CISOs und ihr Security-Team

Wie findet und bindet man Security-Experten?

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

CISOs brauchen auch bei der Suche nach und Bindung von Security-Experten für ihr Unternehmen eine spezielle Security-Strategie.
CISOs brauchen auch bei der Suche nach und Bindung von Security-Experten für ihr Unternehmen eine spezielle Security-Strategie. (© Андрей Яланский - stock.adobe.com)

Wenn man die größten Risiken für die IT-Security auflistet, sollte man den Fachkräfte­mangel nicht vergessen. CISOs müssen es schaffen, mehr Mitarbeiterinnen und Mitarbeiter zu finden und dann das eigene Security-Team an das Unternehmen zu binden. Damit das gelingt, muss man verstehen, dass sich der Security-Fachkräftemangel von dem allgemeinen IT-Fachkräftemangel unterscheidet.

Zugegeben, es hilft nicht viel, wenn man sich immer wieder die Zahlen der offenen Stellen in der IT und insbesondere in der Security ansieht, alleine davon werden die Lücken im Security-Team nicht geschlossen. Aber es ist wichtig, sich die Gründe für diese Lücken im IT-Sicherheitspersonal anzusehen. Tatsächlich ist der Fachkräftemangel in der Security eines der größten Risiken überhaupt, trotz aller Automatisierung und Künstlichen Intelligenz. Genau wie bei anderen kritischen Sicherheitslücken auch, muss man sich als CISO fragen, wie man die Lücken im Security-Team schließen und in Zukunft besser vermeiden kann. Leider gibt es kein Patchmanagement dafür, wie man es gerne hätte.

Stattdessen sollte man sich klarmachen, dass die Maßnahmen gegen den IT-Fachkräftemangel nicht reichen, um den Security-Fachkräftemangel zu beheben. Es müssen weitere, spezielle Maßnahmen getroffen werden, nicht nur, weil die Security-Fachkräfte spezielles Wissen benötigen, sondern weil sie im gewissen Maße anders sind oder anders im Unternehmen behandelt werden.

Die größten Belastungen für Security-Verantwortliche

CISOs sind hohen Belastungen ausgesetzt

Die größten Belastungen für Security-Verantwortliche

07.06.19 - Hohe Compliance-Anforderungen, steigende Cyber-Risiken, die fortschreitende Digitalisierung und die sehr dynamische Entwicklung der IT sorgen ebenso für die starke Belastung eines CISOs wie der bekannte Fachkräftemangel in der Security. Die Überlastung von Security-Verantwortlichen ist kein persönliches Problem, sondern ein Unternehmensrisiko. lesen

Beispiel Künstliche Intelligenz

Bekanntlich wird Künstliche Intelligenz (KI) in der Security immer wichtiger, auch als Hilfe gegen den Fachkräftemangel. Damit erlangen aber auch KI-Kenntnisse und -Fähigkeiten bei den Security-Experten eine größere Bedeutung.

KI-Experten sind auch in anderen IT- und Unternehmensbereichen gefragt. Auf KI-Konferenzen wie der CyberSec & AI 2019 in Prag wird sehr deutlich, dass die meisten Experten, die KI-Wissen haben, lieber in anderen Bereichen arbeiten, wo KI benötigt wird. Ein Grund wird darin gesehen, dass KI in der Security nicht zum Beispiel das schönste Gesicht simuliert, das in der Werbung genutzt werden sollte, sondern versucht, Angreifer aufzuspüren, ähnlich wie in der Medizin, wo es zum Beispiel gilt, Hautkrebs zu erkennen.

Gespräche auf KI-Konferenzen zeigen, dass viele KI-Experten die Security-Themen weniger spannend finden. Als CISO ist man dann erstaunt, aber man muss damit rechnen und umgehen, dass andere die Begeisterung für Security nicht teilen. Damit hängt ein anderes Problem zusammen, das sowohl das Finden von Mitarbeiterinnen und Mitarbeitern erschwert als auch die Bindung der Security-Experten.

Automatisierung löst den Security-Fachkräftemangel

Probleme in der Sicherheitsbranche

Automatisierung löst den Security-Fachkräftemangel

15.04.19 - Die Sicherheitsbranche hat seit Jahren damit zu kämpfen, dass einerseits immer mehr und immer komplexere Aufgaben zu bewältigen sind, weil die Bedrohungslage sich stetig verändert und andererseits die Personaldecke nicht mitwächst. Ein möglicher Lösungsweg ist die Automatisierung von alltäglichen Routine- und zeitintensiven Aufgaben. lesen

Security-Erfolge lassen sich nicht direkt sehen

Sowohl mögliche, neue Beschäftigte als auch die bestehenden Team-Mitglieder wollen lieber in einer erfolgreichen Abteilung arbeiten. Während man in vielen anderen Bereichen sofort Erfolge positiv sehen kann, sind es bei Security oftmals Erfolge, dass man nichts Negatives erkennt.

