Der Wandel der Cybersecurity-Belegschaft 2026

Von Editorial Team | April 1, 2026

Man hört oft Statistiken über den Fachkräftemangel in der Cybersicherheit. Doch die Analyse der Cybersecurity-Belegschaft muss darüber hinausgehen. Was treibt die entscheidenden Veränderungen in diesem Bereich? So verändern eine Konvergenz von Faktoren wie KI, regulatorischem Druck und zunehmender Komplexität die Cybersecurity-Belegschaft im Jahr 2026.

Das Verschwinden der Lernschicht

Über Jahre hinweg folgten Cybersecurity-Teams einer recht vorhersehbaren Struktur. Junior-Analysten übernahmen Triage und repetitive Aufgaben, während erfahrenere Fachkräfte in Detection Engineering, Incident Response oder Governance wechselten. Mit der Zeit bauten Organisationen Fähigkeiten von Grund auf auf.

Dieses Modell beginnt sich 2026 zu verändern. Die Auswirkungen von KI auf Cybersecurity-Rollen werden häufig vor allem als Effizienzgewinn beschrieben: schnellere Triage, automatisierte Workflows und weniger manueller Aufwand. Doch dabei wird ein struktureller Effekt leicht übersehen.

Viele der Aufgaben, die heute automatisiert werden, fungierten in der Praxis als Lernschicht, über die Fachkräfte zentrale Cybersecurity-Kompetenzen aufgebaut haben. In größeren Organisationen bedeutete das häufig, dass Junior-Analysten über Alert-Triage und Incident-Investigation lernen konnten. In KMU sah das oft anders aus: Ein Netzwerkadministrator, Systemadministrator oder IT-Verantwortlicher baute Cybersecurity-Fähigkeiten schrittweise parallel zur Kernrolle auf.

Wenn diese Aufgaben reduziert oder entfernt werden, schrumpft damit auch die Umgebung, in der traditionell mittlere und spätere Kompetenzstufen heranwachsen konnten. Ein aktueller Bericht von SANS deutet darauf hin, dass KI bei vielen Organisationen Teamgrößen und Rollenstrukturen verändert.

Der klassische Lernweg—über Wiederholung und das schrittweise Entwickeln von Intuition—wird enger. Historisch hat gerade die Beschäftigung mit routinierter Arbeit vielen Praktikern dabei geholfen, eine starke Vertrautheit mit Umgebungen aufzubauen—eine Vertrautheit, die sich möglicherweise schwerer entwickeln lässt, wenn so vieles automatisiert ist.

Ein weiterer Punkt: Wenn Unternehmen Routineanalyse in der Sicherheit automatisieren, steigt die Nachfrage nach Praktikern, die Folgendes können:

KI-gestützte Ergebnisse validieren und einordnen
komplexe, mehrschichtige Umgebungen verstehen
innerhalb von Governance- und Compliance-Rahmenwerken operieren
KI-Systeme selbst absichern

Wenn KI manuellen Aufwand reduziert, Analysen automatisiert und „Rauschen“ herausfiltert, sollte das eigentlich helfen, den langjährigen Talentmangel in der Cybersicherheit zu entschärfen. Doch die Realität ist nuancierter. In gewisser Weise erodiert KI die alte Lernschicht und erhöht zugleich die Erwartung, dass angehende Fachkräfte andere Fähigkeiten mitbringen. Es geht weniger darum, dass Automatisierung Rollen ersetzt, sondern eher um einen strukturellen Wandel dessen, welche Skills knapp werden.

Regulierung hebt die Messlatte

Regulatorischer Druck bedeutet zunehmend, dass Organisationen strukturiert und auditierbar nachweisen müssen, dass sie:

Incidents erkennen und melden können
Risiken formal managen
mit klar definierten Governance-Strukturen arbeiten
konkrete Resilienzanforderungen erfüllen

Vor einem Jahr wurden Rahmenwerke wie NIS2 und DORA vielerorts noch interpretiert. Organisationen kartierten Anforderungen, prüften den Scope und verschoben strukturelle Änderungen. Diese Phase scheint sich dem Ende zuzuneigen.

Der erwähnte Bericht zur Cybersecurity-Belegschaft zeigt, dass regulatorische Anforderungen Einstellungsentscheidungen zunehmend beeinflussen. Das ist ein deutlicher Übergang von Unsicherheit hin zu konkreteren Erwartungen.

Organisationen schaffen inzwischen neue Spezialrollen, statt nur bestehende Funktionen auszubauen. Diese Rollen sind direkt an regulatorische Erwartungen gekoppelt, etwa:

Koordination der Incident-Meldung
Governance- und Verantwortlichkeitsstrukturen
Third-Party- und Supply-Chain-Risk-Oversight
Resilienztests und Dokumentation

Aktuelle Fachkommentare weisen zudem auf steigenden Druck auf CISOs hin. Ein Artikel argumentiert, dass in Großbritannien—wo Verantwortlichkeitsanforderungen zunehmen—mehr CISOs ihre Rolle niederlegen. Da es sich hierbei überwiegend um Kommentar- bzw. Meinungsbeiträge handelt, sollte dies eher als Risikosignal denn als eindeutig gemessener Trend verstanden werden.

Regulierung bewirkt, was sie bewirken soll: Organisationen müssen sich von ad-hoc-Sicherheit lösen und Prozesse rund um Risiko, Incident Response und Resilienz formal etablieren—und damit die Basis dessen erhöhen, was „gut“ bedeutet. Gleichzeitig ist dieser Übergang häufig nicht reibungslos und kann Workforce-Dynamiken beeinflussen. Compliance-Lücken sind inzwischen auf allen Ebenen spürbar, von großen Unternehmen bis zu KMU.

Komplexere Bedrohungen

Neben den Verschiebungen durch KI und Regulierung gibt es einen dritten Druckfaktor, der leicht übersehen wird: Angreifer passen sich an.

In den letzten Jahren haben viele Organisationen ihre Basissicherheit verbessert (unter anderem durch die regulatorischen Einflüsse, die wir bereits angesprochen haben). Grundkontrollen wie Endpoint Protection, E-Mail-Filterung, MFA und Netzwerksegmentierung sind heute verbreiteter als früher.

Statt auf offensichtliche Malware oder leicht erkennbare Techniken zu setzen, agieren Angreifer zunehmend so, dass sie weniger auffallen—zum Beispiel durch:

die Nutzung gültiger Zugangsdaten statt Exploits
die Verwendung legitimer Tools und Managementsysteme
das Einbetten in normale administrative Aktivitäten
das Verknüpfen vieler schwacher Signale, die erst im Kontext sinnvoll werden

Das Ergebnis sind nicht zwingend „fortgeschrittenere“ Angriffe im rein technischen Sinn. Aber es ist eine Verschiebung hin zu Angriffen, die mit klassischen Kontrollen schwerer zu erkennen sind, stärker vom Verständnis der Umgebung abhängen und bei Erfolg größeren Schaden verursachen können. In solchen Szenarien geht es weniger darum, Alerts möglichst effizient abzuarbeiten. Es geht darum, Verhalten im Kontext zu interpretieren. Das hat direkte Auswirkungen darauf, wie Teams strukturiert sind und welche Fähigkeiten benötigt werden.

Der Schwerpunkt verschiebt sich hin zu:

dem Verständnis, wie verschiedene Teile der Umgebung zusammenspielen
dem Erkennen, wann legitime Aktivitäten von erwarteten Mustern abweichen
Urteilsentscheidungen, wenn es kein klares Signal oder keine vordefinierte Regel gibt

Damit schließt sich der Kreis zur Lernschicht: KI reduziert die Menge an Routineanalyse—und nimmt damit potenziell viele Situationen weg, in denen dieses Kontextverständnis bisher aufgebaut wurde.

Die Lösung ist nicht, KI zurückzudrehen. Die Effizienzgewinne sind real und in vielen Fällen notwendig. Es bedeutet jedoch, dass Organisationen bewusster planen müssen, wie Fähigkeiten entwickelt und erhalten werden.

Wenn Erfahrung nicht mehr über Menge entsteht, muss sie über andere Mittel aufgebaut werden, etwa durch:

realistische Szenarien (z. B. Simulationen) statt ausschließlich gefilterter Outputs
strukturierte Investigation-Workflows statt reiner „Abnahme“ von Ergebnissen
Umgebungen, in denen Praktiker nachvollziehen können, wie Signale über Systeme hinweg zusammenhängen

Mit anderen Worten: Der Wechsel zu KI-unterstützter Sicherheit verändert die Rolle des Praktikers—und erhöht zugleich die Verantwortung der Organisation, sicherzustellen, dass das zugrunde liegende Verständnis nicht verloren geht. Das kann Investitionen in Training, Simulation oder strukturiertere Entwicklungspfade bedeuten.

Zusammen genommen deuten diese Verschiebungen auf etwas Grundlegenderes hin als einen sich wandelnden Arbeitsmarkt. Nicht nur die Cybersecurity-Belegschaft entwickelt sich weiter—auch das Modell, wie Fähigkeiten aufgebaut und bereitgestellt werden, wird neu definiert.

KI reduziert die Menge an Routinearbeit, während sie gleichzeitig die Basis dessen anhebt, was Praktiker verstehen müssen. Regulierung macht Sicherheit zu einer verantwortlich zu belegenden Funktion und verlangt strukturierte, nachweisbare Fähigkeiten. Gleichzeitig werden Bedrohungen kontextabhängiger—und Interpretation sowie Urteilsvermögen gewinnen weiter an Bedeutung.

Engpässe lösen, ohne zusätzlich einzustellen

Für sich genommen ist jeder dieser Faktoren beherrschbar. In Kombination entsteht jedoch eine Herausforderung, die viele Organisationen—insbesondere KMU—nicht allein durch Neueinstellungen lösen können. Bei DIESEC sind unsere Services auf reale Rahmenbedingungen und Restriktionen ausgelegt. Wir unterstützen Organisationen mit Expert-Services, unter anderem in den Bereichen:

SOC as a Service für kontinuierliches Monitoring und Response
Governance, Risk and Compliance (GRC) zur Ausrichtung der Sicherheit an regulatorischen Erwartungen
NIS2-Consulting zur Operationalisierung der Richtlinienanforderungen
Phishing-Simulationen zur Validierung der „Human Layer“-Resilienz

Wenn Sie mehr über diese Services erfahren möchten, kontaktieren Sie uns gerne.

Gepostet in DIESEC™ abgelegt unter compliance, Cybersecurity-Belegschaft, Cybersicherheit für KMU, DORA, Fachkräftemangel Cybersicherheit, Governance Risk & Compliance, KI in der Cybersicherheit, NIS2, security operations, SOC