Das SANS Institute stellt die Ergebnisse des „Cybersecurity Workforce Research Reports 2026“ vor. Die Cybersicherheitsbranche hat ein größeres Problem als nur den Personalmangel: Die bestehenden Mitarbeiter verfügen nicht über die erforderlichen Kompetenzen, um den heutigen Bedrohungen zu begegnen.
Auf der Grundlage von Antworten von fast 1.000 Fachleuten, Führungskräften und Personalverantwortlichen aus sechs Regionen weltweit zeigt der Bericht eine Branche am Wendepunkt:
- KI automatisiert die Einstiegsaufgaben, mit denen die nächste Generation von Cybersicherheitsexperten ausgebildet wurde.
- Die Einhaltung gesetzlicher Vorschriften erzwingt die dramatischste Umgestaltung der Personalbeschaffung seit Jahren.
- Die sich vergrößernde Qualifikationslücke führt zu realen, messbaren Sicherheitsversagen.
Zum ersten Mal in der dreijährigen Geschichte des Berichts haben Qualifikationslücken den Personalmangel als größte Herausforderung der Branche bei der Personalbeschaffung deutlich überholt. Auf die Frage, ob „nicht das richtige Personal“ oder „nicht genug Personal“ das größere Problem sei, nannten 60 Prozent der Unternehmen Qualifikationslücken als das größere Problem, während 40 Prozent einen Personalmangel angaben. Dieser 20-Punkte-Unterschied hat sich gegenüber den nur vier Punkten vor einem Jahr stark vergrößert und signalisiert einen grundlegenden Wandel in der Art und Weise, wie die Branche ihre Personal-Krise definiert.
„Es geht nicht mehr darum, Stellen zu besetzen“, fasst Rob T. Lee, Chief AI Officer und Chief of Research beim SANS Institute zusammen. „Unternehmen haben Fachleute. Aber diese Mitarbeiter sind überlastet, verfügen über zu wenige Ressourcen und können die Fähigkeiten, die sie benötigen, nicht entwickeln, weil sie zu sehr mit dem Tagesgeschäft beschäftigt sind. Die Branche muss aufhören, offene Stellen zu zählen, und stattdessen in die Kompetenzen der Mitarbeiter investieren, die sie bereits hat.“
KI verändert Cybersecurity-Workforce schneller als Compliance
Der Bericht dokumentiert einen Personalbestand im Umbruch. 74 Prozent der Unternehmen geben an, dass KI bereits Auswirkungen auf die Größe und die Aufgabenstrukturen ihrer Cybersicherheitsteams hat. Doch die Governance hinkt der Einführung weit hinterher: Nur 21 Prozent verfügen über ein umfassendes KI-Sicherheitskonzept, während sieben Prozent überhaupt keine KI-Richtlinien haben. Mehr als die Hälfte der Unternehmen (54 %) gibt an, über KI-Governance-Richtlinien auf dem Papier zu verfügen, doch nur 38 Prozent bieten ihren Mitarbeitern tatsächlich umfassende Schulungen zur KI-Sicherheit an.
Die Daten zeigen, dass sich KI in erster Linie auf die Effizienz auswirkt, nicht auf den Abbau von Arbeitsplätzen. Beinahe die Hälfte der Unternehmen berichten von einer verkürzten manuellen Analysezeit, und ebenso viele nennen Vorteile durch die Automatisierung von Arbeitsabläufen. Nur 16 Prozent berichten von einem tatsächlichen Personalabbau. Die strukturellen Auswirkungen reichen jedoch tiefer: Unter den Unternehmen, in denen sich die Rollenverteilung verändert hat, sind SOC- und Sicherheitsanalysten mit 32 Prozent am stärksten von Stellenabbau betroffen, gefolgt von Threat-Intelligence-Analysten mit 26 Prozent und Incident-Responder mit 22 Prozent. Dies sind genau die Einstiegspositionen, in denen die nächste Generation von Cybersicherheits-Führungskräften traditionell ihr Handwerk gelernt hat.