Zudem werden die Erfolge der Security nicht oder nicht richtig gemessen. Das Messen und Sichtbarmachen der Erfolge ihrer Arbeit stellt CISOs und Security-Verantwortliche vor große Herausforderungen, wie eine aktuelle Befragung des PAM-Anbieters Thycotic zeigt. Obwohl fast 90 Prozent der IT-Sicherheitsexperten eine Reihe von Key Performance Indicators (KPIs) verfolgen, fällt es mehr als der Hälfte von ihnen (52%) nach wie vor schwer, ihre Sicherheitsinitiativen an den Gesamtzielen des Unternehmens auszurichten. Das liegt unter anderem daran, dass rund zwei Fünftel der Befragten die Geschäftsziele nicht kennen (43%) bzw. nicht gänzlich verstehen (36%).

Wer also seine Security-Metriken optimiert, tut auch gleich etwas für die Mitarbeiterbindung und Mitarbeitersuche, denn Security-Erfolge lassen sich so sichtbarer machen.

IT-Sicherheit überfordert Security-Entscheider

Symantec Seurity-Studie

IT-Sicherheit überfordert Security-Entscheider

08.05.19 - Eine neue Studie zeigt, wie Regulierungen, wachsende Bedrohungen und technologische Komplexität zunehmend die Cyber-Security-Entscheider in Deutschland, Frankreich und Großbritannien überfordert. Vier von fünf (82 Prozent) Security-Experten aus diesen Ländern geben an, sich ausgebrannt zu fühlen. 63 Prozent denken bereits darüber nach, die Branche zu wechseln oder ihrem aktuellen Arbeitgeber zu kündigen (64 Prozent). lesen

Security-Experten müssen entlastet werden

Gerade für die Mitarbeiterbindung ist es wichtig, den (teilweise unnötigen) Druck auf die Security-Experten zu verringern. Aktuelle Symantec-Umfragen zeigen: Jeder zweite Security-Experte in Deutschland gibt an, dass seine Teams zu viele Tagesaufgaben übernehmen müssen, um wichtige Kompetenzen weiter auszubauen (51 Prozent).

Interessanterweise führt sogar ein erlebter IT-Sicherheitsvorfall zu einem Stressabbau: Die Studie „Alarmstufe Rot“ von Symantec besagt, dass Erfahrungen mit Cyber-Security-Vorfällen positive Auswirkungen auf Cyber-Security-Experten haben. Langfristig bedeutet diese „gelebte Erfahrung“ weniger Stress und eine höhere Bereitschaft, das Wissen über erfolgreich angewendete Angriffsmethoden der Cyberkriminellen mit dem Team zu teilen.

Bei Cyber-Security-Experten, die bereits einen vermeidbaren Sicherheitsvorfall erlebt haben, ist es:

  • 24 Prozent weniger wahrscheinlich, dass sie das Gefühl haben, "ausgebrannt" zu sein.
  • 20 Prozent weniger wahrscheinlich, dass sie gegenüber ihrer Arbeit Gleichgültigkeit empfinden.
  • 15 Prozent weniger wahrscheinlich, dass sie sich persönlich für einen Vorfall verantwortlich fühlen, der hätte vermieden werden können.
  • 14 Prozent weniger wahrscheinlich, dass sie sich ständig "zum Scheitern verurteilt" fühlen.
  • 14 Prozent eher wahrscheinlich, dass sie ihre Lernerfolge teilen.
  • 14 Prozent weniger wahrscheinlich, dass sie darüber nachdenken, ihren Job zu kündigen.

Junge Fachleute ticken anders

Wer neue Mitarbeiterinnen und Mitarbeiter an Bord holt, muss auch damit rechnen, dass sie eine andere Vorstellung von Security haben und entsprechend anders sensibilisiert werden müssen, als dies früher der Fall war. Der Risk:Value 2019 Report von NTT ergab zum Beispiel:

Unter 30-Jährige sind eher bereit, Lösegeld nach einer Ransomware-Attacke an einen Hacker zu zahlen (39 Prozent) als über 30-Jährige (30 Prozent).

Jüngere Arbeitnehmer sind aufgeschlossener hinsichtlich der Nutzung privater Geräte am Arbeitsplatz und betrachten sie weniger als ein Sicherheitsrisiko (71 Prozent) als ältere Arbeitnehmer (79 Prozent)

81 Prozent der unter 30-Jährigen glauben, dass Cybersicherheit als Thema auf der Agenda des Management-Boards stehen sollte, verglichen mit 85 Prozent bei den über 30-Jährigen.

Bei den Schulungen für Security sollte also auch an das Alter der Zielgruppe gedacht werden, damit diese die Security „ernster“ nehmen.

