Im Bereich Cybersicherheit ist der Mangel an Fachkräften essentiell – und viele Verantwortliche bzw. Beschäftigte fühlen sich überlaste sowie ausgebrannt. Vor wenigen Stunden hatte ich noch den Beitrag Überlastete CISOs: Gartner sieht Bedrohung der IT-Systeme zu diesem Thema hier im Blog. Vectra AI hat sich ein paar Gedanken gemacht, warum Arbeitsplätze im Bereich Cybersicherheit unbesetzt bleiben – und wie Lösungen aussehen könnten. Ich stelle diese Informationen mal unkommentiert hier im Blog ein.
Anzeige
Die Bedrohungslandschaft entwickelt sich ständig weiter und die Technologie zur Cyberabwehr ändert sich regelmäßig. Eine Schlagzeile im Bereich der Cybersicherheit scheint sich jedoch nie zu ändern: "Wir brauchen mehr Leute." In den USA spricht das Weiße Haus unter Präsident Joe Biden den Fachkräftemangel in diesem Sektor mit substanziellen Maßnahmen an – es soll ein entsprechendes Ausbildungsprogramm aufgelegt werden. Angela Heindl-Schober, Vice President Global Demand Generation bei Vectra, meint dazu:
Es braucht aber mehr als eine kurze Anwerbeaktion im Sommer, um den Bedarf zu decken. Die USA – und auch andere Länder – befinden sich nicht in einer Situation, in der mit einer Pressemitteilung die Sache erledigt ist. Gefordert ist eine langfristige Personaloffensive.
Erstens geht es um den Bedarf. Er wird immer akuter, was einem Déjà-vu gleicht: War das nicht schon vor fünf, sieben, neun Jahren auf der Agenda? Ja. Das Ernüchternde ist aber, dass die Zahl der unbesetzten Stellen im Bereich der Cybersicherheit mit der Zeit nicht kleiner wird. Sie steigt weiter an.
Allein in den USA werden 700.000 Stellen für Fachkräfte im Bereich der Sicherheitstechnologie bis Mitte 2022 unbesetzt sein. Weltweit ist der ungedeckte Bedarf von 2013 bis 2021 um 350 Prozent auf 3,5 Millionen Arbeitskräfte gestiegen, so Cybersecurity Ventures. Die Marktbeobachter prognostizieren, dass selbst bei fieberhaften Einstellungen im Jahr 2025 immer noch 3,5 Millionen Stellen fehlen werden.Diese Berufe sind gut bezahlt und bieten großartige Karrieremöglichkeiten – ganz zu schweigen von der Möglichkeit, eine äußerst wichtige Arbeit zu leisten, um eine sicherere und gerechtere Welt zu schaffen. Warum klappt das nicht besser?
Mangel an Qualifikationen und andere Hindernisse
Anzeige
Ein Grund ist die Mischung aus beruflichen Fähigkeiten und Zertifizierungen, die heute häufig Einstellungsvoraussetzung sind. Noch vor wenigen Monaten erforderten etwa 106.000 offene Stellen im Bereich der Informationssicherheit in den USA eine Zertifizierung als Certified Information Systems Security Professional (CISSP) – laut CyberSeek gab es aber nur 90.000 CISSPs im ganzen Land. Zertifizierte Manager für Informationssicherheit? 40.000 Stellenausschreibungen, aber nur 17.000 Lebensläufe mit diesem Zeugnis – und die meisten dieser Leute sind wahrscheinlich bereits beschäftigt.
Ein weiteres wahrscheinliches Problem: talentierte, vielseitige Menschen, die die Sicherheitsbranche gerne zu einem Vorstellungsgespräch einladen würde, sind möglicherweise durch formale technische Anforderungen eingeschüchtert oder entmutigt. Es ist jedoch ein Irrglaube, dass 3,5 Millionen überqualifizierte CISSPs nötig sind. Vielmehr braucht die Cybersicherheit alle Arten von erfinderischen Systemdenkern. Ein Markenzeichen des Vectra AI-Ansatzes für die Entwicklung von Sicherheitslösungen ist der Aufbau vielfältiger, multitalentierter Teams, in denen beispielsweise Klimatologen und First Responder die Computerexperten ergänzen.