Gleichzeitig entstehen völlig neue Berufsgruppen. Unter den Unternehmen, die neue Stellen geschaffen haben, haben 34 Prozent Positionen für AI/ML-Sicherheitsspezialisten besetzt, 32 Prozent haben AI-Sicherheitstechniker eingestellt und 30 Prozent haben AI-Governance-Analysten beschäftigt. Rob T. Lee berichtete, dass er am 21. März mehr als 2.500 aktive Stellenanzeigen für AI/ML-Sicherheitsingenieure auf Jobplattformen gefunden habe – eine Kategorie, die vor drei Jahren noch kaum existierte.
Compliance entwickelt sich als Einstellungskriterium
Die dramatischste Veränderung gegenüber dem Vorjahr zeigt sich im Bericht bei den Auswirkungen der Regulierung. Im Jahr 2025 gaben 40 Prozent der Unternehmen an, dass regulatorische Vorgaben ihre Einstellungsverfahren beeinflussten. Im Jahr 2026 stieg dieser Anteil sprunghaft auf 95 Prozent an – ein Anstieg um 55 Prozentpunkte.
„Das ist eine ziemlich faszinierende Veränderung“, sagt James Lyne, CEO des SANS Institute. „Hier geht es nicht um eine geringfügige Anpassung an Compliance-Anforderungen. Unternehmen schaffen völlig neue Fachpositionen, strukturieren Teams entsprechend den regulatorischen Anforderungen um und müssen mit konkreten Konsequenzen rechnen, wenn sie dies nicht tun.“
Der regulatorische Druck kommt aus verschiedenen Richtungen. An der Spitze steht NIS2 mit 30 Prozent der Unternehmen, die Auswirkungen auf die Personalbeschaffung melden, gefolgt von CMMC mit 29 und DORA mit 26 Prozent.
Die Nachfrage nach neuen Fachkräften hat sich fast verdoppelt und ist im Jahresvergleich von 23 auf 53 Prozent gestiegen. Parallel dazu beschleunigt sich die Einführung von Rahmenwerken: 56 Prozent der Unternehmen nutzen mittlerweile NICE- oder ECSF-Personalaufbaukonzepte zur Definition von Cybersicherheitsrollen, gegenüber 46 Prozent im Vorjahr.
Die Qualifikationslücke führt zu messbaren Sicherheitsmängeln
Die Folgen der sich vergrößernden Qualifikationslücken sind längst keine Theorie mehr. Der Bericht belegt, dass 27 Prozent der Unternehmen konkrete Sicherheitsverletzungen erlebt haben, die eine direkte Folge von Kompetenzlücken in der Belegschaft waren. Der Fachkräftemangel führt zudem zu Projektverzögerungen (57 %), erhöhtem Burnout im Team (47 %), einer langsameren Reaktion auf Vorfälle (47 %), der Unfähigkeit, neue Technologien einzuführen (42 %), sowie eingeschränkten Monitoring-Möglichkeiten (42 %).
Budgetbeschränkungen (36 %) und Zeitdruck (21 %) machen 57 Prozent der Haupthindernisse aus, die Unternehmen daran hindern, diese Lücken zu schließen. 60 Prozent nennen Zeitmangel aufgrund der Arbeitsbelastung als ihr größtes Hindernis für Schulungen. Teams, die mit der Bewältigung operativer Notfälle beschäftigt sind, können einfach nicht innehalten, um die Fähigkeiten zu entwickeln, die sie benötigen, um mit den sich entwickelnden Bedrohungen Schritt zu halten.
Krise bei der beruflichen Weiterentwicklung gefährdet jüngere Fachkräfte
Unklare Karriereperspektiven haben sich als Einstellungshindernis verdreifacht und sind im Jahresvergleich von 9 auf 32 Prozent gestiegen, womit sie die drittgrößte Herausforderung für Unternehmen bei der Gewinnung von Talenten darstellen. Mit 31 Prozent rangieren sie zudem an dritter Stelle der größten Hindernisse für die Mitarbeiterbindung. Dennoch geben nur 24 Prozent der Unternehmen an, klar definierte und deutlich kommunizierte Karrierewege im Bereich Cybersicherheit anzubieten.
Unternehmen bauen ihre Strukturen von oben nach unten neu auf und stellen erfahrene Fachkräfte ein, um unmittelbare Anforderungen an Compliance und Kapazitäten zu erfüllen, anstatt in die Entwicklung von Nachwuchstalenten zu investieren. Führungskräfte und CISOs kontrollieren mittlerweile 53 Prozent der Einstellungsentscheidungen. Expertenpositionen (mit mehr als 15 Jahren Erfahrung) sind mit 27 Prozent am schwersten zu besetzen, und 55 Prozent der Einstellungen von Führungskräften dauern sechs Monate oder länger. Einstiegspositionen stellen dagegen mit nur vier Prozent nur minimale Herausforderungen bei der Personalbeschaffung dar.
