Über unsere Interviewpartnerin
Adriana Timme ist Senior Recruitment Consultant bei Franklin Fitch Limited, einer auf IT-Infrastrukturtechnologie spezialisierten Personalberatung. In unserem Experteninterview diskutiert sie gemeinsam mit Dunya Oulatto den wachsenden Bedarf an Security-Talenten und Herausforderungen beim Anwerben und Halten der Mitarbeiter.
Wie eine aktuelle ISC2-Studie zeigt, fehlen weltweit mehr als vier Millionen Experten für Cybersicherheit– bei einer zugleich steigenden Anzahl an Sicherheitsvorfällen. Wie schätzen Sie die Entwicklung ein, dürfen wir auf eine Kehrtwende hoffen?
Leider erleben wir im Cybersecurity-Markt aktuell eine Diskrepanz zwischen der wachsenden Bedrohungslage und der Skill-Verteilung auf dem Arbeitsmarkt. Gewissermaßen haben wir, vereinfacht gesagt, mehr „Bad Guys“ als „Good Guys“. Während die Angriffsvektoren und Angriffsmöglichkeiten fortwährend mehr werden, kommt die Industrie kaum hinterher mit der Ausbildung von Fachkräften und dem entsprechenden Adaptieren an immerzu komplexer werdende Herausforderungen. Das beste Beispiel hierfür ist das Wachstum der Industrie 4.0: Immer mehr, noch vor wenigen Jahren manuelle Geräte, sind heutzutage an das Netz angeschlossen. Der Trend geht zum SmartHome und zur SmartFactory. Die Digitalisierung schreitet mit großen Schritten voran und bietet dem Angreifer eine nie dagewesene Vielfalt an Angriffsmöglichkeiten. Früher reichte eine gute Firewall aus, heutzutage braucht bereits ein mittelständisches Unternehmen schon fast ein eigenes Incident Response Team, um mögliche Angriffe auf die technische Infrastruktur abzuwehren. Eine Kehrtwende in diesem Sinne ist daher leider nicht zu erwarten. Positiv anzumerken ist allerdings, dass die Thematik IT-Sicherheit in der allgemeinen IT-Welt immer mehr an Bedeutung gewinnt und sich einer entsprechenden Beliebtheit erfreut. Zahlreiche Universitäten bieten IT-Sicherheit als Studiengang an und viele angehende Wirtschaftsinformatiker*innen lassen sich schon früh auf Cybersecurity spezialisieren. Auch Umschulungen und Zertifizierungen wie beispielsweise ein OSCP, CISSP oder vergleichbare Kurse werden bei bereits fertig ausgebildeten Netzwerkern*innen und Systemadministratoren*innen immer beliebter. Ein Anstieg an IT-Sicherheitsexperten ist daher durchaus zu vermerken und das Bestreben auf eine Kehrtwende auf dem Cybersecurity-Markt besteht.
Wie können Unternehmen den wachsenden Bedarf an Security auffangen? Gibt es Strategien, wie sie mit ihren bestehenden Teams der wachsenden Bedrohungslage die Stirn bieten können?
Ein absolut essenzieller Teil einer jeder Security-Strategie ist das vorausschauende Planen, das rechtzeitige Budgetieren und auch eine gewisse Flexibilität bezüglich der eingesetzten Lösungen. Man plant seine erste SmartFactory ans Netz zu nehmen? Super – zeitgleich muss man sich um die entsprechenden IoT- und Security-Fachkräfte kümmern. Auch wenn es aus finanzieller Sicht oft wie ein großes, nicht selten sechsstelliges Investment erscheint, ist das Einstellen einer – oder besser mehrerer – Fachkräfte in jedem Falle günstiger als das Ausbaden eines Cyber Angriffes. Vorsicht ist hier besser als Nachsicht. Dabei sind auch Flexibilität und Agilität in der Suche nach Fachkräften gefragt. Oft kommt man mit kreativeren Lösungen schneller an sein Ziel, als wenn man an dem festgefahrenen Anstellungsprozess festhält. Folgende Fragen sollten hier gestellt werden: Sollte ich statt einem Alleskönner nicht lieber zwei, sich ergänzende Experten engagieren? Ist ein passionierter Berufseinsteiger vielleicht sogar besser geeignet als ein perfekt ausgebildeter Experte? Lohnt sich das Outsourcen an einen spezialisierten Security-Dienstleister? Ist ein managed SOC eine Alternative zur in-House Lösung? Als spezialisierte Personalberaterin in diesem Markt bin ich es gewöhnt, auch beratend zur Hilfe zu sein, über das klassische Recruiting kann man hier oft schon nicht mehr sprechen. Meine Aufgabe besteht weniger darin den perfekten Kandidaten zu finden, als eine Übersicht zu liefern, was auf dem Markt möglich ist und mit den bestehenden Talenten und Ressourcen eine passende Lösung zu finden. Genauso besteht meine Arbeit auch darin, dem Kandidaten das passende Unternehmen vorzustellen und das richtige Talent an den richtigen Ort zu bringen.
Abschließend sollte gesagt sein, dass wir aktuell einen Arbeitnehmer-dominierten Markt haben. Arbeitgeber müssen sich darauf einstellen, dem besten Kandidaten mehr zu bieten als es noch vor einigen Jahren der Fall war. Sobald ein Unternehmen diesen Umstand erkannt hat, kann man sich gemeinsam an eine passende Anstellungsstrategie setzen.
Knapp 90 % der Security Experten sind männlich: Woran liegt das? Und wie kann man es schaffen, dass mehr Frauen eine Karriere in der Cybersicherheit einschlagen?
Der Geschlechterunterschied in der IT – und insbesondere in der IT-Security – ist leider noch sehr groß. Der Beruf des Informatikers galt zum Beispiel noch bis vor wenigen Jahren als klassischer „Männerberuf“. Dieses „Stigma“ ist zum Teil dafür verantwortlich, dass die erfahrene Workforce in der Cybersecurity-Welt vorherrschend aus Männern besteht. Dieses Blatt scheint sich aber zu wenden: Internationale Initiativen wie All-female Hacking Competitions setzen sich seit Jahren dafür ein, dass sich mehr Frauen für IT interessieren. Als Sponsor der Cyberwomen setzt beispielsweise auch Franklin Fitch ein Zeichen für mehr Gleichberechtigung in der IT-Welt. Um diesen Weg zu ebnen und eine ausbalanciertere Geschlechterverteilung in der Cybersecurity zu erreichen, sollten Unternehmen darauf achten, dass sie beispielsweise mithilfe eines Gleichberechtigungsbeauftragten ein inklusives und offenes Arbeitsklima für alle Mitarbeiter schaffen. Meiner Meinung nach sieht man am Markt langsam aber sicher eine Verbesserung, was weibliche Verstärkung angeht und mit dem richtigen Einsatz wird es hier in den kommenden Jahren zu einer sichtbar ausbalancierteren Verteilung kommen. Bedauerlicherweise ist das Thema Frauenquote ein landesweites Thema, das sich nicht nur auf die IT bezieht. Schon von Kindesbeinen an müsste man die Rollenverteilung der Geschlechter gleichberechtigt gestalten, damit Mädchen von „Männerberufen“ nicht von vorneherein abgeneigt sind. Initiativen wie der Girls Day könnten hierbei hilfreich sein, wobei Unternehmen sich beispielsweise als Sponsor hierfür einsetzen können.
Welche Folgen hat der Fachkräftemangel für die CIOs? Können sie den wachsenden Anforderungen noch gerecht werden?
Als CIO sieht man sich mit immer größer werdenden Herausforderungen konfrontiert und oft sehe ich Führungskräfte mit einer 60 Stunden plus Woche daran verzweifeln, dem steigenden Druck gerecht zu werden. Dies geht auf lange Sicht selten gut und auch hier muss man als Unternehmen zeitnah eingreifen. Eine immer größer werdende Arbeitslast auf einzelne Leiter ist ein deutliches Zeichen, dass man hier eine zusätzliche Ebene an (Führungs-)Talenten installieren sollte. Um einer Überlastung, welche sich in einem Burn-Out oder in einer Kündigung materialisieren kann, zuvorzukommen, muss die bestehende Hierarchiestruktur eines Unternehmens neu gedacht werden. Nicht selten steht ein Unternehmen vor eben jener Herausforderung. Oft kommt es in dieser Situation zu einem Split, beispielsweise die Einführung eines Chief Information Security Officers (CISO) neben dem CIO oder auch ein IT- oder Information Security Officer, welcher den CIO unterstützt und an ihn berichten kann. Die steigenden Anforderungen sorgen dafür, dass bestehende Hierarchiestrukturen immer mehr hinterfragt werden und im Zuge dessen an die aktuellen Zeiten angepasst werden müssen.
Wie kann ein Unternehmen die richtigen und passenden Cyber Talente finden?
Um das richtige Talent und das benötige Skillset zu finden, reicht es leider nicht mehr eine sorgfältig ausformulierte Ausschreibung ins Netz zu setzen und sich aus zahlreichen Bewerbern einen passenden Kandidaten herauszupicken. Stattdessen muss man mit mehr Raffinesse und Feingefühl an die Arbeit gehen. Es fängt an mit der korrekten Ausschreibung und Platzierung der Ausschreibung und endet mit der Länge und Strukturierung des Bewerbungsprozesses. Eine Ausschreibung, welche vor Buzzwords strotzt, allerdings die eigentlichen Aufgaben nur vage umschreibt, geht oft unter. Mein Rat ist, lieber eine kurz-prägnante Aufgabenbeschreibung mit den entscheidenden Informationen wie Aufgabenbereich, hierarchische Einordnung und Arbeitsbedingungen. Viele Unternehmen begehen den Fehler, das Anforderungsprofil als eine Art Wunschliste für den idealen Kandidaten zu behandeln. Stattdessen sollte man sich auf die essenziellen Stichpunkte konzentrieren, die man bei der Position in jedem Falle benötigt ohne viel „um den heißen Brei herumzureden“. Dasselbe gilt auch für den Interviewprozess. Lange Interviewprozesse mit bis zu 5 Gesprächen wirken nicht nur abschreckend, sondern gelten auch als zeitliche Herausforderung. Oft ist ein präferierter Kandidat nach wenigen Wochen auf dem Arbeitsmarkt bereits woanders unter Vertrag. Bei einer erschöpften Marktsituation wie aktuell kommen Unternehmen oft nicht drumherum sich einen externen Spezialisten ins Boot zu holen. Eine exklusive Beauftragung des korrekt gewählten Headhunters kann hier oft Kosten sparen und eine effiziente und zeitnahe Besetzung garantieren. Wir setzen hierbei auf eine bewusste Vermarktung der Rolle in Expertenkreisen. Durch langjährig aufgebaute Beziehungen zu Experten und Spezialisten findet man oft schneller einen passenden Kandidaten als durch großflächige Ausschreibungen.
Wie kann ein Unternehmen seine Attraktivität für Cyber Talent erhöhen (und die Talente langfristig in der Firma -halten?)
Um die Attraktivität des eigenen Unternehmens zu stärken, sind gewisse Rahmenbedingungen für Kandidaten besonders wichtig. Neben flexiblen Arbeitszeiten (im Hinblick auf Incidents und Sicherheitsvorfälle konfrontieren IT-Security-Fachkräfte oft andere Arbeitszeiten als die meisten Mitarbeiter, dies sollte vertraglich anerkannt werden), gilt es auch eine entsprechende Außenwirkung sowie Initiativen zu zeigen. Ein gemeinsamer Konferenzbesuch, eine IT-Messe, ein jährlicher interner Hackathon oder das Einladen von Cybersecurity-Experten auf Firmentagungen sind für Kandidaten aus dem Cybersecurity-Bereich oft attraktiver als der Obstkorb und die firmeninterne Physiotherapeutin.
Weiter ist es wichtig den heißbegehrten Mitarbeitern, die regelmäßig attraktive Gegenangebote von Firmen und Recruitern vorgelegt bekommen, das Wissen zu geben, dass man Gehör bekommt, seine Expertenmeinung geschätzt wird und Security-Empfehlungen von seiner Seite umgesetzt werden. Entsprechende und fortwährende Mitarbeiter-Kommunikation ist hier ein wichtiger Baustein. Sei es die Investition in ein neues SIEM Tool oder Prozessoptimierung des Incident Response. IT Security ist eine ewige Baustelle, eine fortwährende Investition wert und sollte auch von der Geschäftsführung so behandelt werden. Fehlende Wertschätzung der IT-Sicherheit ist der mit Abstand häufigste Wechselgrund in unserem Markt und kann mit der richtigen Kommunikationsstrategie einfach verhindert werden.
Vielen Dank an Adriana Timme!
CyberCompare erhält keine Vergütung für diesen Beitrag. Falls Sie Interesse an einem Interview mit uns haben, freuen wir uns über eine kurze Nachricht an cybercompare@bosch.com
Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.