"Seien Sie nicht beunruhigt, wenn Sie nicht alle Zertifizierungen, Abschlüsse oder Fähigkeiten haben, von denen Sie glauben, dass sie in der Vergangenheit für den Cyberbereich erforderlich waren", erklärte Deborah Golden, U.S. Cyber and Strategic Risk Leader bei Deloitte in den USA. „In der heutigen Marktsituation ist eine größere Denkvielfalt erforderlich – und, ganz offen gesagt, mehr und andere Arten von Fähigkeiten und Hintergründen, um Lösungen zu finden."
Selbst, wenn Arbeitgeber eine bessere Mischung von talentierten Fachkräften finden, ist der Technologiesektor berüchtigt dafür, gute Leute zu verschlingen. Die Stabilitätsziele verlangen, auch das in Ordnung zu bringen. Stress und Burnout, Work-Life-Balance: Das sind echte Probleme. Das gilt vielleicht ganz besonders für den Bereich der Cybersicherheit, wo so viel auf dem Spiel steht. Die Branche sollte ebenso hart an der Mitarbeiterbindung wie an der Personalbeschaffung arbeiten und Arbeitsumgebungen schaffen, die den Menschen wirklich gefallen.
Eine öffentlich-private Kampagne zur Förderung von Nachwuchskräften
Es liegt auf der Hand, dass die Cybersicherheitsbranche ihre Möglichkeiten für hochqualifizierte Sicherheitsexperten besser vermarkten muss – ebenso wie für Menschen, die das Potenzial haben, in eine solche Rolle hineinzuwachsen. Die privaten Arbeitgeber müssen sich mehr Aufmerksamkeit von würdigen Kandidaten verdienen.
Cybersicherheit ist aber auch eine nationale Verteidigungspriorität. Es war schon immer ein hybrides Verteidigungsprogramm, bei dem die Regierung Standards und Doktrinen festlegt, während private Interessen innovativ sind. Beide verteidigen kritische Infrastrukturen. Da die Beteiligten miteinander verflochten sind, ist eine öffentlich-private Partnerschaft der beste Weg, um Arbeitsplätze zu besetzen.
Die jüngsten Nachrichten aus der US-Regierung sind daher vielversprechend, meint Heindl-Schober, Vice President Global Demand Generation bei Vectra. Im Juli kündigte das Weiße Haus Pläne an, die Schaffung von Hunderten weiterer Ausbildungsprogramme im Bereich der Cybersicherheit zu leiten und mit privaten Interessenten in einem 120-tägigen „Sprint" zusammenzuarbeiten. Dabei handelt es sich um eine Partnerschaft zwischen dem Arbeits- und dem Handelsministerium, anderen Bundesbehörden und dem Cyber Office des Weißen Hauses. Die Initiative soll Industrieverbänden, privaten Arbeitgebern und Gewerkschaften dabei helfen, gute Köpfe zu gewinnen.
Es handelt sich nicht um eine typische professionelle Talentsuche. Sie ist vielmehr einfallsreich und provokativ. Ein Teil der Initiative besteht darin, einen Lehrplan für die Hochschulbildung, das Cybersecurity Workforce Framework, so zu überarbeiten, dass er von Lehrern des primären und sekundären Bildungsbereichs verwendet werden kann.
Eine weitere Priorität ist die Bekämpfung des anhaltenden Mangels an Vielfalt im Bereich der Cybersicherheit, der die Herausforderungen im größeren, breiteren Technologiesektor widerspiegelt. Bei der Eröffnungszeremonie des Programms wies Susan Rice, Domestic Policy Director im Weißen Haus, darauf hin, dass nur 25 Prozent der Beschäftigten im Bereich Cybersicherheit Frauen sind; nur neun Prozent sind Schwarze, vier Prozent sind Hispano-Amerikaner. „Wir müssen es besser machen", sagte Rice. „Nicht im Dienste irgendeines Ideals, sondern weil Amerika sicherer und stärker ist, wenn wir alle an einen Tisch bringen."
