Fachkräftemangel in der IT-Sicherheit: Alte Verhaltensmuster überdenken und Diversität fördern

Kriminelle Cyber-Angriffe auf Unternehmen nehmen deutlich zu. Der Angriff auf Kaseya vor gut einem Jahr sowie der jüngste Vorfall bei der IHK zeigen, Organisationen, ob groß oder klein, können ein Ziel für Hacker sein. Dabei wird ihre Vorgehensweise immer raffinierter. Der Stellenwert der IT-Sicherheit war nie höher und die Fähigkeit, Fachkräfte zu finden nie entscheidender. Welche Lösungen gibt es?

»manage it« hat mit Tanja Hofmann, Lead Security Engineer bei Trellix, genau über dieses Problem gesprochen. Neben ihrem persönlichen Werdegang und hilfreichen Tipps, wie Unternehmen den Talent Pool vergrößern und neue Talente anziehen können, gewährt sie auch Einblicke in eine aktuelle Studie von Trellix, die sich mit dem Mangel an Cyber-Sicherheitsexperten und dessen Auswirkungen beschäftigt.


Vor kurzem hat Trellix eine Studie zum Fachkräftemangel und den fehlenden Kompetenzen in der IT-Sicherheit veröffentlicht. Können Sie uns kurz die Kernergebnisse der Studie vorstellen?

Trellix untersucht regelmäßig Bedrohungen und kritische Schwachstellen weltweit, dabei nehmen wir gängige Hard- und Software unter die Lupe und nutzen ein globales Netzwerk, um die kriminellen Cyber-Akteure zu verfolgen und zu identifizieren. Mit dem aktuellen Cyber Skills Gap Report wollten wir mal eine andere »Schwachstelle« beleuchten, denn nicht nur die immer komplexer werdende Bedrohungslandschaft stellt für Unternehmen eine enorme Herausforderung dar, sondern auch der Fachkräftemangel. Er hat gravierende Auswirkungen auf die IT- und damit auch die Cyber-Sicherheit. Das zeigt das Kernergebnis unseres »Cyber Skills Gap» Reports: demnach gefährden fehlende Fachkräfte in 85 % aller Unternehmen die Cyber-Sicherheit. Das war auch für uns eine erschreckende Bilanz.

Hinzu kommt, dass fast ein Drittel der befragten Cybersicherheitsexperten mit dem Gedanken spielt, das Berufsfeld zu wechseln. Darüber hinaus war für uns auch wichtig herauszufinden, was aus Sicht der Teilnehmer dazu beitragen kann, den Fachkräftemangel zu entgegnen und Karrieren in der IT-Sicherheit attraktiver zu gestalten. Als entscheidende Faktoren wurden hier eine höhere Investition in Aus- und Weiterbildungen, mögliche Zukunfts- und Karrierechancen sowie die Förderung von Diversität genannt.

 

Tanja Hofmann, Lead Security Engineer bei Trellix

 

 
Eine große Mehrheit ist also der Meinung, dass der Fachkräftemangel die Sicherheit in Unternehmen gefährdet. Der Zeitpunkt ist denkbar schlecht, denn die Bedrohungslandschaft wird aufgrund der Situation in der Ukraine, der zunehmenden Digitalisierung sowie einer steigenden Anzahl krimineller Gruppierungen immer komplexer. Wie müssen sich Unternehmen Ihrer Meinung nach jetzt aufstellen?

Eine umfassende IT-Sicherheit besteht aus zwei Faktoren: Mensch und Technologie. Nur durch das perfekte Zusammenspiel der beiden hat ein Unternehmen die Chance, sich gegen die hohe Komplexität der Cyber-Bedrohungen und zunehmende Raffiniertheit der kriminellen Akteure zu behaupten. Wir nennen diesen Ansatz auch »Living Security».

Schaut man sich den Faktor Mensch an, gibt es doch einige Wege und Möglichkeiten, wie Unternehmen dem Mangel an Fachpersonal begegnen können.

