Zeitungsartikel, in dem es um den Fachkräftemangel in der IT geht.

Error 404 – IT-Fachkraft nicht gefunden! In Deutschland fehlen aktuell rund 80.000 IT-Fachkräfte, in Österreich ist die Lage mit rund 20.000 fehlenden IT-lern prozentual gesehen sogar noch dramatischer. Wir schauen uns an, warum der Fachkräftemangel in der IT zu einem echten Sicherheitsrisiko werden kann, und wie Unternehmen dieser Gefahr Herr werden, indem sie eine Software für Identity und Access Management einsetzen.

Inhalte (verbergen)

IT-Fachkräftemangel 2021

Laut einer repräsentativen Studie von Bitkom, für die 853 Geschäftsführer und Personalleiter von Unternehmen mit drei und mehr Beschäftigten aller Branchen befragt wurden, ist der IT-Fachkräftemangel im Rahmen der Corona-Pandemie leicht zurückgegangen.

Entspannung ist trotzdem nicht in Sicht, denn derzeit raufen sich deutsche Recruiter die Haare über 86.000 unbesetzte IT-Jobs. Im Schnitt dauert es sechs Monate und erfordert etliche Ausschreibungen und Bewerbungsgespräche, um eine vakante Stelle in der IT zu besetzen.

Der IT-Fachkräftemangel trifft v.a. kleine und mittelständische Unternehmen (KMU), da qualifizierte Mitarbeiter große Konzerne mit attraktiveren Gehaltsmodellen und/oder Social Benefits kleineren Betrieben häufig vorziehen.

IT-Fachkräftemangel in Österreich

Auch in Österreich haben die Unternehmen Schwierigkeiten, ihren Bedarf an IT-Fachkräften zu decken. Aktuell fehlen rund 24.000 qualifizierte Arbeitskräfte und die Wirtschaftskammer Österreich (WKO) rechnet damit, dass sich diese Zahl bis 2025 auf bis zu 30.000 unbesetzte Stellen im digitalen Sektor steigern wird.

Anders als in Deutschland gäbe es für Österreich allerdings einen Weg aus dieser Krise, denn die Alpenrepublik ist laut einer aktuellen Studie sehr beliebt bei jungen, hochqualifizierten Fachkräften aus Ost- und Südosteuropa. Das Problem ist, wie so oft, die Bürokratie. Das österreichische Bundesrecht sieht strenge Richtlinien zur sog. “Ausländerbeschäftigung” vor, die Unternehmen die Anstellung ausländischer Schlüsselarbeitskräfte erschweren.

Welche IT-Fachkräfte fehlen?

Der IT-Fachkräftemangel ist zwar in allen Branchen spürbar, aber er betrifft nicht alle Berufsfelder. IT-Fachkräfte in kreativ-gestalterischen Berufsfeldern (z.B. Webdesigner) sind beispielsweise weit weniger gefragt als Full Stack Developer. Hinzu kommt, dass die Anforderungen an Schlüsselpersonen in der IT steigen, und schon lange über reines Programmieren hinausgehen.

Welche IT Skills sind besonders gefragt?

  • IT-Projektmanager, die mit Management-Tools wie Scrum oder Kanban vertraut sind

  • IT-Security Experten (z.B. Pen Tester oder IT Security Analysten)

  • Softwareentwickler, insbesondere mit Skills in Java, nodeJS, C, C++, C#, PHP, SQL oder iOS bzw. Android

  • Data Scientists

  • IT-Anwendungsbetreuer

Fachkräftemangel in der IT-Security

Der Fachkräftemangel im Bereich Cybersecurity macht sich in zweierlei Hinsicht bemerkbar: Zum einen fehlen die digitalen Experten bei der Entwicklung von IT-Security-Lösungen, während die Cybercrime-Attacken immer ausgefeilter und zielgerichteter werden.

Zum anderen fehlen in den Unternehmen qualifizierte IT-Sicherheitsbeauftragte, die der steigenden Bedrohung durch Cyber-Kriminalität mit entsprechenden Maßnahmen begegnen könnten. Wir schauen uns die top 5 Probleme an, mit denen Unternehmen durch den IT-Fachkräftemangel verstärkt zu kämpfen haben.

IT-Fachkräftemangel – die top 5 Probleme

Der Mangel an IT-Fachkräften macht sich in vielen Unternehmen dadurch bemerkbar, dass kein qualifiziertes Risikomanagement erfolgt und die Implementierung eines ISMS (Information Security Management System) in vielen Fällen ausbleibt oder nicht vollständig durchgeführt wird. Ein weiteres Risiko besteht im Bereich der Benutzerverwaltung, die in vielen Unternehmen noch händisch durchgeführt wird, und Ressourcen bindet, die dringend anderweitig benötigt werden.

