Der demografische Wandel trifft auch die Cybersicherheit: Laut ISC2 fehlen vielen Unternehmen in Deutschland bereits heute zentrale Kompetenzen. Wenn erfahrene Fachkräfte in den Ruhestand gehen, verschärft sich der Druck auf Security-Teams, Weiterbildung und Wissenstransfer. KI kann helfen, ersetzt aber keine Expertise.

Nach Angaben des Statistischen Bundesamts erreichen bis 2039 rund 13,4 Millionen Erwerbstätige das gesetzliche Renteneintrittsalter. Das entspricht etwa 31 Prozent der derzeitigen Erwerbsbevölkerung. Für Unternehmen bedeutet das nicht nur weniger verfügbare Arbeitskräfte. Kritischer ist der mögliche Verlust von Erfahrungswissen, gewachsenen Sicherheitsprozessen und strategischem Know-how.

Gerade in der Cybersicherheit kann dieser Effekt schwer wiegen. Viele Aufgaben hängen nicht allein an Tools, sondern an Erfahrung, Priorisierung und der Fähigkeit, Risiken richtig einzuordnen. Wenn erfahrene Fachkräfte ausscheiden, entstehen deshalb nicht nur Lücken in der Personaldecke, sondern auch in der operativen Sicherheitsfähigkeit.

Kompetenzlücken wirken sich bereits heute aus

Die »2025 ISC2 Cybersecurity Workforce Study« zeigt, dass fehlende Cybersecurity-Kompetenzen für Unternehmen in Deutschland bereits ein konkretes Problem darstellen. ISC2 zufolge berichten 92 Prozent der Befragten in Deutschland von mindestens einer negativen Folge durch fehlende Kompetenzen. 77 Prozent waren mehrfach damit konfrontiert. Weltweit liegt dieser Wert bei 69 Prozent.

Auch strukturelle Defizite werden sichtbar. 90 Prozent der deutschen Befragten sehen mindestens einen Kompetenzbedarf in ihren Teams. Als kritisch stufen ihn allerdings 14 Prozent ein, während der weltweite Durchschnitt bei 23 Prozent liegt. Das kann darauf hindeuten, dass viele Unternehmen die Lage zwar erkennen, die unmittelbare Dringlichkeit aber unterschiedlich bewerten.

Fehlende Fachkräfte erschweren den Kompetenzaufbau

Der reine Blick auf offene Stellen greift zu kurz. Laut Studie gelingt es 43 Prozent der Unternehmen in Deutschland nicht, ausreichend qualifizierte Fachkräfte zu finden, um ihre Sicherheitsteams mit den benötigten Kompetenzen zu besetzen. Weltweit liegt dieser Wert bei 30 Prozent. Hinzu kommen Budgetgrenzen: 26 Prozent der Befragten geben an, dass ihnen die finanziellen Mittel fehlen, um benötigte Spezialistinnen und Spezialisten einzustellen.

Damit hängen Fachkräftemangel und Kompetenzlücken eng zusammen. Wenn Unternehmen weder extern genügend Personal finden noch intern ausreichend investieren können, steigen operative Risiken. Dazu zählen ineffiziente Prozesse, verzögerte Reaktionen auf Sicherheitsvorfälle und eine höhere Belastung bestehender Teams. Weiterbildung wird damit zu einem zentralen Hebel, nicht nur zu einer freundlichen HR-Beilage.

Alle vier Indikatoren für Einsparungen nehmen mit zunehmender Unternehmensgröße zu. Kleinere Firmen haben traditionell Schwierigkeiten, Fachkräfte für Cybersicherheit einzustellen und zu halten. (Quelle: ISC2)

Weiterbildung wird zur Sicherheitsmaßnahme

Die Studie macht deutlich, dass Unternehmen Kompetenzlücken nicht allein durch Neueinstellungen schließen können. 24 Prozent der deutschen Befragten nennen gezielte Budgets für interne Schulungen als Möglichkeit, Cybersecurity-Teams weiterzuentwickeln. 21 Prozent verweisen auf externe Schulungen.

