Anzeige
STRATEGIE1. Dezember 2017

War for Talents und Cyber­manager in der Finanzwelt

Henning Sander, Leiter der Business Unit Banking, Executive Search, Hager UnternehmensberatungHager Unternehmensberatung

Die digitale Transformation bringt für alle Unternehmen riesige stra­te­gische und betriebliche Mög­lich­kei­ten und eine Fülle an Her­aus­for­der­ungen. Jedoch bietet die derzeit laufende grundlegende Verschiebung – alle Facetten der Digitalisierung – nicht nur große kommerzielle Möglichkeiten für Neuinvestitionen, sondern birgt auch neue Risiken für die Unternehmen und neue technische Möglichkeiten für Kriminelle. In der Finanzbranche werden fast täglich Systeme von Hackern angegriffen. Dies ist die dunkle Seite der Digitalisierung und sie verdient genauso viel Aufmerksamkeit wie die Chancen, die die Digitalisierung mit sich bringt.

von Henning Sander, Leiter der Business Unit Banking, Executive Search, Hager Unternehmensberatung

Banken, Investmentgesellschaften und Versicherungen zählen zu beliebten Angriffszielen von Cyber-Kriminellen. Die Motive sind dabei sehr unterschiedlich; vom klassischen Diebstahl von Geld oder sensiblen Daten bis hin zur Manipulation von Geschäftsprozessen oder gar der Zerstörung wichtiger Infrastrukturen. Der in den vergangenen Jahren im Finanzdienstleistungssektor entstandene finanzielle Schaden aufgrund Cyber-Attacken ist im Branchenvergleich mit der höchste.

Defizite beim Schutz vor Cyber-Attacken

Der kritische Aspekt im Umgang mit Cyber-Risiken ist bei einigen Instituten noch immer primär nur auf dem Papier geregelt. Institute, die lediglich reagieren und nicht proaktiv agieren, werden früher oder später mit schmerzhaften und teilweise auch kostspieligen Problemen konfrontiert. Es gibt viele zwingend erforderliche Maßnahmen, um gegen Angriffe gewappnet zu sein.

Um das Thema Cybersecurity nicht als Trivialität weg zu delegieren, ist es essentiell, das entsprechende Know-how an Bord zu holen. Neben Standardkenntnissen rund um die Themen ISMS, IT-Risikomanagement und Sicherheitsmanagement sind auch fundierte Erfahrungen mit gängigen Netzwerken, Systemen, Anwendungsentwicklungen und Rechenzentren von Nöten. Die Rekrutierung von IT-Sicherheitstalenten kann sogar als Wettbewerbsvorteil verstanden werden.”

Finanzinstitute aller Größen weisen Sicherheitslücken auf

Viele Institute verfügen über eine Governance und können Bedrohungspotenziale für sensible und kritische Daten identifizieren. Einige Institute haben zwar Schutzmechanismen eingeführt, jedoch fehlt es häufig an Regularien, die den Umgang mit komplexeren Bedrohungsszenarien beschreiben. Ebenso fehlt es oft an notwendigen Erweiterungen für die Anwendung technischer Überwachungsansätze. Viele kleinere Institute haben nur einen minimalen Aufwand vorgesehen, um den normalen Geschäftsbetrieb nach einer Attacke zeitnah wieder aufnehmen zu können.

Cybermanager und Talente gesucht

Die für den Sicherheitsbereich gesuchten IT-Spezialisten müssen im Hinblick auf ihre Qualifikationen und Profile viel breiter aufgestellt sein als reine IT-Experten. Bankinterne ISMS Rahmenwerke müssen gemäß MaRisk weiterentwickelt und regelmäßig gepflegt werden sowie relevante IS-Kontrollen (IKS) etabliert und überwacht werden. Führungskräfte müssen außerdem Informationssicherheitsstandards etablieren und mithilfe gezielter Kampagnen und Trainings im Unternehmen einführen sowie Sonder-Audits zur Sicherheitsüberwachung planen und durchführen.