Die Förderung von Aus- und Weiterbildungen von Kenntnissen und Fähigkeiten sowie Unterstützung bei der Zertifizierung sind sehr wichtige Kriterien, um mehr Spezialisten für den Cybersecurity-Bereich zu gewinnen, dieser Meinung sind auch die Teilnehmer unserer Studie. Betrachtet man die Teamzusammenstellung, so ist hier von Diversität und Vielfalt oft keine Spur. Das ist ganz klar verschenktes Potenzial. Mein Appell an alle Unternehmen ist: Seid offen, überdenkt alte Verhaltensmuster und fördert Diversität für mehr Produktivität, Innovationskraft und eine zeitgemäße Cyber-Sicherheit.

Mehr Wertschätzung und Anerkennung der Arbeit sind weitere Stichworte. Nicht nur für neue Talente, sondern auch für die bestehende Belegschaft. Sonst drohen Frust und Kündigung. Wie unsere Befragung zeigt, sind immerhin 30 % gewillt, ihren Job zu kündigen und Karriere in einem anderen Bereich zu machen. Das kann aus meiner Sicht neben fehlender Wertschätzung noch weitere Gründe haben, zum einen steigt der Druck auf das Cyber-Sicherheitspersonal, denn die Zahl der Angriffe und die Cyber-Gefahren steigen deutlich und kriminelle Akteure und Gruppen gehen immer raffinierter vor. Zum anderen sind viele IT-Teams nicht mit zeitgemäßen Tools und Systemen ausgestattet, um eine hohe IT-Sicherheit gewährleisten zu können, Bedrohungen frühzeitig zu erkennen und die richtigen Maßnahmen schnell in die Wege zu leiten.

Hier kommt der Faktor Technologie ins Spiel: Die Technologie hat sich im Bereich IT-Sicherheit deutlich weiterentwickelt. Virenscanner und Co. reichen für Unternehmen längst nicht mehr aus. Wir sprechen mittlerweile von Endpoint Detection and Response (EDR)-Plattformen und Extended Detection and Response (XDR)-Plattformen. Wobei XDR die Erweiterung von EDR darstellt und Daten aus unterschiedlichen Quellen, einschließlich Cloud-Sicherheit sammelt, analysiert und letztendlich Silos aufbricht, um einen umfassenden, transparenten Einblick und eine schnelle Erkennung und Eliminierung von Gefahren ermöglicht. Damit können Sicherheitsteam produktiver und effizienter arbeiten. Denn es geht bei der Frage, wie sich Unternehmen optimal aufstellen sollten nicht nur allein um den Fachkräftemangel, sondern auch um die Tools und Unterstützung, die Mitarbeitende erhalten, damit sie ihren Job richtig machen und für die Sicherheit des Unternehmens, der Mitarbeitenden, Kunden und Partner sorgen können.

 
Wie sie bereits angesprochen haben, sind Frauen in der IT und im Speziellen in der Cyber-Sicherheit immer noch eine Seltenheit. Wie sind Ihre Erfahrungen, warum haben Sie sich für diesen Bereich entschieden und was raten Sie Unternehmen, um für mehr Diversität zu sorgen?

Mich hat Technologie schon immer fasziniert. Es ist ein sehr vielseitiger und spannender Bereich und auf jeden Fall eine Branche, die nie stillsteht. Für den Bereich Security habe ich mich auch deshalb entschieden, weil ich etwas bewirken möchte. Mir war es wichtig, dass meine Arbeit sinnstiftend ist und etwas Gutes für die Gesellschaft beiträgt – auf die ein oder andere Art und Weise. Dass ich dabei als Frau in der Minderheit bin, hat mich wenig beeinflusst. Dennoch finde ich es schade, dass sich seit meiner Studienzeit noch nicht viel in dieser Hinsicht verändert hat. Die Bemühungen auf Seiten der Unternehmen sind spürbar, aber es ist auf jeden Fall noch deutlich Luft nach oben, sei das im Bereich der Geschlechtergleichstellung, die Vielfalt der Belegschaft oder die Schließung der Gehaltslücken zwischen verschiedenen demografischen Gruppen. Deshalb wünsche ich mir, dass auch durch den zunehmenden medialen und gesellschaftlichen Fokus auf mehr Vielfalt und Diversität, die Offenheit in Unternehmen weiter wächst und auch der Staat sich mehr für die Förderung für MINT-Berufe in Schulen und Hochschulen einsetzt.