Für Rechenzentrums- und IT-Verantwortliche ist dieser Punkt besonders relevant. Security-Kompetenz betrifft nicht nur dedizierte SOC-Teams, sondern auch Administratoren, Backup-Verantwortliche, Cloud-Teams, Netzwerkbetrieb und Storage-Management. Angriffe auf Identitäten, Backup-Infrastrukturen, Management-Schnittstellen oder Lieferketten lassen sich kaum sauber abwehren, wenn Sicherheitswissen nur in einzelnen Spezialrollen konzentriert ist.

Der Einstieg in die Cybersecurity wird vielfältiger

Der Weg in die Cybersecurity verändert sich. Während weltweit 43 Prozent der Befragten über 45 Jahre Cybersecurity-Aufgaben im Rahmen ihrer IT-Tätigkeit übernommen haben, steigt die jüngere Generation häufiger über eine gezielte Cybersecurity-Ausbildung ein. In der Altersgruppe von 21 bis 29 Jahren liegt dieser Anteil bei 23 Prozent.

Daneben gewinnen Praktika, Ausbildungsprogramme, Zertifizierungen, Weiterbildungen und Quereinstiege an Bedeutung. Für Unternehmen kann das ein Ansatz sein, den Talentpool zu erweitern. Entscheidend ist, Kompetenzen systematisch aufzubauen und nicht ausschließlich nach fertigen Profilen zu suchen. Die gibt es zwar, aber oft nicht dort, nicht dann und nicht zu dem Budget, das gerade in der Planung steht.

KI erhöht den Bedarf an neuen Fähigkeiten

Auch KI verändert die Anforderungen an Cybersecurity-Teams. 56 Prozent der deutschen Befragten erwarten nach der Einführung KI-basierter Sicherheitswerkzeuge einen deutlichen Produktivitätsschub. Gleichzeitig nennen 43 Prozent KI als wichtigste Zukunftskompetenz unter den zehn bedeutendsten Fähigkeiten, um in einer KI-getriebenen Arbeitswelt relevant zu bleiben.

KI kann Analyse, Priorisierung und Automatisierung unterstützen. Sie ersetzt aber nicht die Verantwortung für Bewertung, Steuerung und Kontrolle. Unternehmen benötigen weiterhin qualifizierte Fachkräfte, die KI-gestützte Sicherheitssysteme einführen, betreiben, Ergebnisse validieren und neue Risiken einordnen können. Dazu zählen etwa fehlerhafte Klassifizierungen, Abhängigkeiten von Modellen, neue Angriffsflächen und der sichere Umgang mit sensiblen Daten.

Wissenstransfer muss vor dem Ruhestand beginnen

Aus der Studie ergibt sich ein doppelter Handlungsdruck. Unternehmen müssen bestehende Kompetenzlücken schließen und gleichzeitig verhindern, dass mit dem Ruhestand erfahrener Mitarbeitender kritisches Wissen verloren geht. Nachfolgeplanung, dokumentierte Prozesse, Mentoring, interne Schulungen und strukturierte Übergaben werden damit zu Bestandteilen der Sicherheitsstrategie.

Besonders kritische Rollen sollten frühzeitig identifiziert werden. Dazu gehören etwa Verantwortliche für Incident-Response, Backup- und Recovery-Prozesse, Identitätsmanagement, Netzwerksicherheit, Cloud-Security und zentrale Management-Systeme. Wer weiß, welche Expertise in den kommenden Jahren wegfallen könnte, kann Wissen rechtzeitig verteilen und Nachwuchskräfte gezielt aufbauen.

Für Unternehmen bedeutet das: Cybersecurity lässt sich nicht nur über Tools skalieren. Die technische Ausstattung bleibt wichtig, aber ohne kompetente Teams, klare Prozesse und gesicherten Wissenstransfer bleibt die Sicherheitsarchitektur anfällig. Der demografische Wandel macht diese Aufgabe nicht einfacher. Er sorgt nur dafür, dass Aufschieben künftig noch teurer werden dürfte.