Autor Henning Sander
Henning Sander ist Business Unit Manager für den Bereich Banking. Er besetzt Management- und Fachpositionen in der Bankenbranche und findet nicht nur die fachlich passenden, sondern auch die persönlich passenden Kandidaten für Sie. Henning Sander absolvierte das Studium der Psychologie an der Universität Mainz. Im Anschluss arbeitete er als internationaler Personalberater und war in diesem Rahmen sowohl für Recruiting als auch für Trainings und Auswahlverfahren zuständig. Darüber hinaus ist er ausgebildeter systemischer Coach.
Eine effektive Präventionsarbeit dieser Spezialisten enthält auch die Planung potenzieller Angriffs-Szenarien, beispielsweise wenn Datenbanken angezapft oder Prozesse blockiert werden sollen. Für eine derartige Planung sind neben den reinen Programmiersprachen fundierte Kenntnisse im Security und Netzwerkbereich, Kryptografie und natürlich Vertrautheit mit allen gängigen Softwareherstellern und deren Produkten erforderlich. Vorteilhaft sind auch Zertifizierungen wie CISM, CISA oder CISSP und Kenntnisse in den gängigen Sicherheitsstandards wie ISO 2700x, BSI Grundschutz, CoBit, NIST, etc. Zudem muss der IT-Spezialist sich in die vermutete Zielsetzung und idealerweise sogar in die Denkweise der Hacker hineinversetzen können, um geeignete Gegenmaßnahmen zu ergreifen.

Neben der theoretischen Konstruktion von ‚worst case Szenarien‘ ist es natürlich auch erforderlich, mögliche Schlupflöcher im gesamten System aufzufinden. Auch sollten Szenarien überdacht werden, die nicht rein auf der Programmierung, dem Angriff auf die Firewall oder direkten anderen Angriffen beruhen. Erhebliches Gefährdungspotential an Cyber-Angriffen ist mittlerweile auch dem Social Matching zuzuschreiben.

Wie schwer ist es für Finanzinstitute, geeignete und loyale Kräfte am Markt zu rekrutieren?

Das Bewusstsein und auch die Sensibilisierung für die neuen Anforderungen an IT-Sicherheit ist zwar gewachsen, jedoch ist die Umsetzung noch sehr langsam. Die ersten Hochschulen bieten mittlerweile Lehrstühle oder haben eine auf IT-Sicherheit spezialisierte Professur eingerichtet.

Viele Finanzinstitute erkennen die hohe Bedeutung der IT-Sicherheit, haben es aber sehr schwer, personell aufzurüsten, um geeignete Qualifikationen an Bord zu holen. Generell sind aktuell auf dem Arbeitsmarkt nur wenige Experten im Bereich IT-Sicherheit verfügbar.

Da es sich im IT-Sicherheitsbereich um einen Arbeitnehmermarkt handelt, suchen die Spezialisten bevorzugt nach Unternehmen, die technologische Vorreiter sind und die dem Kandidaten die aktuellsten Standards bieten.”

 

Der Quereinstieg im IT-Sicherheitsumfeld

Als Quereinsteiger in der IT-Sicherheitsbranche Fuß zu fassen, bedeutet oftmals, intensive Umschulungsprogramme und Weiterbildungsmaßnahmen zu absolvieren, die hohen persönlichen Einsatz erfordern. Von Quereinsteigern wird hohe Flexibilität und Eigeninitiative erwartet. Sie haben es angesichts der steigenden Komplexität immer schwerer, in die IT-Sicherheitsbranche zu gelangen. Durch die Komplexität und Anfälligkeit der IT-Systeme ist es gleichzeitig erforderlich, neben dem Fachwissen auch ein Verständnis für systemübergreifende Zusammenhänge mitzubringen.

Co-Beitrag von Herrn Ministerialdirektor Stefan Krebs CIO/CDO – Beauftragter der Landesregierung für Informationstechnologie

Der Beauftragte der Landesregierung für Informationstechnologie entwickelt und steuert als CIO/CDO die IT-Strategie der gesamten Landesverwaltung. Er hat die Aufsicht über die BITBW, den zentralen IT-Dienstleister des Landes und vertritt Baden-Württemberg im Bund-Länder-übergreifenden IT-Planungsrat. Gleichzeitig ist ihm die Stabsstelle für Digitalisierung zugeordnet, die für die Konzeptionierung und Umsetzung einer ressortübergreifenden Digitalisierungsstrategie des Landes zuständig ist.

IT-Sicherheit benötigt Fachkräfte

Hager Unternehmensberatung
Die Hager Unternehmensberatung ist Partner von Horton International  und bietet ihren Kunden weltweit an über 40 Standorten in den global wichtigsten Wirtschaftsregionen Lösungen rund um den Arbeitslebenszyklus an: Employment Lifecycle Solutions.