Fachkräftemangel bei Security-Experten am größten

Capgemini-Studie

Fachkräftemangel bei Security-Experten am größten

12.03.18 - Der dringende Bedarf an Sicherheitsexperten wächst: Im Bereich Cybersecurity besteht die größte Lücke zwischen Angebot (43 Prozent) und Nachfrage (68 Prozent), bestätigt die Studie „Cybersecurity Talent: The Big Gap in Cyber Protection“ des Digital Transformation Institut von Capgemini. lesen

Security fordert bestimmte Persönlichkeitsmerkmale

Bei der Suche nach neuen Mitarbeitern sollte man als CISO zudem daran denken, dass Wissen alleine für Security nicht reicht. Man könnte fast sagen, man muss dafür geboren sein, um damit glücklich (und erfolgreich) zu werden.

Hogan Assessments, ein Anbieter von Persönlichkeitstests, hat IT- und Cybersicherheitsfirmen bei der Einstellung von Mitarbeitern unterstützt. Die Tests von Hogan konnten mehrere Persönlichkeitsmerkmale identifizieren, die für eine erfolgreiche Karriere im Bereich Cybersecurity von Vorteil sind. Einige Beispiele:

Bescheiden sein: Diejenigen, die dazu neigen, sich in Sachen Cybersicherheit hervorzuheben, vermeiden in der Regel das Rampenlicht. Ein erfolgreicher Mitarbeiter im Bereich Cybersecurity ist nicht egoistisch oder ruhmsüchtig, sondern bevorzugt einen zurückhaltenden Lebensstil.

Gelassen sein: Die Unternehmenssysteme, die sie vor Angriffen schützen sollen, sind ständig Bedrohungen ausgesetzt. Mitarbeiter im Bereich Cybersecurity sollten ein Dringlichkeitsbewusstsein haben, während es gleichzeitig wichtig ist, dass sie im Falle von Cyberbedrohungen ruhig bleiben können. Unnötige Gefühlsausbrüche unter erhöhtem Druck können kontraproduktiv sein und von wirklich wichtigen Dingen ablenken.

Empfänglich sein: In der Cybersecurity kann schnell etwas schieflaufen und möglicherweise wird man für Verstöße verantwortlich gemacht, an denen man nicht schuld war. Es ist deshalb für einen Cybersicherheitsmitarbeiter äußerst wichtig, dass er für Kritik offen und empfänglich ist und es vermeidet, passiv-aggressiv zu reagieren.

Gewissenhaft sein: Wenn hoher Arbeitsdruck besteht und die Sicherheit des Unternehmens gefährdet ist, muss ein erfolgreicher Kandidat detailorientiert sein und immer auf die Fertigstellung von Projekten drängen. Eine kleine Unachtsamkeit kann zu Cyberangriffen führen, weswegen Cyberexperten jedes Detail überprüfen müssen. Ergebnisorientierung und den Willen etwas bewegen zu wollen, sind von entscheidendem Vorteil.

Bedrohungserkennung und der Fachkräftemangel

SANS Cyber Threat Intelligence Studie 2018

Bedrohungserkennung und der Fachkräftemangel

27.04.18 - Die neue SANS Cyber Threat Intelligence Studie 2018 zeigt, wie weit die Cyber Threat Intelligence (CTI) in Unternehmen bereits entwickelt ist. Die Mehrheit der Befragten gab an, dass der Fachkräftemangel eines der größten Hindernisse dabei ist, CTI in ihrem Unternehmen zu implementieren. Befragt wurden mehr als 300 Cybersicherheitsexperten aus den unterschiedlichsten Branchen. lesen

Die Mühe um Security-Experten rechnet sich

Die besondere Bemühung um Security-Fachleute mag aufwendig erscheinen, aber sie ist notwendig und macht sich bemerkbar:

60 Prozent der befragten Unternehmen aus Deutschland sind der Meinung, dass gutes Fachpersonal im Bereich Cybersicherheit die Widerstandsfähigkeit gegen Angriffe erhöht (IBM-Ponemon Studie „The 2019 Cyber Resilient Organization“).

Mit der Einführung eines internen IT-Sicherheitsteams lassen sich die durchschnittlichen Kosten eines

Cybersicherheitsvorfalles deutlich reduzieren: So schätzen Unternehmen, die über ein internes Security Operation Center (SOC) verfügen, die finanziellen Auswirkungen eines Cyberangriffs mit 675.000 US-Dollar signifikant geringer ein als Unternehmen ohne SOCs (1,41 Millionen US-Dollar). („IT Security Economics Report“ von Kaspersky)

CISOs brauchen deshalb eine spezielle Sicherheitsstrategie, auch bei der Suche nach und Bindung von Security-Experten. Die Personalabteilung sollte deshalb durch den CISO gezielt unterstützt werden, Security-Leute zu suchen ist anders als IT-Leute zu umwerben.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46270663 / Mitarbeiter-Management)