Zu diesen Problemen gehören u.a. überlastete Mitarbeiter sowie Schwierigkeiten bei der Rekrutierung von qualifiziertem Personal. Die Studie zeigt zudem einen allgemeinen Mangel an Investitionen in Personal und Gehälter. Laut Branchenakteuren ist die Nachfrage nach OT-/ICS-Sicherheitskompetenzen und dementsprechend spezifischem Fachwissen in den vergangenen Jahren aufgrund von Bedrohungseskalationen und steigenden IT-/OT-Sicherheits-Frameworks sowie -vorschriften gestiegen. Die Umfrage bestätigt, dass Industrieunternehmen mit erheblichen Herausforderungen hinsichtlich des Personals konfrontiert sind. Demnach mangelt es an Cybersicherheitsexperten (19 Prozent), das Personal ist überlastet (46 Prozent) oder einer Fluktuation ausgesetzt (30 Prozent). Nur vier Prozent fühlen sich bezüglich der Personalressourcen nicht unter Druck.
Angebot deckt Nachfrage nicht
Die Unterfinanzierung scheint einer der möglichen Gründe für die Diskrepanz zwischen Angebot und Nachfrage an qualifizierten Mitarbeitern zu sein. Fehlende finanzielle Mittel führten einer reduzierten Mitarbeiterzahl, wobei in jedem zweiten Unternehmen (55 Prozent) das Personal zum am stärksten unterfinanzierten Aspekt von OT-/ICS-Cybersicherheit zählt. Weitere 35 Prozent der Befragten hoben in diesem Zusammenhang auch niedrige Gehälter und Vergütungen als besonderes Anliegen hervor. Insgesamt verfügt weniger als die Hälfte (43 Prozent) der Industrieunternehmen über spezielle OT-/ICS-Sicherheitsteams. Angesichts der Herausforderung, qualifizierte Spezialisten für industrielle Cybersicherheit zu finden, prüfen viele Unternehmen die Outsourcing-Möglichkeit, wobei 58 Prozent seit der Pandemie bereits verstärkt auf externe OT-Sicherheitsdienstleister zurückgreifen.
„Für den Cyberschutz eines Industrieunternehmens ist es sinnvoll, sich an ein professionelles Team wie einen Managed Security Service Provider (MSSP) zu wenden“, rät Christian Milde, Geschäftsführer Central Europe bei Kaspersky. „Wenn ein Unternehmen jedoch ein eigenes Team von Fachleuten benötigt, kann es Expertenorganisationen und CERTs (Computer Emergency Response Teams) wie das Kaspersky ICS CERT einbeziehen, die bei der Suche nach Schwachstellen, der Erkennung von Bedrohungen und der Untersuchung von Cybervorfällen über eine adäquate Expertise verfügen und ein internes Team genau für diese Herausforderungen schulen können. Neben der Schulung von OT-Cybersicherheitsexperten muss zudem sichergestellt werden, dass auch andere Mitarbeiter für Cybersicherheitsfragen sensibilisiert sind. Hierfür können spezielle Trainings durchgeführt werden, einschließlich persönlicher vor Ort-, Online- und E-Learning-Kurse. Dies kann für Unternehmen mit kritischen Infrastrukturen sogar eine gesetzliche Vorschrift sein.“