1. Dramatisch(er)e Folgen durch Malware-Attacken

Malware-Attacken, also Angriffe mit Schadsoftware, sind sehr schwer zu entdecken und können dramatische Folgen haben (z.B. Verlust geschäftskritischer Daten, Haftungsansprüche Dritter, Diebstahl geistigen Eigentums usw.). Im schlimmsten Fall treiben der Produktionsstillstand, die Umsatzverluste, die Wiederherstellungskosten und/oder der Reputationsverlust das Unternehmen in den Ruin. Es liegt in der Verantwortung des IT-Sicherheitsbeauftragten, für die Umsetzung folgender Maßnahmen zum Schutz gegen Malware-Attacken zu sorgen:

  • Systeme up to date halten und neue Sicherheitspatches zeitnahe einspielen

  • Systeme durch Firewall und aktuellen Virenschutz sichern

  • Backups sicherstellen (z.B. durch Sicherung auf mehreren Plattformen, Backup-Speichergeräte und/oder Netzwerksegmentierung)

  • Notfallplan entwerfen, wie im Falle einer erfolgreichen Attacke vorzugehen ist


Viele Unternehmen versuchen, sich mittels Cyberversicherungen gegen die schlimmsten Folgen eines erfolgreichen Angriffs abzusichern.

Das Problem: In Deutschland ist der Abschluss einer Cyberversicherung nur möglich, wenn das Unternehmen bereits ein Mindestmaß an IT-Security aufweist (mehr Informationen). Dafür braucht es aber, wie wir schon gesehen haben, qualifizierte Fachkräfte.

Ransomware-Angriffe

Ransomware ist eine Unterart der Malware, bei der es die Angreifer auf Erpressung abgesehen haben. Der Schadcode sperrt die Computersysteme  und/oder verschlüsselt die Daten, bis das Unternehmen ein Lösegeld für die Freigabe zahlt.

Die weltweit durch Ransomware verursachten Schäden gehen in die Milliarden. Während bis vor Kurzem vor allem Großkonzerne vor Angriffen mit Ransomware zitterten, trifft es in den letzten Jahren auch immer mehr den Mittelstand.


Der Schutz gegen Ransomware muss auf mehreren Ebenen implementiert werden. Die Maßnahmen reichen von der Sensibilisierung der Mitarbeiter über aktuelle Sicherheitssoftware und Backup-Pläne bis hin zu der Auslagerung von Daten in die Cloud und der Verbesserung der Endpoint Security. Mehr Informationen über Ransomeware-Schutz für Unternehmen.

2. Fachkräftemangel begünstigt  Dos/DDos-Attacken

Laut der Ninth Annual Cost of Cybercrime Study von Accenture sind DDOS-Angriffe die kostspieligsten für Unternehmen. Bei dieser Art von Cybercrime nehmen die Angreifer die Website, den Webshop oder die Web-Applikation eines Unternehmens ins Visier und befeuern die Server mit Unmengen sinnloser Anfragen, bis die Websites in die Knie gehen.

Ziel ist es, Sicherheitslücken zu finden, um z.B. an Kundeninformationen zu gelangen. Um derartige Angriffe abzuwenden, ist es die Aufgabe des IT-Security-Experten, die Anwendungssicherheit zu überprüfen, und etwaige Schwachstellen zu beseitigen:

  • Speziell entwickelte Netzwerkgeräte oder einen cloudbasierten Schutzdienst einsetzen, um DDOS-Angriffe abzuwehren (DDOS-Abwehr)

  • Systeme up to date halten und neue Sicherheitspatches zeitnahe einspielen

  • Sicherheitspatches für das CMS (Content Management System) zeitnahe einspielen

  • Sandbox erstellen und Anwendungen isolieren (Whitelist), um Risiko von Drive-by-Compromise-Angriffen zu verringern

  • Endpunkte absichern (Endpoint Security)

3. Wettbewerbsnachteil durch zu wenig Fachkräfte

Software-Entwickler sind in der IT-Branche aktuell heiß begehrt – und das aus gutem Grund: Deutschland gerät im Rennen und die neuesten Technologien zunehmend ins Hintertreffen! Dies ist besonders im Zuge der Corona-Pandemie deutlich geworden, welche die Vormachtstellung der führenden Technologiekonzerne noch weiter ausbaute. In Deutschland hingegen sind aktuell 94 Prozent der Unternehmen auf Digital-Importe angewiesen.

Laut Dorothee Bär, Staatsministerin und Beauftragte der Bundesregierung für Digitalisierung, steht Deutschland vor der Herausforderung, “nach der Krise im digitalen Raum besser, souveräner und selbstbewusster dazustehen als vor der Krise“. (Quelle: Handelsblatt)

Zwei Entwickler vor einem PC Bildschirm, auf dem Code zu sehen ist. Beitrag über IT-Fachkräftemangel.

