Cybersecurity-Stellenanzeigen: 6 Wege, IT-Security-Profis abzuschrecken

Foto: tiffgraphic – shutterstock.com

Security-Analysten und -Experten sind rar gesät und mehr gefragt denn je. Schließlich kann kein CISO im Alleingang ein ganzes Unternehmen absichern. Im Rahmen des “The CISOs Report 2022” hat der Sicherheitsanbieter SpyCloud ermittelt, dass der Mangel an qualifiziertem Personal für CISOs das drängendste aller Probleme darstellt. Die Proofpoint-Studie “Voice of the CISO 2022” kommt darüber hinaus zum Ergebnis, dass die Hälfte der befragten CISOs die jüngst zunehmende Mitarbeiterfluktuation (Stichwort: ‘Great Resignation‘) als Hemmnis für den Datenschutz wahrnimmt.

Angesichts solch düsterer Perspektiven sollten CISOs umso mehr Wert darauflegen, mit ihren Stellenausschreibungen Bewerber nicht abzuschrecken. Das trifft auf Sie nicht zu? Gehen Sie lieber auf Nummer sicher.

6 Wege, Security-Fachkräfte fernzuhalten

Diese “Red Flags” in Stellenanzeigen erschweren es nach Meinung von Experten, Cybersecurity-Profis an Bord zu holen.

1. Keine tatsächlichen Verantwortlichkeiten

Security Analyst ist eine der gebräuchlichsten Jobbezeichnungen in der Cybersecurity-Branche. Seine inflationäre Verwendung in Verbindung mit der zunehmenden Reife von Sicherheitsorganisationen und -abteilungen hat der Bezeichnung eine generische Qualität verliehen, wie Vincent Nestler, Informatik-Professor an der California State University und Direktor des CSUSB Cybersecurity Center, unterstreicht: “Ein Security Analyst kann bei einem Unternehmen völlig andere Aufgaben haben als bei einem anderen. Infolgedessen gibt es auch unterschiedliche Verantwortlichkeiten. Wenn man also nur die Berufsbezeichnung verwendet, fragen sich die Bewerber, was der Job eigentlich beinhaltet.”

Nick Kolakowski, leitender Redakteur bei Dice Insights, präzisiert: “Im einfachsten Fall soll der Analyst die Infrastruktur des Unternehmens analysieren und auf dieser Grundlage Empfehlungen aussprechen. In größeren Unternehmen gibt es Analysten, deren einzige Aufgabe die Analyse ist – in kleineren Firmen implementieren sie zusätzlich auch Sicherheitslösungen.” Ihre Stellenanzeige sollte also genau definieren, was vom Bewerber in der betreffenden Rolle erwartet wird.

2. Unrealistische Anforderungen

Die Position des Sicherheitsanalysten ist eine Position für Berufsanfänger und oft die erste Position, die Arbeitnehmer beim Einstieg in die Cybersecurity einnehmen. Das erhöht die Hemmschwelle, sich zu bewerben, wie Tara Wisniewski, Executive Vice President für Advocacy, Global Markets und Member Engagement bei (ISC)², erklärt: “Das ist eine Herausforderung für Bewerber. Einige werden denken, nicht qualifiziert zu sein und von einer Bewerbung absehen. Ich lese in solchen Stellenanzeigen oft, dass die CISSP-Zertifizierung von (ISC)² vorausgesetzt wird – was bedeuten würde, dass die Bewerber mindestens fünf Jahre Berufserfahrung haben müssten.”

Auch der “Cybersecurity Hiring Guide” der Organisation weist auf dieses Problem hin. Demnach seien “unrealistische Stellenbeschreibungen für Berufseinsteiger eine der Hauptursachen für die Probleme von Unternehmen, Stellen im Bereich der Cybersicherheit zu besetzen”. Als Lösung schlagen die Autoren eine bessere Zusammenarbeit von Personalverantwortlichen und HR-Abteilung vor.

3. Fokus auf veraltete Technik

Security-Analysten sollten die für ihre Arbeit erforderlichen Technologien verstehen, keine Frage. Allerdings können Stellenanzeigen, die Kenntnisse oder Erfahrungen mit bestimmten Technologien oder Anbietern fordern, abschreckend auf ansonsten gut geeignete Bewerber wirken. Laut Informatik-Professor Nestler sei es produktiver, nach Bewerbern zu suchen, die sich mit bestimmten Technologieklassen auskennen – statt auf Erfahrungen mit einem bestimmten Anbieter abzustellen: “Die Frage ist doch, ob der Bewerber über die richtigen Grundkenntnisse verfügt.”