National Cyber Director Chris Inglis glaubt, dass das Programm „in Monaten oder ein paar Jahren einen wesentlichen Unterschied machen kann, im Gegensatz dazu, dass uns das für die nächste Generation begleiten wird". Wie erhofft, handelt es sich nicht um eine kurzfristige Initiative. Inglis geht davon aus, dass die US-Bundesregierung in den kommenden Monaten eine umfassende nationale Strategie für Cyberarbeitskräfte vorlegen wird, die dringend nötig ist.
Der anhaltende Mangel an Cyber-Talenten bedeutet für alle ein unerwünschtes Risiko. Viele Cybersicherheitsunternehmen wie Vectra AI stehen bei der Entwicklung von Talenten der nächsten Generation an vorderster Front, und haben die Absicht, diese Position beizubehalten. Verantwortungsvolle Unternehmen nehmen das Burnout-Problem der Branche ins Visier und versuchen, dem entgegenzuwirken. Wenn Unternehmen in die Zufriedenheit ihrer Mitarbeiter investieren, werden sie effizienter und effektiver.
Was die Anwerbung von Talenten für die Cybersicherheit durch die US-Regierung angeht, stehen alle Beteiligten vor einem Marathon. Es ist nun an der Zeit, dass auch die Länder in Europa die Laufschuhe schnüren und sich auf den Weg machen, diese dringend benötigten Fachkräfte zu fördern."
Anmerkungen von meiner Seite: Es sind sicherlich einige sehr bedenkenswerte Ansätze in obigem Text. Solange aber die Anwender mit Schrottsoftware in der allgegenwärtig vorherrschenden Qualität beglückt werden, gleich das Ganze einem "Hase und Igel-Spiel". Ein großer Schritt wäre, wenn die Politik endlich eine Verpflichtung zum Support von Software und eine Art Haftung der Hersteller für Softwaremängel (und Sicherheitslücken sind Mängel) einführen würde.
Anzeige
> Eine weitere Priorität ist die Bekämpfung des anhaltenden Mangels an Vielfalt ..
Eine politisch korrekte Quotenregelung wird das Problem sicher nachhaltig lösen.
Aber klaro doch … :-)
Sieht man doch auch an der "besten" "Fortschritts-Koalition" aller Zeiten, hier bei uns … "Quote" bringt's! Aber so was von … (Auch "Minister der Herzen", ist so eine "fortschrittliche" Besetzungs-Qualifikation seit Neuestem …)
Und weiter im Artikel:
"Es handelt sich nicht um eine typische professionelle Talentsuche. Sie ist vielmehr einfallsreich und provokativ. Ein Teil der Initiative besteht darin, einen Lehrplan für die Hochschulbildung, das Cybersecurity Workforce Framework, so zu überarbeiten, dass er von Lehrern des primären und sekundären Bildungsbereichs verwendet werden kann."
Heißt übersetzt wohl:
Weiterhin – so wie die letzten 20 Jahre auch in D geschehen – die Leistungsanforderungen in der Ausbildung/Studium zur "Befähigung" (noch) weiter abzusenken … Wenn dann endlich jeder das Abitur schafft und jeder dann endlich zum Studieren "befähigt" ist, dann wird das mit Sicherheit die Quote der echten (!) Könner steigern … Doch, doch, dies wird so sein …
Es wäre wirklich wünschenswert, wenn man so langsam mal wieder einfach auf Expertise, Leistung und vor allem auf Können setzen würde. Und zwar in allen wichtigen Bereichen. Diejenigen, die es wirklich können, (!) sollen es machen – dann wird das auch (wieder) was …
Ach so ja, und natürlich:
Solche Menschen haben halt dann (zu recht) ihren Preis, der dann zu bezahlen ist – und bezahlt werden sollte, sonst drehen wir uns weiter im Kreis …
Was du am Ende schreibst ist es… Heute wird vieles noch im Beta-Status (wenn nich gar noch im Alfa) ausgeliefert und nach 2-3 Jahren wieder eingestampft. Updates gibt es selten. Viele KMU haben keine Ahnung von Bedrohungsschutz, geschweige denn Privatleute. Die heutige Art von Software auf den Markt werfen macht es boswilligen Absichten sehr einfach!
