft eine neue Klasse von Organisationen, die aktiv nach qualifizierten Sicherheitsfachleuten suchen, die schlicht nicht in ausreichender Zahl vorhanden sind.
Auf der Angebotsseite wächst der Talentpool nicht schnell genug. Cybersicherheit erfordert eine Kombination aus technischer Tiefe, regulatorischem Verständnis und Urteilsvermögen, die Jahre der Entwicklung benötigt. Der Weg von der Universität bis zum einsatzbereiten Fachmann ist strukturell langsam. Und sobald qualifizierte Fachleute ins Berufsleben eintreten, bleiben sie tendenziell dort, wo sie sind: Große Konzerne ziehen die erfahrensten Kandidaten mit Vergütungspaketen, Karriereentwicklungsstrukturen und Markenbekanntheit an, mit denen die meisten KMU schlicht nicht mithalten können. Geringe Jobmobilität verschärft das Problem. Wer als Sicherheitsspezialist in einem großen Unternehmen mit interessanten Aufgaben und solider Perspektive gelandet ist, hat wenig Anreiz zu wechseln.
Das erzeugt ein strukturelles Problem mit ungleich verteilten Folgen. Laut Eurostat machen KMU über 99 Prozent aller Unternehmen in der EU aus und beschäftigen rund zwei Drittel der privaten Erwerbstätigen. Sie sind das Rückgrat der europäischen Wirtschaft. Gleichzeitig sind sie genau die Organisationen, die am wenigsten in der Lage sind, um die Sicherheitsfachkräfte zu konkurrieren, die sie jetzt gesetzlich benötigen.
Deutschland steht dabei unter besonders starkem Druck. Der BSI-Lagebericht zur IT-Sicherheit identifiziert den Mangel an qualifiziertem Sicherheitspersonal regelmäßig als eine der größten strukturellen Schwachstellen für deutsche Unternehmen. Und doch zeigt die ISC2-Studie 2024 erstmals, dass Befragte "mangelndes Budget" und nicht mehr "mangelnde qualifizierte Fachkräfte" als Hauptursache für Personalengpässe nennen. Das bedeutet: Selbst wenn Unternehmen wissen, was sie brauchen, können sie es sich oft nicht leisten.
So wirkt sich die Fachkräftelücke im Tagesgeschäft aus
Wenn ich CISOs frage, wie sich der Cybersecurity-Fachkräftemangel konkret in ihrer Arbeit zeigt, folgen die Antworten einem bemerkenswert konsistenten Muster. Teams sind nicht nur unterbesetzt. Sie sind überlastet auf eine Art und Weise, die sich im Laufe der Zeit potenziert.
Der unmittelbarste Effekt zeigt sich bei den Reaktionszeiten. Wenn eine kritische Schwachstelle entdeckt wird, kann ein gut besetztes Team schnell einschätzen, priorisieren und mit der Behebung beginnen. Wenn dasselbe Team zu dünn aufgestellt ist, kann derselbe Prozess fast doppelt so lang dauern. In der Cybersicherheit ist die Reaktionszeit keine abstrakte Leistungskennzahl. Sie bestimmt direkt das Ausmaß der Exposition und des potenziellen Schadens.
Kontextwechsel sind die andere, unsichtbare Kostenstelle. Sicherheitsfachleute in unterbesetzten Teams jonglieren regelmäßig mit Aufgaben aus mehreren Bereichen: Schwachstellenmanagement, Sammlung von Compliance-Nachweisen, Zugriffsüberprüfungen, Incident Response und Lieferantenrisikobewertungen, manchmal alles in derselben Woche. Der ENISA-Bericht 2024 zur Lage der Cybersicherheit in der Union stellt fest, dass NIS2-Compliance und Fachkräftemangel gleichzeitig zunehmen und dass Investitionen aus der Not heraus von Personal hin zu Technologie verlagert werden. Der menschliche Preis dieses Wandels ist real: Ständiger Wechsel zwischen strategischen Projekten und Routineaufgaben führt zu unvollständigen Strategieplänen und operativen blinden Flecken.
Das ist kein Menschenproblem. Die Sicherheitsverantwortlichen, mit denen ich spreche, gehören zu den engagiertesten Fachleuten, die ich kenne. Es ist ein strukturelles Problem, und strukturelle Probleme erfordern strukturelle Lösungen.
Was CISOs tun können, um die Lücke zu schließen, ohne auf Neueinstellungen zu warten
Einstellungen allein sind für die meisten Organisationen kurzfristig keine realistische Antwort. Das Talent ist knapp, der Wettbewerb ist intensiv, und selbst nach einer erfolgreichen Suche braucht das Onboarding Zeit. Die produktivere Frage lautet: Wie arbeitet man mit dem Team, das man bereits hat, effektiver?