Andere, wie Ben Johnson, CTO und Mitbegründer des Softwareunternehmens Obsidian Security, warnen davor, den Fokus in Stellenbeschreibungen zu sehr auf ältere Technologien zu legen: “Der Großteil der Bewerber möchte mit den neuesten und besten Technologien arbeiten. Einige Spitzenkandidaten könnten sich trotzdem bewerben, wenn der CISO mit einer Umstrukturierung wirbt, um alte Technologien loszuwerden.”

4. Zu hohe Anforderungen

Eine unverhältnismäßig lange Liste bevorzugter oder erforderlicher Skills, Erfahrungswerte und Abschlüsse kann Bewerber nachhaltig abschrecken, wie Jason Rebholz, CISO von Corvus Insurance, weiß: “Unrealistische Erwartungen und Qualifikationen sind grundlegende Probleme. Personalverantwortliche neigen dazu, eine unerreichbare Liste von Anforderungen, die sie für notwendig halten, für die Stelle aufzustellen. Bewerber sehen das und fühlen sich nicht angesprochen.”

Lucia Milica, Global Resident CISO bei Proofpoint, stimmt zu: “Viele Sicherheitsverantwortliche schreiben Stellenanzeigen für ihre Traumkandidaten – statt zu beschreiben, was sie tatsächlich von einer Person erwarten, um in der jeweiligen Rolle erfolgreich zu sein. Das wird viele gut qualifizierte Kandidaten davon abhalten, sich zu bewerben.”

Besonders problematisch sei das für Unternehmen, die Geschlechtergleichheit in den eigenen Reihen schaffen wollten, so die Managerin: “Studien haben belegt, dass sich Frauen im Allgemeinen nur auf Stellen bewerben, wenn sie alle oder die meisten der aufgeführten Qualifikationen besitzen.”

Jon Check, Executive Director of Cyber Protection Solutions bei Raytheon Intelligence & Space, vermeidet deshalb in seinen Stellenanazeigen die Wörter “muss” und “soll”, um zu verhindern, Kandidaten dadurch abzuschrecken: “Sind all diese Erfordernisse wirklich zwingend notwendig? Stattdessen sollten Sie vermitteln, dass jeder willkommen ist – auch diejenigen Bewerber, die vielleicht nicht das haben, was traditionell als die “richtige” Zertifizierung gilt. Im nächsten Schritt stellen Sie für nicht vorhandene Skills einen Weiterbildungsplan auf.”

5. Unrealistische Aufgabenbereiche

Ähnlich verhält es sich mit Stellenbeschreibungen für Cybersecurity-Analysten, die eine umfangreiche Liste von Skills erfordern, weil die Position zu viele Bereiche abdeckt, so Milica: “Ich habe Stellenanzeigen für Security Analysts gesehen, die Verantwortlichkeiten für Governance, Risk und Compliance beinhaltet haben. Das erfordert allerdings wieder völlig andere Fähigkeiten als die Position eines Analysten und bringt genug Arbeit für eine eigene Rolle mit sich – ist also möglicherweise ein Hinweis auf zu hohe Arbeitsbelastung oder gar Unterbesetzung. Auf Bewerber wirkt eine zu umfangreiche Liste von Verantwortlichkeiten abschreckend.”

Eine weitere “Red Flag” für Bewerber: Jede Formulierung, die so klingt, als müssten die Mitarbeiter immer verfügbar sein. Stellenbeschreibungen sollten nicht den Eindruck erwecken, dass Security-Profis rund um die Uhr auf Abruf bereitstehen müssen – und die Abteilung auch entsprechend strukturiert sein: “Sicherheitsmitarbeiter wollen etwas bewirken, aber nicht rund um die Uhr arbeiten”, meint Johnson.

6. Keine Infos zu Aufstieg und Weiterentwicklung

Eebenfalls abschreckend für Bewerber ist, wenn Angaben zu den Möglichkeiten, die mit dem Job des Sicherheitsanalysten verbunden sind, fehlen, insbesondere in Hinblick auf Aufstiegsmöglichkeiten. “Die Rolle des Sicherheitsanalysten hat auf Dauer hohes Burnout-Potenzial. Bewerber wollen wissen, wie sie sich weiterentwickeln und beruflich vorankommen können”, meint Rebholz.

Für Manager, die Talente rekrutieren und binden wollen, sei es deshalb besonders wichtig, ihren Sicherheitsteams Schulungen und berufliche Weiterbildungen anzubieten. “Es ist vielleicht kein Ausschlusskriterium, wenn es nicht in der Stellenbeschreibung selbst steht, aber wenn es auch im Bewerbungsgespräch nicht angesprochen wird, ist das ein Problem. Bewerber möchten sehen, dass Unternehmen proaktiv über diese Dinge sprechen.” (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.