Zertifizierungen überholen akademische Abschlüsse als wichtigstes Einstellungsmerkmal
In einer entscheidenden Verschiebung gelten Zertifizierungen mit 64 Prozent nun als die branchenweit führende Methode zur Kompetenzüberprüfung – noch vor Kompetenzbewertungen bei der Einstellung (49 %) und internen Bewertungen (48 %). Bei der Beurteilung von Mitarbeitern halten 58 Prozent der Unternehmen Zertifizierungen für sehr wichtig oder äußerst wichtig. Akademische Abschlüsse belegen hingegen mit nur 17 Prozent den letzten Platz unter den Einstellungsprioritäten.
Technische Fähigkeiten führen nun mit 55 Prozent alle Einstellungskriterien an, gefolgt von Berufserfahrung mit 46 Prozent, Einstellung mit 37 Prozent und Begabung mit 34 Prozent. Die Frage, die Personalverantwortliche stellen, hat sich von „Welche Qualifikationen besitzen Sie?“ zu „Können Sie Ihre Kompetenz unter Beweis stellen?“ verschoben.
Der Stress im Team steigt, da Burnout den Fachkräftemangel noch verschärft
61 Prozent der Unternehmen berichten von erhöhtem Stress in ihren Cybersicherheitsteams in den letzten zwei Jahren. Die Hauptursachen spiegeln die zentralen Ergebnisse des Berichts wider: Arbeitsbelastung und Personalmangel (46 %), Budgetbeschränkungen (40 %) sowie die Komplexität der Bedrohungen (40 %). James Lyne verwies auf neue Forschungsergebnisse zum Thema „AI Fry“, wonach Produktivitätswerkzeuge durch ständigen Kontextwechsel paradoxerweise das Burnout verstärken. „Ich spreche selten mit Teams, die nicht zu 100 Prozent ausgelastet sind“, sagte er dem Publikum. „Dies deutet auf ein erhöhtes Risiko hin, dem Führungskräfte mehr Aufmerksamkeit schenken müssen als in den vergangenen Jahren.“
Cybersicherheit – Empfehlungen des Berichts
Der Bericht von 2026 enthält neun strategische Empfehlungen für Führungskräfte im Bereich Cybersicherheit, darunter: Entwicklung eines Programms zur KI-Governance und Durchführung von grundlegenden KI-Sicherheitsschulungen für alle Mitarbeiter; Aufbau eines Pools an Nachwuchskräften, die durch strukturierte Mentorenprogramme und Jobrotationen für die Arbeit mit KI-Tools qualifiziert werden; Nutzung von Personal-Frameworks wie NICE, ECSF oder SCyWF zur Definition von Qualifikationsanforderungen; Schaffung und Stärkung von Karrierewegen für Mitglieder des Sicherheitsteams und einzelne Mitarbeiter; die Fähigkeiten des Teams zu validieren und zu dokumentieren, um regulatorische Anforderungen zu erfüllen; sowie die Entwicklung eines Plans zur Reaktion auf Cybervorfälle, der auch Stakeholder außerhalb des Sicherheitsteams einbezieht.
Info: Über den Report
Für den „2026 Cybersecurity Workforce Research Report“ von SANS | GIAC wurden weltweit 947 Teilnehmer aus sechs Regionen befragt: Nordamerika (56 %), Europa (16 %), Lateinamerika (14 %), Asien-Pazifik (7 %), Afrika (5 %) und dem Nahen Osten (2 %). Die Befragten setzen sich aus Führungskräften im Bereich Cybersicherheit/InfoSec (72 %), Fachkräften aus den Bereichen Personalwesen und Talentakquise (16 %) sowie Personen mit beiden Aufgabenbereichen (12 %) zusammen. Die Unternehmen reichen von kleinen Betrieben bis hin zu Konzernen mit mehr als 100.000 Mitarbeitern aus über 20 Branchen. Dies ist die dritte Ausgabe des Berichts.
#SANSInstitute