4. IT-Fachkräftemangel gefährdet Compliance

Der Mangel an Schlüsselarbeitskräften in der IT kann dazu führen, dass Betrieben die Einhaltung ihrer eigenen, der brancheninternen oder gesetzlichen Compliance-Richtlinien erschwert wird. So sind Unternehmen im Rahmen des BSI-IT-Grundschutzes beispielsweise aufgefordert, ihre IT-Security durch die Implementierung eines ISMS (Information Security Management System) an den aktuellen Stand der Technik anzupassen.

Die Koordination der entsprechenden Maßnahmen fiele normalerweise dem IT-Sicherheitsbeauftragten des jeweiligen Unternehmens zu. Diese Position bleibt in vielen Unternehmen aufgrund des IT-Fachkräftemangels jedoch vakant.

BSI-IT-Grundschutz [WHITEPAPER]

Obligatorische Compliance-Richtlinien

Während die Umsetzung der IT-Grundschutz-Maßnahmen nicht verpflichtend ist und eher eine Art Hilfe zur Selbsthilfe darstellt, gibt es für bestimmte Branchen bzw. Organisationen ab einer gewissen Größe Compliance-Vorschriften, deren Umsetzung obligatorisch ist:

  • Kritisverordnung: Einrichtungen, die per Definition als Kritische Infrastrukturen gelten, sind nach dem IT-Sicherheitsgesetz dazu verpflichtet, ihre informationstechnischen Systeme, Komponenten oder Prozesse gemäß dem aktuellen Stand der Technik abzusichern.

  • Branchenspezifische Sicherheitsstandards: KRITIS-Betreiber müssen dem BSI gegenüber alle zwei Jahre nachweisen, dass ihr IT-Schutz dem Stand der Technik entspricht. Der “Stand der Technik” ist für jede Branche in einem branchenspezifischen Sicherheitsstandard (B3S) definiert.

  • B3S im Gesundheitsbereich: Gesundheitseinrichtungen, die als KRITIS gelten, müssen ihr IT-Sicherheitskonzept am dem Branchenstandard ausrichten, der von der Deutschen Krankenhausgesellschaft (DKG) erarbeitet wurde. Darüber hinaus gibt es eine Reihe weiterer Vorschriften, die den Datenschutz im Krankenhaus gewährleisten sollen.

  • TISAX: TISAX ist der Standard für Informations- und Cybersicherheit in der Automobilbranche. Zulieferer, die sich nicht nach TISAX zertifizieren lassen, haben einen erheblichen Wettbewerbsnachteil. Für die Vorbereitung auf das TISAX-Audit ist jedoch ein qualifizierter IT-Sicherheitsbeauftragter notwendig.

  • MaRisk/BAIT: Die MaRisk sind Verwaltungsanweisungen des BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht), die die Mindestanforderungen an das Risikomanagement von Finanzdienstleistern beschreiben. In den MaRisk enthalten sind die sog. BAIT, die bankaufsichtlichen Anforderungen an die IT, deren Umsetzung für Banken obligatorisch ist.

5. Datendiebstahl oder -missbrauch durch Mitarbeiter

Bei “IT-Fachkräftemangel” denken wir direkt an die Ressourcenknappheit in Entwicklung und Programmierung. Und obgleich der Mangel in diesen Bereichen problematisch ist, leidet natürlich auch der administrative Bereich darunter, dass es zu wenig Fachkräfte für zu viele administrative Aufgaben gibt. Unter anderem wird der IT-Fachkräftemangel dort deutlich, wo es um die Verwaltung von Benutzern bzw. um die Verwaltung von Zugriffsberechtigungen geht.

In vielen mittelständischen Unternehmen ist das Berechtigungsmanagement ein manueller Prozess, bei dem ein Admin auf Zuruf Routineaufgaben wie das Anlegen neuer Mitarbeiter und das Einstellen von Zugriffsberechtigungen ausführt.

Diese Vorgehensweise bindet nicht nur Ressourcen, die dringend an anderen Stellen benötigt werden, sie ist auch extrem fehleranfällig und begünstigt u.a. den Datendiebstahl durch Mitarbeiter.

Zu viele Rechte führen zu Datenmissbrauch

Laut dem deutschen Bundesamt für Verfassungsschutz geben 63 Prozent aller von Datenklau betroffenen Unternehmen an, dass die sensiblen Informationen von ehemaligen oder bestehenden Mitarbeitern entwendet wurden. Die erschreckende Wahrheit: Tatsächlich kann sogar der loyalste Mitarbeiter zum Insider Threat werden, wenn er zu viele und/oder falsche Zugriffsberechtigungen hat.

Aus diesem Grund sollte die Berechtigungsvergabe grundsätzlich nach dem Prinzip der geringsten Privilegien erfolgen: Ein Mitarbeiter darf immer nur exakt jene Zugriffsrechte erhalten, die er für seine Tätigkeit auch wirklich benötigt.