Solange das Primarziel max. Geld an Aktionäre etc. umzuleiten kann man das alles getrost vergessen.
Sicherheit kostet Geld in Form von Personal das sich ans Unternehmen gebunden fühlt und guten und reichlich Mitteln in Form von Hardware und Tools.
Dazu
a)
wir leben in Kriegszeiten was gerne ignoriert wird
und
b)
Produkte werden unter Marketing und Vertriebssicht entwickelt und nach Notwendigkeit im Markt.
Als Bonus dann noch Sabotage durch Geheimdienste und schon will man nur nochnwas mit Blumen machen (Zitat hier aus einem Kommentar.)
Gruß
Fehlt bei b) nicht das Wörtchen "nicht" bzgl. Notwendigkeit im Markt?
ja das nicht fehlt
danke
"Ein großer Schritt wäre, wenn die Politik endlich eine Verpflichtung zum Support von Software und eine Art Haftung der Hersteller für Softwaremängel (und Sicherheitslücken sind Mängel) einführen würde."
Da besteht durchaus die Frage, wie weit die Produkthaftung reichen soll. Das betrifft vor allem Anwendungen, die sich anpassen lassen: Betriebssysteme, ERP-, CRM-, vPBX-Software, … Application Support ist kein Bereich, der sonderlich attraktiv ist, weil auch schon der IT-Support (zumindest im 1st-Level und teilweise auch im 2nd-Level) kein Anziehungsmagnet für potenzielle Mitarbeiterinnen und Mitarbeiter ist.
Eine Ausweitung der Produkthaftung würde unweigerlich das Ende von "agiler" Softwareentwicklung, Scrum und Co. bedeuten. Das begrüße ich durchaus.
Denkt man das weiter, müsste allein Microsoft ein komplett neues Betriebssystem und womöglich auch eine neue Office-Suite entwickeln, will es für derartige Mängel nicht haften müssen.
Es fehlen ja nicht nur IT-Sicherherheitsspezialisten, sondern auch ganz "normale" Admins. Auch da ist der Markt ziemnlich leergefegt. Als Spezialist hat man da momentan die besten Karten, man kann sich die Stellenangebote aussuchen. Es ist eine Frage was man verdienen will und wieviel Verantwortung man übernehmen will… Mit genug Erfahrung kann man es sich aussuchen.
ich denke bei den Stellenausschreibungen oft, wenn die schon in der Ausschreibungen die Produkte vorgehen, wie soll ich dann mit dem Kram Security machen?
Gewisse Sachen sind halt alternativlos. Du kannst so eine Bank nicht dazu bringen, ihre ganzen Desktops von Windows auf Linux umzustellen. Man hat aber trotzdem noch genug Luft um eigene Aktzente zu setzen.
Gerade Banken etc. könnten das da sie sehr gute Infrastrukturen haben die unter Kontrolle sind.
bei entprechendem Willen könnte man nach und nach auch sehr spezielle Fachanwendungen plattform-neutral umsetzten.
Gruß
Sehr interessant ist dieser Artikel! Denn auch in dieser Branche hat man es mit ähnlichen Problemen zu tun, wie derzeit in der Pflege: es fehlen zu viele Leute und die die noch da sind klagen über BurnOut und andere Probleme wie mangelnder Wertschätzung und schlechter Bezahlung.
Fatal ist vor allem, wenn IT Sicherheitsfachleute wegen Konflikten mit dem Arbeitgeber den Job hinschmeissen, weil sie zum Beispiel mit ihren Vorschlägen nicht ernst genommen werden.
