Diversity & Inclusion
Wie Security inklusiver wird
Foto: Lightspring - shutterstock.com
Als sie beschloss, 2019 am Social-Engineering-Wettbewerb der Hacker-Konferenz Defcon teilzunehmen, befand sich Alethe Denis gerade im Mutterschaftsurlaub. Kurzerhand reiste sie mit ihrer drei Monate alten Tochter und ihrem Mann nach Las Vegas - nicht allerdings, ohne vorher alles minutiös durchzuplanen: "Es hätte so viel schiefgehen können. Es war extrem anstrengend, einfach nur anwesend zu sein - ganz zu schweigen von den Wettkämpfen", erzählt sie. Ein Kleinkind zu einer Security-Konferenz mitzunehmen, kann sie angesichts der Menschenmassen und des Lärms nicht empfehlen: "Ich stand oft in einer Toilettenkabine, um meine Tochter zu stillen - was ziemlich eklig war - oder um sie schnellstmöglich zu wickeln, damit es niemand mitbekommt und eventuell abgestoßen ist."
Im Wettbewerb angekommen, war es ihre Aufgabe, Mitarbeiter eines Tabakkonzerns ins Visier zu nehmen und diese mit verschiedenen Szenarien dazu zu bewegen, Zugang zu gewähren. Noch im Wettbewerb begann ihre Tochter schließlich zu weinen, ein Szenario, das sie befürchtet hatte, aber bewältigen konnte, weil sie darauf vorbereitet war. Ihre Leistung brachte Alethe Denis ein "Black Badge" ein - die höchste Auszeichung, die man als Social Engineer erhalten kann. Zur Preisverleihung nahm sie ihre Tochter mit auf die Bühne - eine der wenigen Gelegenheiten, zu beobachten, wie eine Horde Hacker eine Dreijährige feiert.
Systembedingte Probleme
In den letzten Jahren haben viele Unternehmen begonnen, mehr für die Unterstützung von Frauen zu tun. Einige erlauben ihren Mitarbeitenden, vollständig remote zu arbeiten, andere sind transparenter, was die Vergütung angeht und einige wenige gehen sogar noch einen Schritt weiter und ändern ihre Kultur. Dennoch sind erfolgreiche Anekdoten wie die von Alethe Denis immer noch eher die Ausnahme als die Regel. Frauen stellen sich in der Sicherheitsbranche diverse systembedingte Probleme in den Weg - was viele in die Flucht treibt. Einer aktuellen (ISC)²-Umfrage (PDF) zufolge machen Frauen gerade einmal 24 Prozent der Beschäftigten im Bereich Cybersicherheit aus. Und obwohl viele von ihnen besser ausgebildet sind als ihre männlichen Kollegen, verdienen sie oft weniger, werden bei Beförderungen übergangen und müssen sich jeden Tag neu beweisen.
Auch wenn die Branche in letzter Zeit etwas attraktiver für Frauen und unterrepräsentierte Minderheiten geworden sei, gebe es noch viel Luft nach oben, meint Keren Elazari, leitende Forscherin am Tel Aviv University Interdisciplinary Cyber Research Center und Mitbegründerin von Leading Cyber Ladies: "Wir sollten darüber sprechen, wie wir sicherstellen können, dass Frauen nicht nach ein paar Jahren wieder aufhören. Wir müssen uns Gedanken darüber machen, wie wir die Menschen bei der Stange halten können, ohne sie ausbrennen zu lassen."
Dass divers zusammengestellte Teams bessere Leistungen bringen, darin sind sich die meisten Unternehmen einig. Viele würden gerne mehr Frauen und auch Angehörige sonst eher unterrepräsentierter Gruppen einstellen, bekommen aber überschaubare Rückmeldung auf ihre Stellenausschreibungen. Elazari weiß auch, woran das liegen könnte: "Manche Unternehmen wirken von außen wie eine Studentenverbindung: Um sich von der Konkurrenz abzuheben, verwenden sie eine Sprache, die auf eine männlich dominierte Unternehmenskultur hindeutet und Frauen abschreckt. Oft enthalten Stellenbeschreibungen Superlative wie Ninja oder Rockstar. Weder Ninjas noch Rockstars sind besonders kollaborativ, sondern eher auf sich selbst fokussiert."
