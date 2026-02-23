Stellenabbau ist eine kurzsichtige Reaktion, welche die eigentliche Qualifikationslücke verschärft.

Ein deutlicher Rückgang bei offenen IT-Stellen und steigende Arbeitslosenzahlen im IT-Sektor erwecken den Eindruck, der langjährige Fachkräftemangel in Deutschland sei überwunden. Doch der Schein trügt. ISACA, der globale Berufsverband für IT-Revisoren, Information Security Officer und IT-Governance-Experten, warnt davor, die aktuelle Marktlage falsch zu interpretieren [1]. Während Unternehmen aufgrund der angespannten Wirtschaftslage allgemeine IT-Projekte auf Eis legen und Stellen abbauen, wächst durch neue EU-Regularien ein akuter, nicht verhandelbarer Bedarf an hochspezialisierten Sicherheits- und Compliance-Experten – ein Paradox, das viele Unternehmen ignorieren.

Weniger Stellen, aber kein Ende des Mangels

Aktuelle Daten zeichnen ein auf den ersten Blick eindeutiges Bild: Laut dem Institut der deutschen Wirtschaft (IW) sank die Zahl der offenen IT-Stellen im Jahr 2024 im Vergleich zum Vorjahr um 26,2 Prozent. Gleichzeitig meldet die Bundesagentur für Arbeit (BA) im Januar einen Anstieg der arbeitslosen IT-Fachkräfte um 23,2 Prozent.

»Wir können noch nicht das Ende des Fachkräftemangels ausrufen. Was wir wirklich sehen, ist eine Verschiebung der gesuchten Profile. Der Bedarf an Expertinnen und Experten, welche die digitale Widerstandsfähigkeit eines Unternehmens sicherstellen, steigt weiterhin,« analysiert Chris Dimitriadis, Chief Global Strategy Officer bei ISACA.

Regulatorischer Druck erzeugt neuen, dringenden Bedarf

In dieser Phase der Zurückhaltung schaffen EU-Vorschriften Anforderungen, die Unternehmen nicht ignorieren können. Richtlinien wie DORA (Digital Operational Resilience Act) für den Finanzsektor, NIS2 für kritische Infrastrukturen und der EU AI Act verlangen von Unternehmen nachgewiesene Standards für Cybersecurity, Risikomanagement und KI-Governance.

»Hier liegt die eigentliche Schwachstelle«, warnt Dimitriadis. »Es geht nicht mehr darum, ob man in Cybersicherheit investieren soll, sondern wie man die richtigen Investitionen tätigt – von der Prävention über die Erkennung bis hin zur Reaktion und Wiederherstellung. Dies beginnt immer mit ganzheitlich ausgebildeten Fachkräften. Unternehmen, die jetzt falsche Entscheidungen zur Kostensenkung treffen, riskieren nicht nur schwerwiegende Auswirkungen durch Cyberangriffe, sondern auch hohe Strafen und den Verlust ihrer Betriebserlaubnis.«

Datenschutz-Lücken als existentielles Risiko

Wie groß die Diskrepanz zwischen Bedarf und Realität bereits ist, belegt die repräsentative »State of Privacy«-Studie von ISACA [1]. Sie zeigt, dass über die Hälfte (51 Prozent) der technischen Datenschutz-Positionen in Europa unbesetzt sind, während 44 Prozent der Teams sich als unterfinanziert bezeichnen. »Dieser Mangel an Ressourcen ist das direkte Ergebnis eines Henne-Ei-Problems. Ohne die richtigen Teams wird die Kosten-Nutzen-Analyse ungenau sein, und ohne Investitionen kann man nicht die richtigen Teams für diese Aufgabe zusammenstellen«, sagt Dimitriadis. »Ein einziger schwerwiegender Datenverstoß kann ein Vielfaches dessen kosten, was durch Personalabbau eingespart wurde – ganz zu schweigen vom Verlust des Kundenvertrauens.«

In Kompetenz statt in Krisen investieren

Durch die steigende Arbeitslosigkeit im IT-Sektor verschärft sich der Wettbewerb um attraktive Positionen. Arbeitgeber können es sich leisten, wählerischer zu sein und suchen vermehrt nach Kandidatinnen und Kandidaten, die nicht nur technische Fähigkeiten, sondern auch strategisches Verständnis und zertifizierte Expertise nachweisen können. ISACA unterstützt Unternehmen und Fachkräfte dabei, diese Herausforderung zu bewältigen. Der Fokus liegt darauf, die notwendigen Kompetenzen aufzubauen, um den neuen Anforderungen gerecht zu werden. »Dabei ist es ebenso entscheidend, das vorhandene Personal weiterzubilden, wie neue Expertinnen und Experten zu gewinnen. Führungskräfte müssen verstehen, dass die Stärkung der eigenen Teams der nachhaltigste Weg ist, um digitale Resilienz zu schaffen«, sagt Dimitriadis.

Anerkannte Zertifizierungen bieten hier einen klaren Fahrplan. Sie belegen nicht nur Fachwissen, sondern auch die Fähigkeit, dieses strategisch anzuwenden. Der Certified Information Security Manager (CISM) beispielsweise befähigt Fachleute, ein ganzheitliches Sicherheitsprogramm zu managen, das Geschäftsziele und regulatorische Pflichten in Einklang bringt. Der Certified Information Systems Auditor (CISA) bestätigt die Kompetenz, die Wirksamkeit von Kontrollen zu prüfen und so das Vertrauen in die digitalen Prozesse zu untermauern.

Chris Dimitriadis fasst zusammen: »Die entscheidende Frage für jedes Unternehmen lautet: Investieren wir jetzt gezielt in die Fähigkeiten unserer Teams oder später in die Bewältigung von Krisen? Die aktuelle Lage am IT-Arbeitsmarkt bietet die strategische Chance, genau hier die richtigen Weichen zu stellen. Anstatt einfach Personal abzubauen, können vorausschauende Unternehmen jetzt die Spezialistinnen und Spezialisten an sich binden und eigene Mitarbeitende qualifizieren, die für den Schutz vor Cyberrisiken und die Einhaltung neuer Regularien unerlässlich sind. Wer diese Gelegenheit nutzt, begreift Sicherheit nicht als Kostenfaktor, sondern als Wettbewerbsvorteil und Basis für vertrauensvolle Kundenbeziehungen und Partnerschaften.«