Die Sicherheitsverantwortlichen, die damit am besten umgehen, verfolgen einen gemeinsamen Ansatz. Sie identifizieren, welche Aufgaben echtes menschliches Urteilsvermögen erfordern und welche reine Prozessarbeit sind, und setzen dann Technologie für die Prozessarbeit ein, während sie die Zeit ihrer besten Leute für die anspruchsvollen Aufgaben schützen. Wie ein Head of InfoSec es mir gegenüber formulierte: "Jede Minute, die ein erfahrener Security Engineer damit verbringt, manuell Daten aus einer AWS-Konsole zu ziehen, ist eine Minute, die er nicht für Threat Modeling oder die Planung von Incident Response verwendet." Das ist keine Klage. Es ist ein Designfehler, der sich beheben lässt.
Nachweis-Erhebung, Control-Mapping, Audit-Vorbereitung, Zugriffsprotokoll-Reviews: Das sind zeitaufwändige Tätigkeiten, die vorhersehbaren Mustern folgen. Sie können automatisiert werden. Compliance-Automatisierungsplattformen wie Kertos sammeln kontinuierlich Nachweise aus integrierten Systemen, ordnen Controls den relevanten Frameworks zu und markieren Lücken, bevor sie zu Audit-Befunden werden. Eine Aufgabe, die früher Tage manueller Koordination erforderte, geschieht nun fortlaufend im Hintergrund, ohne einen Security Engineer von höherwertiger Arbeit abzuziehen. Der Produktivitätsgewinn für ein kleines Team ist erheblich, und die Compliance-Position ist tatsächlich stärker, weil das Monitoring nie stoppt.
Darüber hinaus investieren mehrere CISOs, mit denen ich gesprochen habe, gezielt in den internen Aufbau von Sicherheitskompetenz, indem sie mit DevOps- und IT-Teams zusammenarbeiten, Interesse an Sicherheitsthemen fördern und strukturierte Weiterbildung anbieten. Security-Champions-Programme und klare Entwicklungspfade wandeln Teammitglieder aus angrenzenden Disziplinen im Laufe der Zeit in kompetente Mitwirkende um. Das erfordert Geduld, baut aber etwas Dauerhafteres auf als eine einzelne externe Einstellung. Universitätspartnerschaften und Praktikumsprogramme sind der langfristigere Ansatz, der Studierenden praxisnahe Einblicke in echte Sicherheitsarbeit gibt und dabei eine echte Talentpipeline über einen Zwei-bis-Drei-Jahres-Horizont aufbaut.
Die folgende Tabelle vergleicht die gängigsten Ansätze, mit denen Organisationen den Fachkräftemangel in der Sicherheitsbranche angehen, sowie deren praktische Abwägungen:
Der größte Fehler: Outsourcing statt Automatisierung
Es gibt ein Muster, das ich immer wieder beobachte, besonders im DACH-Raum, und das mich am meisten besorgt. Wenn Organisationen erkennen, dass sie einen Cybersecurity-Fachkräftemangel haben, ist die instinktive Reaktion, die Lücke mit Personal zu füllen. Und wenn sie nicht schnell genug einstellen können, wenden sich viele an Managed Service Provider oder externe Beratungsfirmen.
Outsourcing fühlt sich sicher an. Es bringt nominell qualifizierte Fachleute ins Spiel. Es verteilt die wahrgenommene Verantwortung. In der Praxis schafft es jedoch oft mehr Probleme, als es löst. Externe Partner müssen eingebrieft werden. Sie brauchen Kontext zu Ihrer Infrastruktur, Ihren Risikoprioritäten und Ihrer spezifischen regulatorischen Situation, und dieser Briefing-Prozess nimmt Zeit von Ihrem internen Team in Anspruch, also genau von dem Team, das ohnehin schon überlastet ist.
Kommunikationslücken zwischen internen Stakeholdern und externen Partnern führen zu Verzögerungen in Prozessen, bei denen Geschwindigkeit entscheidend ist. Wenn etwas schiefläuft, wird die Verantwortlichkeit unklar. Und die Gesamtkosten, sowohl finanziell als auch im Management-Overhead, übersteigen regelmäßig das, was Organisationen ursprünglich erwartet haben. Dazu kommt die Frage der Sichtbarkeit: Wenn zentrale Sicherheitsprozesse außerhalb Ihrer Organisation stattfinden, wissen Sie häufig nicht, was Sie nicht wissen. Und die Verantwortung für Datenschutz und Incident Response lässt sich nicht vollständig delegieren: Ihr Unternehmen bleibt gemäß den NIS2-Pflichten für Geschäftsführer haftbar, unabhängig davon, welcher externe Partner nominell zuständig war.
