4 Wege, Sicherheitsprofis zu rekrutieren

Um die Qualifikationslücke im Bereich Cybersecurity zu schließen, hofft Dave Stirling, CISO beim US-Finanzdienstleister Zions Bancorporation, nicht auf eine magische Umwälzung im Arbeitsmarkt. Stattdessen nimmt er sein Glück selbst in die Hand, testet verschiedene Vorgehensweisen und analysiert, was sich bewährt. Mit diesem Ansatz konnte der Sicherheitsentscheider:

• Kandidaten für IT und OT rekrutieren,

• die Zusammenarbeit mit örtlichen Hochschulen vorantreiben,

• mehr in Aus- und Weiterbildung investieren, sowie

• die Art und Weise seiner Stellenausschreibungen überdenken.

Zwar räumt der Manager ein, dass diese Maßnahmen - auch alle zusammengenommen - kein Allheilmittel sind, angesichts dessen sich die bekannten Probleme bei der Suche, Einstellung und Bindung von Mitarbeitern in Luft auflösen: "Aber dieser Ansatz hilft dabei, schrittweise die Fähigkeit auszubauen, die rar gesäten Security-Talente zu rekrutieren und zu halten."

In Hinblick auf aktuelle Zahlen macht das Mut. Laut der Studie "State of Cybersecurity 2022" des Berufsverbands ISACA:

• sind bei 63 Prozent der befragten Unternehmen Stellen im Bereich Cybersicherheit unbesetzt - gegenüber dem Jahr 2021 ein Anstieg um acht Prozentpunkte.

• verfügen 62 Prozent der Unternehmen über unterbesetzte Teams im Security-Bereich.

• geben 20 Prozent der Unternehmen an, dass es mehr als sechs Monate dauert, qualifizierte Bewerber für offene Stellen zu finden.

• berichten 60 Prozent der Teilnehmer über Schwierigkeiten, qualifizierte Cybersecurity-Fachleute zu halten - gegenüber 2021 ein Anstieg um sieben Prozentpunkte.

Gleichzeitig geben die Sicherheitsverantwortlichen an, sie müssten nicht nur bestehende Positionen neu besetzen, sondern auch die Anzahl der Rollen in ihren Teams aufstocken. Der Grund: Die Angriffsfläche in ihren Unternehmen wächst und die Zahl und Raffinesse der Angriffsversuche steigt. Auch diese Dynamik veranlasst CISOs dazu, neue Taktiken im Kampf um Talente auszuprobieren, wie Lamont Orange, CISO beim Security-Anbieter Netskope, bestätigt: "Wir müssen ganz bewusst die Art und Weise ändern, wie wir nach Ressourcen suchen und wie wir Sicherheitspersonal aufbauen."

Die folgenden vier Strategien können Sie dabei unterstützen, Cybersecurity-Talente zu finden und zu halten.

1. Stellenausschreibungen optimieren

Auch Jonathan Fowler hat als CISO beim US-Softwareanbieter Consilio Erfahrung damit, Personalproblemen entgegenzuwirken. Dabei zielt eine seiner Strategien auf Stellenausschreibungen ab. Dabei habe er festgestellt, dass die Anzeigen vor allem beschrieben haben, was ein Idealkandidat mitbringen sollte - das Ergebnis seien lange und oft unrealistische Auflistungen gewesen. Deswegen habe er gemeinsam mit seinem Team neue Wege beschritten: "Es geht im Kern darum, das Niveau festzulegen und sich zu fragen: 'Was brauche ich? Was sind die absolut grundlegenden Aufgaben, die ich erledigen muss?' - dieser neue Ansatz lockt Leute an, die sich vorher vielleicht nicht auf die Stelle beworben haben, weil ein oder zwei Aufgaben aufgelistet sind, mit denen sie keine Erfahrung haben."

Auch Stirling hat im Rahmen seiner mehrgleisigen Strategie zur Bewältigung der Personalprobleme Stellenanzeigen neu aufgesetzt, um diese prägnanter zu gestalten und Floskeln über Bord zu werfen: "Dabei habe ich festegestellt, dass die Ausschreibungen in der Regel die Person beschrieben haben, die die Stelle zuletzt inne hatte. Deswegen gingen die Stellenbeschreibungen oft weit über das hinaus, was für die tägliche Arbeit in der Praxis erforderlich war. Das schreckt potenzielle Kandidaten möglicherweise ab und ist auch im Sinne der Bemühungen um eine vielfältigere Belegschaft kontraproduktiv."

In der Konsequenz haben Stirling und seine Manager überflüssige Anforderungen und Formulierungen gestrichen. Dabei habe man auch auf die Wortwahl geachtet und Begriffe, die Befehls- und Kontrollstrukturen implizieren, vermieden: "Diese Änderungen spiegeln die Bedürfnisse der Security-Abteilung besser wider und sprechen gleichzeitig einen größeren Kreis von Bewerbern an", freut sich der CISO.

2. Pool erweitern

Einige CISOs sind diesbezüglich noch weiter gegangen und haben ihre Anforderungen an die Security-Bewerber geändert oder auch reduziert. Zum Beispiel Joanna Burkey, CISO bei HP, die erklärt, den obligatorischen Hochschulabschluss für Bewerber über Bord geworfen zu haben: "Ich habe gelernt, dass wir flexibler sein müssen, wenn es um die Einstellung von Cybersecurity-Talenten geht. Wir brauchen eine Vielzahl von Erfahrungsstufen und einen vielfältigeren Talentpool, der Menschen umfasst, die aus anderen Branchen kommen, historisch benachteiligten Bevölkerungsgruppen entstammen, keine traditionellen Abschlüsse vorweisen können oder Quereinsteiger sind."

Diese Maßnahmen hätten dabei geholfen, den Kandidaten-Pool für HP zu erweitern und neue Bewerbergruppen anzuziehen, so die Managerin. Eine Absenkung des Standards begründe sich in ihren Personalentscheidungen jedoch nicht - im Gegenteil: "Indem wir sicherstellen, über eine vollständige Palette an qualifizierten Talenten mit unterschiedlichen Erfahrungen und Denkweisen zu verfügen, senken wir das organisatorische Risiko und erhöhen die Resilienz des Unternehmens. Zum Beispiel brauchen wir Mitarbeiter, die sich mit Business-Strategien, Finanzen und Betriebsabläufen auskennen - dabei aber in Sachen Security geschult werden können, um Schwachstellen zu erkennen und Sicherheitsstrategien besser auf funktionale Ziele abzustimmen."

3. Pipeline aufbauen

Einen ganz ähnlichen Ansatz verfolgte auch Travis Gibson, CTO und CSO beim Jugend-Mentoring-Programm Big Brothers Big Sisters of America (BBBSoA). Auch er hat seine Position bezüglich Bildungsabschlüssen und Berufserfahrung überdacht: "Es macht keinen Sinn, für eine Einstiegsposition mindestens zwei Jahre Erfahrung zu verlangen." Dank dieser Haltung ist Gibson nun in der Position, die IT-Mitarbeiter seines Unternehmens als eine brauchbare Pipeline für sein Security-Team zu betrachten: "Die IT'ler haben die meiste Zeit ihrer Karriere mit Security zu tun und viele sind an einem Wechsel in den Bereich IT-Sicherheit interessiert."

Dabei räumt der Manager ein, dass auch IT-Talente nicht leicht zu finden sind, argumentiert aber mit nackten Zahlen: "Statistiken zeigen, dass es schwieriger ist, Security-Experten zu rekrutieren als IT-Mitarbeiter. Für Sicherheitsentscheider ist dabei auch wichtig, ein gutes Verhältnis zu den IT-Führungskräften zu wahren und einen koordinierten Ansatz zu verfolgen, damit die Rekrutierung von IT-Mitarbeitern für die Security nicht als Abwerbung gesehen wird."

Sowohl die Rekrutierung aus der IT-Abteilung als auch die Absenkung von Erfahrungs- und Ausbildungsanforderungen mache es darüber hinaus nötig, sich für Aus-, Weiterbildung und Karriereentwicklung zu engagieren, meint Gibson: "Wenn sie vielversprechende Kandidaten identifizieren, entwickle ich gemeinsam mit meinen Managern Schulungspläne, damit die entsprechenden Mitarbeiter den Wechsel in den Sicherheitsbereich erfolgreich vollziehen können."

Nach Aussage des CSO konnten mit dieser Strategie im Laufe der letzten Jahre etwa 20 Prozent der offenen Stellen im Security-Team von BBBSoA besetzt werden. "Das geht auch wesentlich schneller vonstatten, als auf dem Markt neuen Mitarbeitern zu suchen. Zudem bringt es den Vorteil, dass multidisziplinäre Skills im Team Einzug halten", konstatiert Gibson.

Auch andere Sicherheitsverantwortliche haben Wege gefunden, eine bessere Security-Talent-Pipeline aufzubauen. So arbeitet das Beratungsunternehmen Deloitte mit der Flatiron School zusammen, um neue Fachkräfte für Cybersicherheit auszubilden. Dabei übernimmt das Unternehmen die Kosten für das neun- bis zwölfwöchige Cybersecurity-Trainingsprogramm. Laut Deborah Golden, Cyber and Strategic Risk Leader bei Deloitte USA, hat ein großer Prozentsatz der Teilnehmer im Anschluss ein Stellenangebot erhalten: "Die Annahmequote liegt bei 99 Prozent", berichtet die Managerin stolz.

Auch Netskope arbeitet mit örtlichen Hochschulen zusammen - und fördert darüber hinaus Mentoring- und Hospitationsmöglichkeiten. CISO Orange selbst bringt Studenten regelmäßig Sicherheitslektionen in Form realer Fallstudien näher, um mehr Absolventen für die Cybersicherheit zu begeistern.

4. Arbeitsumfeld verbessern

Security-Talente zu gewinnen, ist nur eine Seite der Medaille. Die andere ist ebenso wichtig: die Bindung der Sicherheitsmitarbeiter. Im Rahmen ihres Reports "Security Priorities 2022" befragte die Info-Tech Research Group Sicherheits- und IT-Führungskräfte zu ihren wichtigsten Sicherheitsprioritäten und größten Hindernissen für den Security-Erfolg im Jahr 2022. In beiden Kategorien stand das Thema Talente ganz oben auf der Liste: Rund 30 Prozent der Befragten nannten die Gewinnung und Bindung von Talenten als oberste Priorität (noch vor Ransomware-Schutz und der Absicherung von Remote-Mitarbeitern). Etwa 31 Prozent nannten Personalengpässe als größtes Hindernis für den Sicherheitserfolg.

Nach Meinung von Isabelle Hertanto, Principal Research Director Sicherheit und Datenschutz bei Info-Tech, sollten CISOs ihre Geschäftskollegen frühzeitig und häufig einbeziehen, um antizipieren zu können, welche Sicherheits-Skills wann benötigt werden und wie diese am besten zu beschaffen sind. Dieser strategische Ansatz ermögliche es Sicherheitsentscheidern, externe Partner auszuwählen, um ihre internen Teams besser zu ergänzen: "Es geht darum, zu überlegen, wie ein Managed Service Provider Ihr bestehendes Team auf eine Weise unterstützen kann, die das Risiko eines Verlustes mindert. Der MSP könnte zum Beispiel Routineaufgaben übernehmen, die das interne Team als banal oder ablenkend empfindet. Dadurch haben die Mitarbeiter mehr Zeit für höherwertige Tasks und können sich neue, fortgeschrittenere Skills aneignen."

Mit dieser Haltung rennt Hertanto bei vielen Sicherheitsexperten offene Türen ein - etwa bei Deidre Diamond, Gründerin und CEO des Security-Jovbvermittlers CyberSN. Auch sie ist der Überzeugung, dass ein Arbeitsumfeld mit den richtigen Aufgaben und dem richtigen Maß an Belastung entscheidend für die Mitarbeiterbindung ist: "Mitarbeiter, die sich nicht wertgeschätzt, wahrgenommen und gut aufgehoben fühlen, werden ebenso kündigen wie ständig überforderte."

Um entgegenzuwirken, rät Diamond CISOs, ihre Teams so zu organisieren, dass die Manager die nötige Bandbreite erhalten, um ihre Teams tatsächlich zu managen - also die nötige Zeit haben, um Feedback zu geben, zu beraten und zu schulen. Zudem rät die Gründerin Sicherheitsentscheidern, für jede Position ein realistisches Arbeitspensum festzulegen: "Das bedeutet eine Aufgabe pro Person und nicht zwei, wie es derzeit oft der Fall ist. Das ist ein hoher Anspruch, ist aber wichtig, um Burnout und Fluktuation zu verhindern." (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.