Die Probleme sind also vergleichbar mit anderen Branchen: immer härtere und immer aufzehrendere Arbeitsbedingungen lassen immer mehr Menschen ihren Beruf aufgeben und in eine vermeintlich bessere Branche wechseln.
Doch das eigentliche Problem ist das oft schlechte Verhältnis Arbeitgeber (AG) – Arbeitnehmer (AN). Und das wird erst dann zum Problem, wenn der AN einfach geht und der AG dann feststellt, das er einen Fehler gemacht hat. Doch dann ist es oft zu spät.
Marx sprach einmal über die Ausbeutung der Arbeitskraft und deren Folgen. Hatte er eventuell doch Recht?
Hauptproblem ist eher die Mentalität der "Nicht-IT'ler":
Alles funktioniert, es gibt keine Nennenswerte Störung -> "Was machen die in der IT den ganzen Tag??".
Betrieb ist nicht reibungslos weil irgendwo eine Störung vorliegt ->"Was machen die in der IT den ganzen Tag??".
Es ist sehr sehr oft ein undankbarer Job und das wird im Security-Umfeld wohl noch schlimmer – vor allem im Bezug auf die 2 Argumente. Dann auch immer das "drohende" Unheil "wir können es ja an einem Dienstleister outsourcen…", macht die Stellen auch sehr unattraktiv. Mangelnde Enscheidungsfreiheit, nicht ausreichendes Budget usw. sind nur weitere Sargnägel für solche Jobs: 100% Verantwortung bei 0% Entscheidungsgewalt, dass will doch keiner, egal wie gut das bezahlt wird.
Das ist auch eine Thema für sich: Entscheidungen treffen und Verantwortung übernehmen.
Die im oberen Bereich angesprochene Problematik ist leider in allen Bereichen so, wo in administrativen Tätigkeiten gearbeitet wird. Ich bin (mit 1,5 Kollegen) als Haustechniker tätig und man liebt und hasst uns generell gleichzeitig. Wenn alles läuft heißt es: "Was machen die eigentlich den ganzen Tag?" Wenn es dann mal nicht so ganz rund läuft heißt es: "Was machen die eigentlich den ganzen Tag?" Und jeder der Dozenten weiß, dass er/sie sich gut mit uns stellen muss, denn ansonsten haben sie u. U. recht schnell das Nachsehen. Denn wenn wir nicht wollen, dann geht halt innerhalb von Minuten gar nix mehr … Diese "Macht" ist auf der einen Seite schön, bedeutet aber auch eine sehr große Verantwortung und ständige Reibereien zwischen dem gesamten Kollegium. Man könnte auch sagen: Es ist Fluch und Segen zugleich. Wenn jemand in der Buchhaltung einen Fehler macht, betrifft es i. d. R. "nur" die Buchhaltung. Wenn ich einen Fehler mache, kann der ganze Laden still stehen und es betrifft rund 400 Personen … Geht schon mit der Verwaltung/Programmierung der digitalen Schließanlage los: Ein Häkchen in den Rechten falsch gesetzt und schon geht keine Tür mehr auf … (Und das hört (noch nicht) mit der Versorgung von Toilettenpapier auf den WCs auf … ;-)) Und wehe es ist kalt und die Heizung fällt aus! Dann aber …!! Also sehr weitreichende Entscheidungen treffen kann ich schon, aber ich MUSS eben auch die Verantwortung dafür übernehmen. Ist auch nicht immer schön und bringt einen öfters ziemlich ins Schwitzen und an den Rand des Wahnsinns – vor allem z. B. auch an den Wochenenden (ja, auch da ist (eingeschränkter) Betrieb, da Schule und Akademie zugleich) wenn evtl. benötigter Beistand nicht so einfach verfügbar ist … Und auch wir werden permanent mit "Outsourcing" und z. B. Wegfall der 50 %-Stelle an eine Fremdfirma "gequält" …
In der heutigen Arbeitswelt werden Licht und Schatten einfach immer extremer und belastender; in irgendwie allen Bereichen.