In der Praxis schenken viele Admins dem User Lifecycle Management aber zu wenig Aufmerksamkeit, was dazu führt, dass die initiale Erteilung der Rechte zwar gut funktioniert, aber diese Rechte in der Regel nicht entzogen werden, wenn ein Mitarbeiter die Abteilung wechselt oder aus dem Unternehmen ausscheidet. Mögliche Folgen sind:

  • Datendiebstahl und möglicherweise Verkauf an Dritte (z.B. an die Konkurrenz)

  • Diebstahl von geistigem Eigentum (und möglicherweise Weitergabe an den neuen Arbeitgeber)

  • Manipulation von Daten mit dem Ziel, dem Unternehmen zu schaden

  • Diebstahl sensibler Unternehmensdaten mit dem Ziel der Erpressung

  • Schnelle Verbreitung von Schadsoftware, wenn z.B. ein Konto mit zu vielen Zugriffsberechtigungen gehackt wird

Automatisierung gegen IT-Fachkräftemangel

Das Problem des Fachkräftemangels in der IT-Branche ist weder leicht, noch schnell zu lösen. Was es braucht, sind nicht nur mehr Studienabschlüsse, sondern auch eine Verbesserung der Ausbildung selbst. Viele Arbeitgeber monieren beispielsweise, dass Bewerber zu wenig Qualifikationen im Bereich moderner Technologien wie KI oder Blockchain mitbringen.

Unternehmen, die vom IT-Fachkräftemangel betroffen sind, bleibt derweil also nur, die vorhandenen Ressourcen so effizient wie möglich einzusetzen.


Eine erste sinnvolle Maßnahme ist in diesem Zusammenhang die Anschaffung einer IAM Software, um die Benutzerverwaltung zu automatisieren und auf diese Weise wertvolle Ressourcen in der IT freizuspielen.

IAM-Software im Vergleich [WHITEPAPER]

Automatisierung von Workflows mit tenfold

tenfold ist eine unkomplizierte IAM-Lösung, die darauf ausgelegt ist, auf Basis von Best Practices innerhalb kurzer Zeit in Betrieb genommen zu werden. Die Software ist hervorragend an die Bedürfnisse von mittelständischen Organisationen angepasst und schützt den Zugang zu sensiblen Daten sowohl on-Premise als auch in der Cloud und in hybriden Umgebungen.

Doch wie setzt tenfold die Automatisierung um? Der Schlüssel zum Erfolg sind sogenannte Rollen, die die Berechtigungsvergabe mit der Organisationsstruktur des Unternehmens verknüpfen.

Auf diese Weise kann die Software die Standardrechte nicht nur automatisch zuteilen, sondern sie entfernt sie auch automatisch, wenn bestimmte Merkmale eines Mitarbeiters (z.B. die Abteilungszugehörigkeit) sich ändern. Wir sprechen in diesem Zusammenhang von User Lifeycycle Management.

Entwickler vor einem PC Bildschirm, auf dem eine Ransomware-Meldung zu sehen ist. Beitrag über IT-Fachkräftemangel.

tenfold und Compliance

Dadurch, dass tenfold die Berechtigungsvergabe quer durch alle Systeme automatisiert und einen Wildwuchs der Strukturen am Fileserver verhindert (mehr Informationen zur Fileserver-Bereinigung), leistet die Software einen wertvollen Beitrag zur Erfüllung von unternehmenseigenen und externen Compliance-Richtlinien.

tenfold automatisiert das Reporting für Active Directory, Azure AD, die unterschiedlichen Fileserver (Windows, diverse SAN/NAS Systeme) und andere Dienste wie z.B. Exchange (Online) oder SharePoint (Online). Darüber hinaus bindet die Software die Rechtevergabe an die jeweilige Fachabteilung (Data-Owner) und sorgt für eine Compliance-gerechte Dokumentation jedes einzelnen Vorgangs.

Warum tenfold?

tenfold spielt Ressourcen in der IT frei, indem die Software Prozesse standardisiert und automatisiert. Dadurch entsteht die Grundlage für eine Compliance-gerechte Benutzerverwaltung, effiziente und fehlerfreie Arbeitsabläufe, sowie eine korrekte Berechtigungserteilung quer durch alle Systeme.

tenfold gehört mit 1000+ aktiven Installationen zu den führenden Anbietern im DACH-Gebiet. Zu den Märkten zählen daneben Großbritannien und Nordamerika.

Warum tenfold?

tenfold ist mit Abstand die beste IAM-Software für mittelständische Unternehmen. Glauben Sie nicht?

Wir überzeugen Sie!

Warum tenfold?

tenfold ist mit Abstand die beste IAM-Software für mittelständische Unternehmen. Glauben Sie nicht?

Wir überzeugen Sie!