Die Anforderungen an die IT-Sicherheit ändern sich ständig und damit auch die Kompetenzprofile von Fachkräften. Im Trellix-Report ist die Rede von einem »Cyber Skills Gap«. Welche Fähigkeiten müssen Unternehmen jetzt bei ihren Mitarbeitenden fördern und was sollten sie bei der Suche nach neuen Talenten beachten?

 Wenn der Talent Pool an Cyber-Sicherheitsfachleuten ausgeschöpft ist, dann müssen Unternehmen aktiv werden, um auch Kandidat:innen ohne klassischen Cybersecurity-Hintergrund zu gewinnen. Das Angebot und die Möglichkeiten an Aus- und Weiterbildungen sind im Bereich Security ausgezeichnet. Unternehmen sollten also auch potenziellen Talenten eine Chance geben, die vielleicht auf den ersten Blick nicht den »Perfect Match« ergeben.

Employer Branding ist hier auch ein gutes Stichwort. Und das sollte schon bei jungen, heranwachsenden Talenten beginnen – z. B. über Mentorenprogramme und Praktika an weiterführenden Schulen oder Hochschulen, um Präsenz zu zeigen und die Bekanntheit zu fördern.

Im Bereich Soft Skills sollten Cyber-Fachkräfte für mich insbesondere Folgendes mitbringen: Lernbereitschaft, Entschlossenheit, emotionale Intelligenz, Anpassungsfähigkeit, Teamfähigkeit und natürlich Leidenschaft für das, was man tut.

 
IT-Sicherheit hat einen neuen Stellenwert erreicht und gilt als integraler Bestandteil resilienter Unternehmen. Wie kann der Bereich davon profitieren und was bedeutet das für die Rekrutierung neuer Talente?

 In der Vergangenheit haben wir erlebt, welches Ausmaß Cyber-Angriffe für Unternehmen haben können. Der jüngste Angriff auf die Webseiten der IHK oder auch auf den IT-Dienstleister Kaseya zeigen deutlich, dass neben dem Klau wichtiger Daten, einer hohen Lösegeldforderung, auch ganze Existenzen davon abhängen können. Cyber-Sicherheitsfachleute sind gefragter denn je und ihre Tätigkeit geschäftsrelevanter als jemals zuvor. Daher freut es mich umso mehr, dass Cyber-Profis Spaß an ihrer Arbeit haben, so empfinden laut unserer Studie 92 % ihre Tätigkeit als sinnvoll, erfüllend und motivierend. Ein Ergebnis, das sicherlich nicht jede Unternehmensabteilung erreichen würde. Mehr als die Hälfte arbeitet in der Cyber-Sicherheit, da es sich um ein zukunftsorientiertes, dynamisches Berufsfeld handelt. Und dabei spielt auch die Freude an der Beschäftigung mit Trends und Entwicklungen eine wichtige Rolle. Die Bedeutung und Relevanz von IT-Sicherheit werden in den nächsten Monaten und Jahren weiter steigen. Das Berufsfeld bietet großartige Möglichkeiten und Karrierechancen.

Neben flexiblen Arbeitszeiten mit »Work from Anywhere«, sucht insbesondere die jüngere Generation nach Sinn und Erfüllung. Meiner Meinung nach können sie beides in der IT-Sicherheit finden. Denn die Sicherheit ist so wichtig wie nie zuvor. Genau diese Punkte gilt es für Unternehmen nach außen zu kommunizieren. Wer in der IT-Sicherheit arbeitet, der tut nicht nur für sein Unternehmen etwas Gutes, sondern auch für die Gesellschaft.

 


Illustration: © danjazzia/shutterstock.com