Das ist kein Argument gegen jedwede externe Unterstützung. Spezialisierte Expertise für klar abgegrenzte Einsätze, Penetrationstests, Red Teaming oder spezifische Audits, kann absolut sinnvoll sein. Outsourcing jedoch als strukturelle Standardantwort auf ein Personalproblem einzusetzen ist teuer, erzeugt Kontrolldefizite und schließt den Cybersecurity-Fachkräftemangel in keiner nennenswerten Weise.
Die bessere Antwort ist, die operative Belastung Ihres Teams durch Automatisierung zu reduzieren und Ihre Fachleute für die Arbeit freizusetzen, die wirklich ihr Urteilsvermögen erfordert. Kertos übernimmt kontinuierliche Nachweiserhebung, Control-Monitoring und Compliance-Reporting über mehrere Frameworks hinweg gleichzeitig. Das ist kein Ersatz für ein Sicherheitsteam. Es ist das, was ein schlankes Sicherheitsteam effektiv macht. Gute Führungskräfte können unterscheiden, welche Themen wirklich menschliches Urteilsvermögen erfordern, und welche Aktivitäten reine Prozessarbeit darstellen, die besser durch Automatisierung abgedeckt wird als durch einen externen Dienstleister.
Die Unternehmen, die den Cybersecurity-Fachkräftemangel am besten bewältigen, sind nicht die mit den größten Sicherheitsabteilungen. Es sind die, die die klarsten Entscheidungen darüber getroffen haben, wo menschliche Expertise unersetzlich ist und wo eine gut konfigurierte Plattform die Last tragen sollte.
Häufig gestellte Fragen zum Cybersecurity-Fachkräftemangel
Wie groß ist der Fachkräftemangel in der Cybersicherheit in Europa?
Die ISC2 Cybersecurity Workforce Study 2024 schätzt einen globalen Fachkräftemangel von rund 4,8 Millionen Stellen. Die europäische Cybersecurity-Belegschaft schrumpfte 2024 sogar um 0,7 Prozent. 64 Prozent der Sicherheitsfachleute sind der Ansicht, dass Kompetenzlücken einen größeren negativen Einfluss haben als reiner Personalmangel, und der Trend verschlechtert sich von Jahr zu Jahr.
Wie verschärft NIS2 den Fachkräftemangel für KMU?
NIS2 hat verbindliche Sicherheitsanforderungen auf eine wesentlich breitere Gruppe von Organisationen in Europa ausgeweitet, von denen viele zuvor keine formale Informationssicherheitsfunktion hatten. Das erhöht die Nachfrage nach qualifizierten Sicherheitsfachleuten genau in den Organisationen, die am wenigsten in der Lage sind, um sie zu konkurrieren.
Was ist der effektivste Weg, die Lücke ohne Neueinstellungen zu schließen?
Der effektivste Ansatz ist die Automatisierung routinemäßiger, prozessgesteuerter Sicherheitsaktivitäten, damit bestehende Teammitglieder ihre Zeit auf anspruchsvolle Aufgaben konzentrieren können. Dazu gehören Compliance-Automatisierungstools, die Nachweiserhebung, Control-Mapping und Audit-Vorbereitung kontinuierlich übernehmen und es kleinen Teams ermöglichen, einen Compliance-Stand zu halten, der sonst deutlich mehr Personal erfordern würde.
Was ist Kertos und wie hilft die Plattform beim Fachkräftemangel?
Kertos ist eine europäische Compliance-Automatisierungsplattform, die Informationssicherheitsteams dabei unterstützt, kontinuierliche Compliance über Frameworks wie ISO 27001, NIS2, DSGVO, SOC 2 und TISAX aufrechtzuerhalten. Durch die Automatisierung der manuellen Arbeit, die typischerweise einen überproportionalen Anteil der Team-Zeit in Anspruch nimmt, ermöglicht Kertos schlanken Teams, auf einem Niveau zu arbeiten, das sonst deutlich mehr Personal erfordern würde. Wenn Sie sehen möchten, wie das in der Praxis funktioniert, buchen Sie eine Demo.
Der Cybersecurity-Fachkräftemangel wird sich in absehbarer Zeit nicht von selbst schließen. Die strukturellen Kräfte, die ihn antreiben, regulatorische Ausweitung, Talentknappheit, hohe Retentionsraten in Großkonzernen, kehren sich nicht schnell um. Aber Organisationen sind nicht hilflos. Die Sicherheitsverantwortlichen, die ich am meisten bewundere, sind die, die aufgehört haben, auf eine Verbesserung des Einstellungsmarkts zu warten, und stattdessen neu gestaltet haben, wie ihre Teams arbeiten. Sie investieren in Automatisierung, bauen Talente intern auf, schützen die Zeit ihrer besten Leute für wirklich komplexe Probleme und behandeln Compliance als fortlaufende Disziplin statt als periodische Feuerwehrübung. Das ist kein Umweg. Das ist Strategie.
