Cyber Talent Gap

Wie man Investitionen in Cybersecurity-Talente priorisieren kann

Die Sicherheitsexperten von Rackspace, Scott Schlueter und Dave Baxter, erläutern in dieser Fragerunde Strategien zur Überbrückung der Talentlücke im Bereich Cybersicherheit.

Kürzlich setzten sich Scott Schlueter, Head of Security Solutions bei Rackspace, und Dave Baxter, Security Delivery Manager, zusammen, um über die Talentlücke im Bereich Cybersicherheit und ihre Auswirkungen auf das Unternehmen zu sprechen. Gemeinsam berichteten sie, wie proaktive Organisationen diese Herausforderung meistern und gaben einen Einblick in die Zukunft dieser Herausforderung. Sie betonten, wie wichtig es ist, widerstandsfähig zu sein, und gaben praktische Ratschläge zur Förderung von Talenten durch gezielte Weiterbildungsmaßnahmen, solide Schulungsprogramme und strategische Einsatzinitiativen.

 

F: Wie sieht es heute mit dem Mangel an Fachkräften im Bereich Cybersicherheit aus?

Scott Schlueter (SS): Es gibt immer noch einen erheblichen Mangel an Talenten in verschiedenen Bereichen der Branche. Dies ist dann der Fall, wenn die Unternehmen über zu wenig Personal verfügen und einen Ausweg finden müssen. Es ist auch wichtig zu wissen, dass viele Organisationen nicht einmal in der Lage sind, diese Lücke jederzeit wirksam zu schließen. Einige Stellen im Bereich der Cybersicherheit sind besonders schwer zu besetzen, vor allem in den Bereichen Architektur und Compliance-Beratung. Im Bereich der Architektur ist es von entscheidender Bedeutung, die Aufgabe zu definieren, bevor man ein sechsmonatiges Projekt beginnt. Ebenso kann es sein, dass ein Compliance-Spezialist einen bestimmten Zeitplan für die Einhaltung von Vorschriften einhalten und zu einem bestimmten Datum arbeiten muss. Für größere Unternehmen mag es praktikabler sein, einen Vollzeitmitarbeiter zu beschäftigen, aber für kleinere Unternehmen ist dies oft nicht der Fall. In solchen Situationen müssen Unternehmen möglicherweise auf Ressourcen anderer Organisationen zurückgreifen, was zu einer anhaltenden Talentlücke führt, für die keine klare Lösung in Sicht ist.

 

F: Wie wird sich der Mangel an qualifizierten Fachkräften im Bereich der Cybersicherheit wahrscheinlich entwickeln, und welche Muster haben Sie in Ihren Gesprächen mit Kollegen beobachtet?

SS: Das U.S. Bureau of Labor Statistics Occupational Outlook Handbook for Information Security Analysts besagt, dass die Beschäftigung von Informationssicherheitsanalysten von 2019 bis 2029 voraussichtlich um 31 % steigen wird - viel schneller als der Durchschnitt aller anderen Berufe. Im Zuge des technologischen Fortschritts und der Weiterentwicklung von Unternehmen steigt der Bedarf an qualifizierten Cybersicherheitsspezialisten ständig. Die Beschäftigungsaussichten werden in absehbarer Zukunft gut sein. Dies unterstreicht den dringenden Bedarf an Berufsanfängern, um der wachsenden Nachfrage gerecht zu werden. Und das sind sie.

Aber auch wenn immer mehr Menschen eine Karriere anstreben, dauert der Prozess des Aufstiegs von einer Einstiegsposition zu einer Führungsposition mehrere Jahre, oft bis zu einem Jahrzehnt. Es gibt also einen beträchtlichen Pool von Nachwuchskräften in der Branche und eine kleinere Gruppe hochqualifizierter, erfahrener Arbeitskräfte, bei denen die Nachfrage nach ihren Dienstleistungen konstant hoch ist und es viele Beschäftigungsmöglichkeiten gibt.

Dave Baxter (DB): Es ist ein bisschen wie der Trend zur Microsoft Certified Solutions Associate (MCSE) Zertifizierung in den 1990er Jahren. Die hohe Nachfrage nach zertifizierten Fachleuten veranlasste Microsoft damals, eine Reihe von Zertifizierungen einzuführen, die innerhalb von sechs Wochen erworben werden konnten. Infolgedessen stellten die Unternehmen vermehrt Personen mit MCSE-Zertifikat ein, obwohl diese über keine praktische Erfahrung verfügten. Der aktuelle Trend, dass Unternehmen Zertifizierungen den Vorzug vor praktischer Erfahrung geben, ist im Bereich der Cybersicherheit nur allzu bekannt.

Und es gibt einen ähnlichen Trend, der erwähnenswert ist: Vlogger in der Sicherheitsbranche werben dafür, innerhalb von 90 Tagen drei wichtige Zertifizierungen zu erlangen. Diese Experten haben ihre eigenen Erfahrungen, Tipps und Lernressourcen geteilt, um Einzelpersonen bei der Vorbereitung auf die CompTIA Security+, CEH und CISSP Prüfungen in einem kürzeren Zeitrahmen zu helfen. Sie betonen die Bedeutung von Engagement und praktischem Lernen und glauben, dass diese Zertifizierungen für den beruflichen Aufstieg in diesem Bereich wertvoll sind.

 

F: Welche Verantwortung hat der Einzelne, wenn es darum geht, die Sicherheit zu gewährleisten und sich für bessere Anreize oder Bindungsstrategien einzusetzen?

DB: Unternehmen, die in dieser Frage die Nase vorn haben, werden vorrangig in die Weiterbildung durch verschiedene Methoden investieren, wie z. B. Präsenzschulungen, Partnerschaften mit Agenturen und Anbietern, und sich mit branchenüblichen Gehältern auf dem Laufenden halten, um Talente zu binden. Selbstlernen und die Anpassung an neue Technologien spielen ebenfalls eine wichtige Rolle bei der Aufrechterhaltung der Fähigkeiten der Mitarbeiter, da sich unser Bereich ständig weiterentwickelt.

F: Welche Folgen hat es, wenn ein Unternehmen nicht aktiv wird und sich nicht um die Einstellung und Schulung von Mitarbeitern im Bereich der Cybersicherheit kümmert?

SS: Die ständige Weiterentwicklung der Cybersicherheit bringt neue Herausforderungen mit sich, wie z. B. die Sicherung der DevSecOps-Pipeline und die verantwortungsvolle Einbindung von KI. Diese Entwicklungen schaffen Möglichkeiten für den Einstieg in die Branche durch Weiterqualifizierung oder Abwanderung aus verwandten Bereichen wie der Datenwissenschaft.

DB: Das war im Grunde mein Weg hier in den letzten 10 Jahren. Ich wechselte von Risikobewertung, Kundenaudit, Compliance und Schwachstellenmanagement zum Management von Verschlüsselung und hybrider Cloud-Sicherheit. Ich musste mich ständig anpassen, auch wenn das nicht meine Spezialität war. Wir sagen immer gerne: "Echte Sicherheitsleute leben es, sie lernen es nicht nur".

SS: Ein guter Technologe lernt gerne ständig dazu und vermeidet Stagnation, indem er sich auf neue Bereiche konzentriert. Sie bemühen sich, auf dem Laufenden zu bleiben, indem sie sich auf Bereiche mit Wachstumspotenzial konzentrieren. Wenn Ihr Unternehmen keine neuen und innovativen Technologien einsetzt und nicht in das Wachstum der Sicherheit investiert, werden die Talente zu Unternehmen abwandern, die innovativ sind und investieren.

Ich kenne Organisationen, die zögern, flächendeckend Schulungen und Zertifizierungen anzubieten, weil sie befürchten, dass Mitarbeiter zu anderen Organisationen abwandern. Wenn jedoch Kenntnisse und Zertifizierungen im Rahmen aktiver Projekte erworben und übernommen werden, vermittelt dies ein Gefühl von angewandtem Wissen und Eigenverantwortung, das letztlich mit den Zielen eines Sicherheitsprogramms übereinstimmt. Führungskräfte sollten einen Weiterbildungsplan entwickeln, der die Bedürfnisse des Unternehmens mit den Lernwünschen jedes einzelnen Mitarbeiters in Einklang bringt, damit beide Seiten ihre Fähigkeiten verbessern und intelligent wachsen können.

 

F: Die Haushaltsmittel für die Sicherheit sind in den letzten Jahren drastisch gestiegen. Laut der Studie , die wir Anfang des Jahres mit 1.420 globalen IT-Entscheidungsträgern durchgeführt haben, haben 62 % der IT-Leiter ihre Budgets im vergangenen Jahr erhöht. Reicht dies aus, um Unternehmen und Organisationen angemessen vor Cyber-Bedrohungen zu schützen?

SS: In den vergangenen 10 bis 15 Jahren wurden die Sicherheitsbudgets oft nur nachrangig behandelt, während der Löwenanteil der Aufmerksamkeit auf die IT-Infrastruktur und die Anwendungen gelegt wurde. Dieses Versäumnis führte zu unzureichenden Sicherheitsmaßnahmen und machte die Unternehmen anfällig für Sicherheitsverletzungen. Da sich die Technologie und die Bedrohungen weiterentwickeln, sind Investitionen in die Sicherheit von entscheidender Bedeutung, und die Unternehmen müssen ihre Einstellung dahingehend ändern, dass sie der Sicherheit Vorrang einräumen, anstatt sie als nachträgliches Element zu behandeln.

Die Sicherheit kann nicht in der Verantwortung einer einzigen Abteilung liegen. Der versierte CISO wird seine Kollegen dazu anhalten, die besten Sicherheitsverfahren zu fördern. Sicherheitsverantwortliche werden auch von der Förderung der IT-Strategien anderer Abteilungen profitieren, indem sie Sicherheitsgelder zur Finanzierung von Plattform-, Daten- und Anwendungsinitiativen einsetzen, die das Unternehmensrisiko und die technische Verschuldung deutlich senken können. Innovative Investitionen bedeuten, dass die Sicherheit in alle strategischen Initiativen integriert wird und nicht nur ein weiteres Tool ist, das überlagert oder den Arbeitsablauf einschränkt.  

DB: Es zeichnet sich eine Verlagerung dahin ab, dass ein höherer Prozentsatz des Budgets für die Sicherheit aufgewendet wird, insbesondere bei Unternehmen, die mit sensiblen Informationen umgehen. Für Unternehmen ist es von entscheidender Bedeutung, Sicherheits- und Personalfragen Priorität einzuräumen, um sich und ihre Kunden zu schützen. Auf diese Weise können sie weiterhin Fortschritte machen und sich auf den Aufbau sicherer Systeme konzentrieren.

 

Join the Conversation: Find Solve on Twitter and LinkedIn, or follow along via RSS.

Stay on top of what's next in technology

Learn about tech trends, innovations and how technologists are working today.

Subscribe
Cybersecurity

Der Cybersecurity Forschungsbericht 2023

About the Authors

Scott Schlueter

Manager, Global Cloud Security Solutions

Scott Schlueter

Scott Schlueter has over 20 years of experience in information technology across diverse industries including higher education, enterprise and managed IT, and healthcare. As an Information Security expert specializing in security architecture and risk-based strategies maximizing security goals, he has become a dynamic leader and articulate communicator with a talent for building business processes with an emphasis on automation and fostering relationships among business units and principles. He is a certified information security professional with extensive experience in enterprise project management, mergers and acquisitions, and maximizing effectiveness of security controls.

Read more about Scott Schlueter