Talentmangel im Bereich Cybersecurity: Wie Ihr Unternehmen die Talentlücke überbrücken kann
Der Talentmangel im Bereich Cybersecurity ist real. In diesem Jahr werden 3,5 Millionen Stellen unbesetzt bleiben. Das stellt Unternehmen, die auf die Cloud umsteigen und die digitale Transformation vorantreiben, vor eine große Herausforderung.
Im Rahmen der IDG-Studie 2020 zum Cloud Computing gaben 30 % der Führungskräfte an, dass fehlende Cloud-Sicherheitskenntnisse die größte Herausforderung bei der Migration in die öffentliche Cloud und beim Betrieb in der Cloud darstellen. Der Wettbewerb macht es zudem schwer, Mitarbeiter einzustellen und eine erfolgreiche Mitarbeiterbindung zu gewährleisten. Darüber hinaus glauben 82 % der IT-Sicherheits- und C-Level-Führungskräfte, dass sie bei der Implementierung neuer Technologien und der Ausweitung ihrer Lieferketten mindestens eine Datenschutzverletzung erlebt haben. So wird es aufgrund des Talentmangels immer schwieriger werden, eine hochmoderne Sicherheits- und Technologiestruktur aufrechtzuerhalten.
Die Branche ist mit einer immer komplexer werdenden Landschaft aus Technologien, Compliance, Betriebsmodellen und sich entwickelnden Bedrohungen konfrontiert. Vor diesem Hintergrund wollen wir uns damit befassen, wie Sie Talente anziehen und binden und gleichzeitig die vorhandenen Ressourcen optimal nutzen können. Ich habe mit Owen Winn von der Rackspace Cloud Academy, Karen O'Reilly-Smith, Chief Security Officer von Rackspace Technology, und Ryan Smith, Product Evangelist bei Armor Cloud Security, gesprochen, um mehr über die Qualifikationslücke im Bereich Cybersicherheit zu erfahren und darüber zu diskutieren, wie sich diese schließen lässt.
Kreatives Vorgehen bei der Rekrutierung
Bei der Suche nach dem idealen Profil eines Cybersecurity-Mitarbeiters bietet Owen Winn einen nützlichen Praxischeck: „Den perfekten Sicherheitsexperten einzustellen, ist nicht realistisch.“ Er ist der Meinung, dass Unternehmen auf eine „solide Basis an technischen Grundlagen“ Wert legen und dabei eine „realistische Erwartungshaltung gegenüber praktischen Erfahrungen“ mitbringen sollten. Gleichzeitig sollten sie „praktische Erfahrungen, die durch Schulungen und Mentoren vermittelt werden, in den Vordergrund stellen“.
Aufgrund des starken Wettbewerbs ist der perfekte Kandidat allerdings nur schwer zu rekrutieren. So empfiehlt Karen O'Reilly-Smith, Chief Security Officer bei Rackspace Technology, bei der Einstellung über den Tellerrand hinauszuschauen. Unabhängig davon, ob sie interne Mitarbeiter oder Neueinstellungen in Betracht zieht, sucht sie zunehmend in der gesamten Branche nach Talenten – jemand, der technisch versiert ist, aber nicht unbedingt ein eingefleischter Techie.
Für Karen sind Persönlichkeitstypen ein wichtiger Faktor: „Haben die Kandidaten eine Vorliebe für Recherchetätigkeiten, ein analytisches Mindset und wollen tiefe Einblicke gewinnen? Wir kämpfen jeden Tag gegen unsichtbare Gegner. Dementsprechend suche ich jemanden, der nicht am Status quo interessiert ist, sondern jemanden, der Veränderungen bewirken möchte.“ Anstatt Menschen aus anderen Branchen zu ignorieren, rät Karen, sie willkommen zu heißen. Vielfalt bringt neue Perspektiven mit sich, die Agilität und Kreativität begünstigen können. Solche neuen Mitarbeiter sind selten so festgefahren wie manche, die schon lange im Sicherheitsbereich tätig sind.
Seien Sie außerdem ehrlich, was den Bedarf an Talenten und Erfahrung angeht. „Ich habe schon Stellenausschreibungen gesehen, in denen acht Jahre Erfahrung gefordert wurden, obwohl eine Technologie erst seit fünf Jahren auf dem Markt ist“, berichtet Ryan Smith. Die Festlegung falscher Standards ist laut dem Strategiebericht 2021 der IVSS und der ESG keine Seltenheit. Aber diese Tatsache und andere zentrale Faktoren (wie eine nicht wettbewerbsfähige Vergütung und die Tatsache, dass die Personalabteilung die Kompetenzanforderungen im Bereich der Cybersicherheit nicht versteht und dadurch starke Kandidaten ausschließt) behindern die Einstellungsbemühungen, bevor sie überhaupt beginnen.
Bestehende Talente begeistern
Neben der Suche nach neuen Talenten zur Erweiterung Ihres Teams erinnert uns Ryan Smith von Armor daran, dass „bestimmte Qualifikationen sehr gefragt sind“. So darf man nicht „die Augen davor verschließen, dass Personalvermittler hinter Ihren Talenten her sind“.
Gehälter und Möglichkeiten der Remote-Arbeit müssen zur Sprache gebracht werden, wenn vorhandene Talente an das Unternehmen gebunden werden sollen. Laut Ryan darf man auch nicht vergessen, dass es wichtig ist, den Mitarbeitern Tätigkeiten zu bieten, die sie als wertvoll und interessant empfinden: „Wenn sich jemand nicht herausgefordert fühlt, wird er sich einen anderen Job suchen.“
Wachstum muss nicht immer auf Fähigkeiten beruhen. Es kann auch bedeuten, dass man herausfindet, welche Teile des Sicherheitsprogramms von den Mitarbeitern übernommen werden können. Sicherheitsmitarbeiter sind in der Regel zielorientiert. So wird es sich später auszahlen, während des Einstellungsverfahrens diejenigen zu identifizieren, die Ihre Werte, Vision und Mission teilen. Idealerweise haben die Mitarbeiter von der Einstiegs- bis zur Führungsebene das Gefühl, dass sie einen Beitrag zu dieser Mission leisten. Und damit sie sich kompetent fühlen, müssen sie das Gefühl haben, dass ihre Ideen und ihre gedankliche Vielfalt Veränderungen bewirken.
Wie bereits vorhin erwähnt gilt auch in diesem Zusammenhang: Unterschiedliche Perspektiven sind für eine Organisation von großem Vorteil. Man sollte dieser Diversifizierung unbedingt Raum schaffen, anstatt neue Ideen zu unterdrücken, weil man etwas schon immer auf eine bestimmte Weise gemacht hat. Ein neuer Mitarbeiter könnte zum Beispiel feststellen, dass die Authentifizierung nicht mit der realen Benutzererfahrung in Einklang steht. Darauf muss mit einem Verbesserungsplan reagiert werden, nicht mit einem technischen Gegenargument über die Funktionsweise. „Wir brauchen Leute mit praktischer Erfahrung, um die Sicherheitsexperten in dieser Hinsicht ein wenig herauszufordern“, fügt Ryan hinzu.
Sinnvoller Einsatz von Automatisierung
Die Automatisierung bietet eine nützliche Lösung, um vorhandene Talente zu binden, indem sie von alltäglichen Aufgaben befreit werden. Karen rät in diesem Zusammenhang: „Automatisieren Sie Trivialitäten.“ Wenn Sie Ihr Team mithilfe von KI von Routinearbeiten befreien, können Ihre Mitarbeiter „ihre Neugierde nutzen, kreativ sein und sich der nächsten Herausforderung stellen, damit Ihr Unternehmen mit Wettbewerbern Schritt halten kann“.
Ryan merkt an, dass diese Vorgehensweise bereits bei Erkennungs- und Reaktionslösungen zu beobachten ist, wo Technologie zur Reduzierung des benötigen Zeitaufwands eingesetzt wird, um umsetzbare Antworten zu erhalten. Er warnt jedoch Unternehmen, die eine Automatisierung in Erwägung ziehen, nicht vorschnell falsche Schlüsse zu ziehen: „Diese neuen Tools sollen sich positiv auf Sicherheitsprogramme, Sicherheit, Leben und Teams auswirken. Aber wenn wir über Automatisierung sprechen, laufen wir Gefahr, dies mit dem Ersetzen von Menschen gleichzusetzen. Ebenso könnte man fälschlicherweise annehmen, dass Unternehmen nicht mehr auf menschliche Talente angewiesen sind. Aber genau dies trifft nicht zu. Beim Thema Sicherheit wird der menschliche Aspekt immer eine bedeutende Rolle spielen.
Das Wichtigste ist, worauf wir die Menschen ausrichten. „Durch die Automatisierung der Triage von Vorfällen und der Sammlung von Beweisen – Aufgaben, mit denen sich Einsteiger früher vielleicht herumschlagen mussten – können sich die Teams auf anspruchsvollere Aufgaben konzentrieren, z. B. auf die Erstellung von Playbooks, die Suche nach Bedrohungen sowie die Markteinführung neuer Sicherheitstechnologien“, erklärt Ryan. „So bleiben die Mitarbeiter engagiert und werden an das Unternehmen gebunden, weil sie an interessanten Projekten arbeiten, anstatt sich durch Protokolldateien zu wühlen, was ein Computer erledigen könnte.“
Erkennen, wann man Hilfe braucht
Schlussendlich ist für die Überwindung des Talentemangels ein strategischeres Vorgehen in Bezug auf Investitionen nötig. Nehmen Sie eine ehrliche Bewertung vor, wo Lücken bestehen und welche Ressourcen Ihnen zur Verfügung stehen, um den ständig wachsenden Herausforderungen zu begegnen. Nur so werden Sie verstehen, wo Sie Talente aus dem eigenen Pool nutzen können – indem Sie das Jobprofil durch neue Aufgabenbereiche ergänzen und vorhandene Fähigkeiten nutzen, die für den Sicherheitsbereich von Vorteil sein könnten. Sie werden ebenso herausfinden, wo Sie neue Mitarbeiter einstellen müssen. Technologieplattformen und Anbieter von Managed Services (MSPs) können beim Schließen verbleibender Lücken unterstützen.
Mit dieser Herausforderung sind Sie nicht allein. Fast 70 % der Unternehmen wenden sich an MSPs, um Qualifikationslücken zu schließen. Auch Geld spielt eine Rolle, fügt Karen hinzu und bemerkt freimütig, dass man „nicht in allen Bereichen Geld ausgeben kann“. Stattdessen rät sie dazu, auf die Aspekte zu achten, die für Ihr Unternehmen von zentraler Bedeutung sind. Das könnte z. B. die Architektur Ihres Sicherheitsprogramms sein, die Sie intern belassen könnten, während Sie Bereiche, die sich leichter auslagern lassen, an einen Partner vergeben. Unternehmen sollten jedoch nicht die billigste Option wählen, da sie sonst möglicherweise nicht die benötigten Fähigkeiten erhalten. „Wie bei der Bewertung von Talenten sollten Sie auch hier prüfen, wo die Expertise eines Partners auf dem Markt liegt“, empfiehlt Ryan. „Ein Grund für den Fachkräftemangel ist die Tatsache, dass sich neue Technologien schneller entwickelt haben, als wir Mitarbeiter ausbilden können, damit diese auf dem neuesten Stand der Technik sind und diese Anwendungen schützen können. Dementsprechend müssen Sie potenzielle Partner bewerten, um sicherzustellen, dass sie mit der Entwicklung Schritt halten.“
Karen betont, dass vor allem Ehrlichkeit im Mittelpunkt jeder Entscheidung stehen sollte. „CSOs wollen das Sicherheitsprogramm ihres Unternehmens voranbringen und Akzente setzen“, sagt sie. „Was Talente, Ressourcenknappheit und Fähigkeiten angeht, müssen sie jedoch realistisch sein und erkennen, dass ein Partner nur eine Erweiterung ihres Teams ist.
Globaler Bericht: Bewältigt die Cybersicherheit die wachsenden aktuellen Herausforderungen?
About the Authors
VP, Security Solutions
Gary Alterson
Gary Alterson is VP of Security Solutions at Rackspace. In this role he acts as GM for Rackspace’s security solutions focused on supporting digital transformations and cloud acceleration. Previously, Gary led Customer Experience and Services Product Management at Cisco Systems where he built professional, managed, and support services addressing cloud security and advanced threats. At Cisco and at Neohapsis, a nationally recognized cybersecurity boutique consultancy, Gary and his teams were instrumental in transforming enterprise and government security programs to effectively address shifting business models, emerging technologies, and the evolving threat environment. As a previous CISO and security architect, Gary has over 20 years experience on the front lines of security, protecting and responding to threats across multiple industries. Gary is often sought out to speak on secure digitization, cloud, and emerging technology security frameworks as well as enterprise security.
Read more about Gary Alterson