Deutschland
 

Security-Fachkräftemangel

Vergessen Sie Jobtitel!

So finden CISOs die Security-Talente, die sie brauchen, in anderen Fachbereichen.
Von 
CSO | 14. Juli 2023 05:04 Uhr
Geht es um Security-Profis, bleibt es für CISOs ein schöner Traum, aus dem Vollen zu schöpfen. Allerdings können Quereinsteiger Lücken - nicht nur temporär - füllen.
Geht es um Security-Profis, bleibt es für CISOs ein schöner Traum, aus dem Vollen zu schöpfen. Allerdings können Quereinsteiger Lücken - nicht nur temporär - füllen.
Foto: VectorMine - shutterstock.com

Arvind Raman, CISO von BlackBerry, achtet nicht nur auf Jobtitel, wenn er eine offene Stelle zu besetzen hat. Stattdessen fokussiert er sich auf die für die jeweiligen Aufgaben erforderlichen Schlüsselqualifikationen. Dieses Mindset ermöglicht dem Sicherheitsentscheider, qualifizierte Fachleute zu identifizieren und einzustellen, die keine "nativen" Sicherheitsprofis sind.

"So konnten wir zum Beispiel Finanzprofis für Risk- und Compliance-Aufgaben gewinnen und Marketing-Experten für Awareness-Projekte", erzählt Raman und unterstreicht: "Im Kern geht es darum, sich am tatsächlichen Bedarf zu orientieren und zu ermitteln, welche Fähigkeiten für die jeweilige Rolle hauptsächlich erforderlich sind."

Natürlich müssten einige Positionen mit ausgebildeten Security-Fachleuten besetzt werden, gesteht der Experte ein. Andererseits könnten jedoch auch diverse Aufgabenbereiche von Personen mit anderweitigen Qualifikationen übernommen werden, ist er sich sicher: "Dabei kommt es auch darauf an, dass der Kandidat die richtige Einstellung mitbringt."

Über den Security-Tellerrand hinaus

Der Blick über den Tellerrand hat Raman nach eigener Aussage dabei unterstützt, dem weltweiten Fachkräftemangel im Security-Bereich so gut es geht entgegenzuwirken. Dass letzterer weiterhin anhält, belegt etwa eine aktuelle Studie von Fortinet (PDF). Demnach:

  • sind 68 Prozent der Befragten aufgrund des Mangels zusätzlichen IT-Sicherheitsrisiken ausgesetzt.

  • haben 56 Prozent Schwierigkeiten damit, entsprechende Fachkräfte zu rekrutieren.

  • kämpfen 54 Prozent damit, ihre IT-Sicherheitsprofis zu halten.

Das (ISC)²-Konsortium geht unterdessen in einer weiteren aktuellen Studie davon aus, dass die Zahl der Beschäftigten im Bereich Cybersicherheit weltweit um 75 Prozent anwachsen müsste, damit der künftige Bedarf gedeckt werden kann. Ganz konkret sprechen die Experten von 3,4 Millionen zusätzlichen Security-Profis.

CISOs kämpfen allerdings nicht erst seit gestern gegen dieses Problem an - und inzwischen setzen etliche IT-Sicherheitsentscheider auf das Konzept von Blackberry-CISO Raman: Sie fokussieren sich bei ihrer Personalsuche auf die Skills, die Sie benötigen. Etwa Jim Tiller, globaler CISO beim Personaldienstleister Harvey Nash. Er empfiehlt: "Ich würde dazu raten, die eigene Sicherheitsstrategie zu verinnerlichen und dann im gesamten Umfeld nach den Kompetenzen zu suchen, die Sie brauchen - egal ob in der IT-, Rechts-, Marketing-, Vertriebs- oder Produktentwicklungsanteilung."

Auch Steven Sim, CISO eines globalen Logistikunternehmens und Mitglied der Emerging Trends Working Group des IT-Verbands ISACA, hat sich diese Denkweise zu eigen gemacht. So konnte der Security-Entscheider beispielsweise Mitarbeiter aus der Produktion für die Sicherheitsabteilung gewinnen. "Diese bringen vielleicht nicht die entsprechenden Sicherheitszertifizierungen mit, aber das nötige Fachwissen", erklärt er. "Ich achte bei solchen Bewerbern vor allem auf Leidenschaft, Lernbereitschaft, Verantwortungsbewusstsein, Teamfähigkeit und ein risikobasiertes Mindset."

Sim nutzt darüber hinaus auch eine interne Kommunikationsplattform, um Mitarbeiter aus anderen Geschäftsbereichen für Projekte heranzuziehen: "Ich kann ein Projekt ausschreiben und es für den Rest des Unternehmens öffnen."

Einige CISOs stellen inzwischen auch fest, dass sie unkonventionelle Kandidaten für einige Aufgaben in der gleichen Zeit ausbilden können, die es angesichts des harten Wettbewerbs dauern würde, um erfahrene Cybersicherheitsprofis einzustellen. Diese Überzeugung teilt auch Harvey-Nash-CISO Tiller. Er fügt hinzu: "Es ist in der Regel wirtschaftlicher, interne Mitarbeiter mit den richtigen Fähigkeiten für das IT-Sicherheitsteam zu finden, sei es in Teilzeit oder vorübergehend, Berater einzustellen oder das Security-Team mit externen Auftragnehmern zu verstärken. Das ermöglicht CISOs auch mehr Flexibilität - sie haben die Möglichkeit, verschiedene Fähigkeiten zum richtigen Zeitpunkt zu nutzen."

Lenny Zeltser, CISO beim Sicherheitanbieter Axonius und Ausbilder bei der Schulungsorganisation SANS, schrieb kürzlich in einem Blogbeitrag: "Wir brauchen alle Arten von Menschen im Bereich der Cybersicherheit, weil wir eine Vielzahl von Herausforderungen lösen müssen. Indem Unternehmen Quereinsteigern die Möglichkeit geben, im Bereich Security zu arbeiten, erreichen wir genau das. Allerdings erfordert ein solches Vorgehen auch, die Stellenbeschreibungen und -anforderungen zu überarbeiten und fachfremden Personen das Gefühl zu vermitteln, dass sie willkommen sind." (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Mary K. Pratt ist freiberufliche Journalistin in Massachusetts.
Folgen: