5 Maßnahmen: So finden Sie Cybersecurity-Experten

Foto: Gorodenkoff – shutterstock.com

Personalberater sind derzeit ratlos: Verfügbare Cybersecurity Experten in Deutschland haben Seltenheitswert. Die Anzahl an Absolventen im relevanten Studiengang Informatik und den MINT-Fächern (MINT = Mathematik, Informatik, Naturwissenschaft) ist zu niedrig, als dass sie auch nur ansatzweise den Bedarf decken könnten. Gleichzeitig steigt die Nachfrage durch die Zunahme von Hackerangriffen, die wachsende Verwundbarkeit von Lieferketten und die sich dramatisch verändernde geopolitische Lage.

Das ist jedoch nicht nur ein deutsches Problem. Auch weltweit wächst die Nachfrage nach Cybersecurity Professionals deutlich stärker als das Angebot. Die jährlich veröffentliche ISC 22 Arbeitsmarktstudie (International Information System Security Certification Consortium) beziffert den Fehlbedarf für das Jahr 2022 auf weltweit rund 3,4 Millionen Fachkräfte im Bereich der Cybersicherheit. Damit hat sich die weltweite Lücke an Security-Fachkräften in diesem Jahr um mehr als ein Drittel vergrößert.

Allein für Deutschland prognostiziert die Studieeinen Fehlbedarf von rund 104.000 Beschäftigten. Im Vergleich zum Vorjahr ist das eine deutliche Zunahme. Die Schere geht immer weiter auseinander, vor allem, wenn man bedenkt, dass im Jahr 2021 lediglich rund 15.800 Informatiker/innen in Deutschland ihr Studium erfolgreich abgeschlossen haben.

Risiken für Cybersecurity im Unternehmen

Der Personalmangel führt dazu, dass die anfallende Arbeitslast von immer weniger Schultern getragen wird. Die Folge: die Bewertung und Überwachung von Prozessen kommt häufig zu kurz, kritische Systeme werden zu langsam gepatched und Mitarbeiter können aufgrund der engen Personalsituation nicht ausreichend geschult und qualifiziert werden. Für Unternehmen und Organisationen birgt das erhebliche Risiken.

Bestätigt wird dies durch die Ergebnisse der ISC22-Studie. Rund 70 Prozent der weltweit Befragten gaben an, dass ihre Organisationen nicht genügend Mitarbeiter im Cybersecurity Bereich haben, um effektiv arbeiten zu können.

Mehr als die Hälfte sind der Meinung, dass Personalmangel ihre Organisation einem erhöhten Risiko eines Cyberangriffs aussetzt. Im Vergleich zum Vorjahr hat sich die Situation damit noch erheblich verschärft.

Was hilft?

Die Situation ist mehr als angespannt, doch den Kopf in den Sand stecken hilft nicht. Trotz des eklatanten Engpasses verfügen Unternehmen über einige entscheidende Stellschrauben, um die Situation selber besser in den Griff zu bekommen. Denn zahlreiche Personalprobleme scheinen “hausgemacht” zu sein:

Cybersecurity wird nicht in allen Unternehmen und Organisationen hoch geschätzt, manchmal sogar eher als lästiges Übel behandelt. Das geht häufig zu Lasten der Attraktivität des Arbeitsplatzes und macht die Stellenbesetzung schwieriger. Personalverantwortliche haben es selber in der Hand, Faktoren wie zum Beispiel die Wertschätzung für die Arbeit der Cybersecurity-Experten, Aufstiegschancen, Höhe der Bezahlung, ein gutes Betriebsklima und Weiterbildungsmöglichkeiten zu beeinflussen.

Folgende fünf Maßnahmen können helfen:

1. Qualifizierung interner Talente

Jedes Unternehmen hat auch unerkannte Talente, die in der IT oder anderen Bereichen arbeiten und bislang zur Cybersecurity keinen Bezug hatten. Wirkungsvollste Maßnahmen in der betrieblichen Praxis sind Trainings und Schulungen, um insbesondere diese internen Talente zu qualifizieren. Das gelingt zum Beispiel durch Mentorenprogramme, wechselnde Arbeitsaufgaben oder die direkte Ansprache von Mitarbeitern im Unternehmen außerhalb der Cybersicherheit. Die Studie zeigt, dass insbesondere größere Unternehmen mit mehr als 1.000 Mitarbeitern damit sehr erfolgreich sind.

2. Stärkere Automatisierung

Der Personalmangel lässt sich auch durch Automatisierung wirkungsvoll abfedern. Die Automatisierung von Cybersecurity-Prozessen, die konsistent und wiederholbar sind, entlastet Mitarbeiter, die sich dann auf höherwertige Aufgaben konzentrieren können. Dadurch wird der Personalmangel verringert, ohne dass zusätzliches Personal benötigt wird.

Laut ISC22-Studie haben bereits 57 Prozent der befragten Unternehmen und Organisationen Bereiche der Cybersecurity automatisiert, weitere 26 Prozent planen dies für die Zukunft.

3. Verbessertes Recruiting

Verbesserungsmöglichkeiten gibt es auch beim Recruiting-Prozess von Bewerbern. Entscheidendes Erfolgskriterium ist die nahtlose Zusammenarbeit und Abstimmung der fachlichen Cybersecurity-Entscheidungsträger mit Mitarbeitern der Personalabteilung. Geht es um konkrete Einstellungen, können Cybersicherheits Manager nicht allein im “luftleeren” Raum agieren.

Die Studie zeigt, dass Entscheidungsträger, die eine enge Arbeitsbeziehung und Austausch mit ihrer Personalabteilung pflegen,weitaus seltener signifikante Personalengpässe in ihren Unternehmen haben. Die gelebte Praxis sieht laut Studie allerdings eher ernüchternd aus.

Lesetipp: Maßnahmen gegen den Fachkräftemangel in der OT-Sicherheit

4. Faktor Unternehmenskultur

Viel Potenzial wird auch verschenkt bei den Cybersecurity-Mitarbeitern, die bereits an “Bord” sind. Es ist einfacher und günstiger, bewährtes Personal zu halten als neue Mitarbeiter zu rekrutieren. Eine nicht zu unterschätzende Rolle spielt für die Bindung der Mitarbeiter die Qualität der Unternehmenskultur.

Mitarbeiter suchen nach Arbeitskulturen, die am besten zu ihrem Lebensstil passen. Das hat laut Studie zu einer erhöhten Fluktuation geführt. So gaben 21 Prozent der Befragten aus Nordamerika an, in den vergangenen 12 Monaten das Unternehmen gewechselt zu haben; dies ist ein Anstieg gegenüber 13 Prozent im Jahr zuvor.

Viele derjenigen, die in den letzten zwei Jahren ihren Arbeitsplatz verließen, nannten “klassische” Gründe wie eine höhere Bezahlung und bessere Aufstiegschancen. Die nächsten drei Gründe für die Kündigung des Arbeitsverhältnisses hängen mit den Bedingungen am Arbeitsplatz zusammen, nämlich negative Unternehmenskultur, Burnout und schlechte Work-Life-Balance beziehungsweise Arbeitsüberlastung. Insgesamt sahen nur 50 Prozent der Befragten eine hohe Wahrscheinlichkeit, dass sie in den nächsten fünf Jahren in ihrem aktuellen Unternehmen bleiben. Hier können Unternehmen einiges tun, um ihre Mitarbeiter zu halten.

Ein anderer Aspekt, der gerade in Zeiten der Pandemie an Bedeutung gewonnen hat: Flexible Arbeitsmöglichkeiten. Sie sind inzwischen zur Norm geworden. Die Pandemie hat die Art und Weise, wie die Arbeitnehmer arbeiten wollen, deutlich verändert. Laut Studie haben 55 Prozent der Befragten derzeit die Möglichkeit, ihren täglichen Arbeitsort flexibel zu wählen. 84 Prozent können zumindest teilweise von zu Hause aus arbeiten.

Wie wichtig dies für Mitarbeiter ist, zeigt, dass über die Hälfte der Arbeitnehmer angaben, dass sie einen Arbeitsplatzwechsel in Betracht ziehen würden, wenn sie nicht mehr aus der Ferne arbeiten dürften.

Lesetipp: So finden Sie Sicherheitsexperten

5. Chancen für Quereinsteiger

Sollten Neueinstellungen beabsichtigt sein, gibt es zwei wesentliche Marktentwicklungen zu bedenken: Einerseits gibt es zunehmend Chancen für junge Quereinsteiger und andererseits den Trend, Mitarbeiter mit hoher Problemlösungskapazität, praktischer Berufserfahrung und Know-how bevorzugt einzustellen.

Führte der klassische Karriereweg in die Cybersecurity bislang über eine IT-Karriere, hat sich das Blatt inzwischen gewendet. Gaben im Alter von 50 bis 54 noch rund 74 Prozent der Befragten an, eine IT-Karriere als Weg in die Branche genutzt zu haben, kommt fast die Hälfte der Mitarbeiter unter 30 Jahren mit einem Hintergrund außerhalb der IT-Branche in die Cybersecurity. Für die Rekrutierung jüngerer Talente werden Quereinsteiger immer wichtiger. Der klassische Weg über eine IT-Karriere wird abgelöst durch Fähigkeiten, die sich aus einem breiten Spektrum von Bildungshintergründen, Erfahrungen und Zertifizierungen ergeben.

Lesetipp: Was verdient ein IT-Security Manager?

In der Studie zeichnet sich ein starker Trend hin zu Erfahrungen und praktischen Fähigkeiten ab. Personalverantwortliche Cybersecurity-Manager legten insbesondere mehr Wert auf relevante Berufserfahrung (von 29 auf 35 Prozent), starke Problemlösungsfähigkeiten (von 38 auf 44 Prozent) und einschlägige Berufserfahrung im Bereich Cybersicherheit (von 31 auf 35 Prozent).

Was heißt das nun für die Rekrutierung? Ausgetretene Denkpfade verlassen, insbesondere bei jüngeren Nachwuchskräften nach “links und rechts” schauen. Die Bereitschaft zur Weiterentwicklung, generelle praktische Fähigkeiten neben schon vorhandenen fachlichen Qualifikationen höher bewerten.

Ähnliches gilt auch bei berufserfahrenen Mitarbeitern. Weniger auf Theorie und “Aktenlage” zu schauen, bringt häufig ein Mehr an Qualifikation. (jm)

Lesetipp: So beeinflusst die Rezession den Fachkräftemangel