Diese zielgerichteten Lösungen rund um den Arbeitslebenszyklus finden ihre Entsprechung in unseren einzelnen Unternehmensbereichen: Bei der Platzierung der passenden Kandidaten, bei der Evaluierung der Mitarbeiterpotenziale, bei der Entwicklung, um die persönlichen Mitarbeiterfähigkeiten weiterzuentwickeln, bis hin zur Begleitung bei individuellen Veränderungsprozessen.

Mit knapp 90 Mitarbeitern in kleinen, spezialisierten Teams, einem voll digitalisierten Workflow und über 20 Jahren Erfahrung in der Technologiebranche sowie weiteren innovativen Märkten verbindet die Hager Unternehmensberatung Leistungsfähigkeit und Prozessqualität der Branchengrößen mit der Geschwindigkeit und Flexibilität eines Start-ups.

Die Hager Unternehmensberatung gehört zu den Top 15 Personalberatungen in der DACH Region und ist die Executive Search Beratung rund um das Thema Digitalisierung.

Die IT-Sicherheit hat in der Landesverwaltung hohe Priorität und wird weiter ausgebaut. Im Staatshaushaltsplan für 2017 sind 30 neue Stellen in der Landesverwaltung für IT-Sicherheit geschaffen worden. Die Stellen sind ressortübergreifend für verschiedene Bereiche der Landesverwaltung vorgesehen. Trotz des Umstandes, dass IT-Fachkräfte insbesondere auch im Bereich der Informationssicherheit nur begrenzt auf dem Arbeitsmarkt zur Verfügung stehen, konnten die bisher ausgeschriebenen Stellen sowohl in qualitativer Hinsicht als auch quantitativ gut besetzt werden.

Der Landesverwaltung ist bewusst, dass das Thema der Mitarbeitergewinnung – und Mitarbeiterbindung vor allem an einem wirtschaftlich so bedeutenden Standort im Bereich der IT-Fachkräfte eine wichtige Herausforderung und Zukunftsaufgabe darstellt.”

Daher wollen wir aktuell im Dialog mit den Hochschulen und weiteren Bildungseinrichtungen Lösungen finden und dabei das Thema der IT-Sicherheit zusätzlich zu den bereits vorhandenen vielfältigen Studien- und Ausbildungsgängen im IT-Umfeld thematisieren. Ein möglicher Weg wäre für Behörden und Unternehmen gleichermaßen, Fachpersonal im Spezialgebiet der IT-Sicherheit qualifiziert auszubilden. Für das in vielen Bereichen der Landesverwaltung eingesetzte IT-Fachpersonal wurden zudem vielfältige Aus- und Fortbildungsangebote geschaffen, was unabdingbar zur Attraktivität der Arbeitsplätze beiträgt.

Die Landesverwaltung stellt sich im Bereich der Informationssicherheit derzeit strategisch neu auf. Die hierzu erlassene „Verwaltungsvorschrift des Innenministeriums zur Informationssicherheit“ (VwV Informationssicherheit) ist zum 1. Mai 2017 in Kraft getreten. Hierin sind unter anderem auch die Rollen und Aufgabenträger der künftigen Informationssicherheitsprozesse definiert. Ein größerer Teil der mit den 30 Stellen geschaffenen Personalressourcen ist mit der Umsetzung dieser VwV Informationssicherheit in den Ministerien und deren nachgeordneten Bereichen betraut. Hierfür sind nicht in erster Linie die höchst technischen operativen Kompetenzen eines IT-Administrators gefragt. Viel mehr werden Kompetenzen im Bereich der strategischen IT-Sicherheit gefordert. Hierzu wird neben einem hohen Maß an technischem Verständnis insbesondere Know-How im Bereich der Methodik des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik (BSI) benötigt. Damit kann ein breiteres Spektrum an Bewerbern angesprochen werden.

Fazit

Der IT-Sicherheitsbereich im Finanzsektor hat Nachholbedarf, insbesondere wenn es um das personelle Aufrüsten geht. Da das Thema IT-Security alle Branchen betrifft und Fach- und Führungskräfte rund um die IT-Sicherheit eher rar sind, handelt es sich mittlerweile um einen Arbeitnehmermarkt. Daher empfiehlt es sich, auf Kompromisse bei geeigneten Bewerbern einzugehen, wenn nicht alle fachlichen Kompetenzen vorhanden sind. Darüber hinaus lohnt es sich, in hochqualifizierte Mitarbeiter und Weiterbildungsangebote zu investieren, um die größtmögliche Expertise im Unternehmen zu bündeln und zu halten.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert