BLOG | BÜRO DES CTO

Neuausrichtung des Fachkräftemangels im Bereich Cybersicherheit

Sam Bisbee Miniaturbild
Sam Bisbee
Veröffentlicht am 20. Oktober 2022

Die heutigen Gespräche über den Fachkräftemangel im Bereich Cybersicherheit führen zwar zu Aktivität, erzielen jedoch nur begrenzte Ergebnisse. Es vergeht kaum eine Woche ohne den nächsten Artikel, die nächste Studie oder den nächsten Social-Media-Thread, in dem die Krise beklagt wird. Stellenausschreibungen für Berufseinsteiger enthalten unerreichbare Höchstanforderungen bei einer Vergütung unter dem Marktdurchschnitt, Bewerber haben unangemessene Erwartungen an das, was sie im ersten Jahr nach der Uni tun werden, und Jobhopping und Burnout sind ebenso an der Tagesordnung wie auf dem breiteren technischen Arbeitsmarkt. Mittlerweile haben Hochschulen, Accelerators und Mentorenprogramme diese Marktchance auf sich gezogen und schleusen mehr „zielgerichtete“ Talente auf den Markt als jemals zuvor, oft mit der Aussicht auf eine explosionsartig steigende Nachfrage nach ihren Fähigkeiten in einer „aufregenden und lukrativen“ Karriere. Angesichts der Aufmerksamkeit und Investitionen, die ihm seit Jahren zuteil werden, sollte der Talentmarkt Anzeichen einer Korrektur zeigen, doch den meisten Berichten zufolge ist dies nicht der Fall.

Dies ist ein existenzielles Problem für die Sicherheit, denn obwohl Technologie eine entscheidende Rolle bei der Bereitstellung neuartiger und effizienterer Lösungen für Sicherheitsprogramme spielt, hängt die Fähigkeit eines Sicherheitsprogramms, diese Technologien zu bewerten, in sie zu investieren und sie zu operationalisieren, von der Verfügbarkeit qualifizierter Mitarbeiter an den richtigen Positionen ab. Technologie- und Sicherheitsanbieter haben den Markt überholt und bieten jedes Jahr größere Weiterentwicklungen an, die höhere Investitionen von Kunden erfordern, denen es schwerfällt, ihre Talente zu halten und mit der technologischen Ausbreitung Schritt zu halten. Dieser Trend wird durch den anhaltenden Trend abgemildert, dass Sicherheitsanbieter Managed Services gebündelt mit ihren Produkten anbieten und ihre Angebote für Kunden sofort und kostengünstig umsetzen können, was beiden Seiten zugutekommt. Für das Unternehmen besteht jedoch weiterhin die Herausforderung, diese Investitionen zu rationalisieren und den Schutzumfang im Zuge der Weiterentwicklung seiner Umgebung kontinuierlich neu zu bewerten. Dazu ist Fachwissen erforderlich, selbst wenn es sich nur um ein kleines Sicherheitsteam handelt, das ein Programm verwaltet, das vollständig aus Managed Services besteht.

Die makabren Witze über den „ungesund gestressten Sicherheitschef, der nie schläft“ klingen zwar immer noch wahr, aber es sind selten hochentwickelte Bedrohungsakteure oder Hollywood-Handlungsstränge, die den Schlaf verhindern. Es geht um menschliche Fragen, etwa, ob es mit dem Team gut läuft, ob es hat, was es braucht, ob die richtigen Leute die richtigen Rollen besetzen, welche neuen Rollen oder Leute benötigt werden, wie hoch die Glaubwürdigkeit des Teams bei vergleichbaren Organisationen ist, wie hoch die Glaubwürdigkeit des Leiters bei seinen Kollegen in der Geschäftsführung ist usw. Dies sind die Kosten einer Führungsrolle, die sich nicht nur auf die Führungsrolle im Sicherheitsbereich beschränken. Es widerspricht der Markterzählung und die Leute sind überrascht, wenn ich ihnen erzähle, dass ich häufiger erlebe, wie Sicherheitsführer sich gegenseitig Wirtschafts- und Managementbücher empfehlen, als technische oder sicherheitsrelevante Bücher. Ja, es gibt Diskussionen über den letzten vielbeachteten Datendiebstahl oder darüber, wie Kollegen technische Probleme lösen. Genauso oder sogar noch größer ist jedoch die Aufregung, wenn ein neuer Prozess, eine neue Teamstruktur oder eine neue Kommunikationsmethode vorgestellt wird, die erfolgreich war.

Wir haben einen Mangel an Sicherheitskompetenzen und Führungspersonal, nicht einen allgemeinen Mangel an Sicherheitstalenten. Dies verlangsamt die allgemeine Korrektur des Marktes für Sicherheitstalente, die wir im Interesse einer erhöhten Widerstandsfähigkeit in allen Unternehmen sehen müssen, nicht nur in den traditionellen Silos der 1%-Sicherheitsprogramme. Zum Beispiel:

  • Der rasch wachsende Pool an Sicherheitstalenten auf Einstiegsniveau kann nur dann zu einem positiven Ertrag geführt werden, wenn es Führungskräfte gibt, die diese Talente erkennen und fördern. Dies ist besonders wichtig, da viele Berufsanfänger und Berufserfahrene in parallelen Bereichen daran interessiert sind, ihre Karriere in den Bereich Sicherheit zu verlagern und so einen breiteren Talentpool mit größerer Berufsreife zu schaffen.
  • Das Sicherheitsprogramm darf nur dann erweitert werden, wenn es sich in den Geschäftskontext einfügt, um dessen Erfolg zu ermöglichen und zu diesem beizutragen. Dies erfordert ein breiteres Geschäftsverständnis und bessere Kommunikationsfähigkeiten, als man normalerweise von einem in eine Schublade gesteckten Leiter erwartet. Ohne diese Fähigkeiten sind das Programm und seine Wirksamkeit eingeschränkt.
  • Qualitativ hochwertige Mitarbeiter auf mittlerer und höherer Ebene werden sich eher von einem einfühlsamen Leiter angezogen fühlen, der ein Programm mit der Vision entwickelt, sie auf den Erfolg im Unternehmen vorzubereiten, und nicht von der Bereitschaft, reaktiv durch Stress und Hype dazu zu bewegen, noch ein weiteres „Büro für Risikoakzeptanz“ aufzubauen. Sie benötigen ein breites Spektrum an Verantwortungsbereichen und Erfahrung für die Arbeit im Team, aber auch für die Betreuung und Förderung der Nachwuchstalente. Der Sicherheitsleiter sollte dies nicht alleine tun, insbesondere wenn das Programm skaliert wird.
  • Sobald die Sicherheitsorganisation Nachwuchstalente der unteren, mittleren und oberen Ebene beschäftigt, ohne diese ständig zu stark durcheinanderzubringen, werden sich neue Chancen ergeben. Eine zukunftsfähige Organisation kann beginnen, Talente mit fortgeschrittenen, fachspezifischen Fähigkeiten opportunistisch anzusprechen, während sich ihre Entwicklung hin zu einem „1 %“-Unternehmen hinzieht. Erfahrene Fachkräfte mit Kenntnissen in den Bereichen Application und Cloud-Sicherheit sowie Bedrohungssuche und -modellierung werden weiterhin Mangelware sein, bis diese breitere Talentförderung solche Fachkräfte hervorbringt.

In den letzten fünf Jahren und mehr haben wir Fortschritte bei der Stärkung der Führungsrolle von Sicherheitsverantwortlichen in Unternehmen erlebt. Diese sind auf Regulierungen, eine Flutwelle von Unternehmensausgaben für Technologietrends wie Open Source, Cloud und Bring-your-own-Device, ein boomendes Ransomware-Geschäft sowie spektakulären Datenmissbrauch und unsichere Praktiken von Datenverwaltern in Unternehmen zurückzuführen. Dies erinnert an die Entwicklung, die Unternehmen mit ihren Finanzleitern durchmachten, nachdem der Sarbanes-Oxley Act (SOX) als Reaktion auf spektakuläre Unternehmens- und Finanzskandale in Kraft trat und ihr einzigartiger Standpunkt in der Chefetage und im Sitzungssaal an Bedeutung gewann. Die im Sicherheitsbereich eingeführten Maßnahmen haben noch nicht die Strenge von SOX erreicht. Die nächsten zwei Jahre werden zeigen, ob die Fortschritte der Sicherheitsverantwortlichen anhalten, unterstützt durch die anhaltende weltweite Ausweitung der Sicherheits- und Datenschutzvorschriften und die Aufmerksamkeit der Vorstandsetagen, oder ob sie sich verlangsamen oder umkehren, da das makroökonomische Klima die Unternehmen dazu zwingt, ihre Investitionen in Technologie und Sicherheit neu zu bewerten.

Wenn sich die Geschichte wiederholt, ist eine Verlangsamung oder Umkehr wahrscheinlich, da die Investitionen der Unternehmen in Sicherheit und Schutz typischerweise mit den Marktbedingungen korrelieren, auch wenn ihre Auswirkungen im Allgemeinen nicht korreliert sind. Ein Beispiel für diese Asymmetrie ist, dass die Budgets der Verteidiger mit dem Umsatz- oder Gewinnwachstum des Unternehmens schrumpfen, was vernünftig sein kann (Treuhänderverantwortung), die Finanzierung und Anreize der Angreifer hingegen nicht. Das Offensichtliche ist, dass dies geschieht, während die Rollendefinition der Sicherheitsverantwortlichen sowie die Verantwortung der Unternehmen und ihre persönliche Haftung öffentlich auf den Prüfstand gestellt werden. Es ist anzunehmen, dass ein gewisser Prozentsatz von Sicherheitsführern das Unternehmen oder die Position aufgeben wird, wenn eine Verlangsamung oder ein Rückschritt durch unerwünschte Antworten auf diese Fragen noch verstärkt wird, wodurch sich der Mangel an Sicherheitsführern verschärft und sich auf den breiteren Pool an Sicherheitstalenten auswirkt. Sicherheitsverantwortliche und ihre Unternehmen sollten sich die Mühe machen, diese Herausforderungen jetzt zu diskutieren – und nicht erst, wenn der Gegenwind am stärksten ist – um zu verstehen, wie sich die Rolle und Organisation der Sicherheitsführung entwickeln kann und was das für die Nachhaltigkeit des Programms und seiner Mitarbeiter bedeutet.