Auch die Verwendung von Militärjargon wie "hochkalibrig" oder "Allzweckwaffe" könnten Frauen abschrecken. Deshalb empfiehlt die Expertin, auf ein bodenständiges Wording zu setzen: "Ich glaube nicht, dass viele Frauen in einem Unternehmen arbeiten möchten, das sich wie eine Studentenverbindung anfühlt, in der es nur darum geht, Bier zu trinken und Tischkicker zu spielen. Bevor sie sich auf eine Stelle bewerben, denken Frauen genau über solche Begrifflichkeiten nach und suchen nach möglichen Anzeichen für 'Mikroaggressionen', mangelnde psychologische Sicherheit oder unrealistische Erwartungen. All das kann sich auf Bewerberinnen und Minderheiten auswirken und sie abschrecken."
Nicole Schwartz, COO bei The Diana Initiative beschreibt im Detail, wovor diese Menschen Angst haben: "Wenn ihre Arbeit häufiger hinterfragt wird als die anderer, wenn sie sich mehr beweisen müssen, bevor man ihnen im Vergleich zu Kollegen vertraut, wenn im Büro unangemessene Witze erzählt werden, wenn sie nicht entsprechend ihres Geschlechtes angesprochen werden und wenn sie bei alldem noch alleine sind - dann zermürbt das."
Der Mangel an psychologischer Sicherheit hält manche Frauen davon ab, aus ihrer Komfortzone herauszutreten und neue Fähigkeiten zu entwickeln. Einige kämpfen mit dem Imposter-Syndrom und haben Angst, nicht gut genug für den Job zu sein: "Wenn Frauen nur eine einzige Anforderung in einer Stellenausschreibung finden, von der sie glauben, dass sie sie nicht erfüllen können, versuchen sie es erst gar nicht", beobachtet Denis, die fünf Jahre lang bei einem Personaldienstleister gearbeitet hat, bevor sie in die Security-Branche wechselte. Im Gegensatz dazu würden sich Männer sogar auf eine Stelle bewerben, wenn sie weniger als die Hälfte der Anforderungen erfüllen.
Denis rät Frauen deshalb, sich nicht selbst aus dem Rennen zu nehmen. Das könne der Arbeitgeber immer noch selbst tun, wenn er eine Kandidatin für nicht geeignet halte. "Bewerben Sie sich einfach auf alles. Für jede einzelne Stelle, die ich hatte, war ich nicht qualifiziert, als ich sie angetreten habe. Aber durch meine Lernbereitschaft habe ich es geschafft, mich in diese Jobs hineinzubewegen."
Wie Frauen ein faires Gehalt aushandeln
Der nächste Schritt bei der Stellensuche - die Gehaltsverhandlung - benachteiligt Frauen ebenfalls oft. Viele neigen dann dazu, ihr aktuelles Gehalt als Referenz zu nehmen, wodurch sie sich nicht weiterentwickeln - und das Lohngefälle setzt sich weiter fort. Laut Denis sollten Frauen so viele Informationen wie möglich auf Plattformen wie LinkedIn, Glassdoor oder PayScale sammeln, um besser einschätzen zu können, wie viel ihre Skills wirklich wert sind.
"Nachdem sie recherchiert haben, sollten sie das obere Ende der Skala anpeilen. Lassen Sie sich dabei nicht von Ihrem früheren Gehalt oder Ihrer Psyche beeinflussen. Meine Regel: Jedes Mal, wenn ich von einem Job zum nächsten wechselte, habe ich in Sachen Gehalt noch einmal 20.000 Dollar pro Jahr draufgelegt. Wenn das Unternehmen das nicht bieten kann, sollten Sie mehr Urlaub oder mehr Flexibilität einfordern - oder Sie sehen sich nach einer Stelle in einem anderen Unternehmen um."
Allerdings sollten sich nicht nur die weiblichen Bewerber darum bemühen, den Gender Pay Gap zu überwinden. Auch die Führungskräfte können überprüfen, ob die Gehälter in ihrer Abteilung ausschließlich auf Leistung - oder eventuell doch auf Vorurteilen oder dem besseren Verhandlungsgeschick einiger Weniger beruhen. "Sie sollten regelmäßig Stellenangebote, Gehälter, Boni und Gehaltserhöhungen überprüfen und in mehreren Dimensionen nach Voreingenommenheit suchen. Unternehmen sollten sämtliche Lohnunterschiede korrigieren - nicht nur bei Neueinstellungen", meint Schwartz.
Auch Männer können helfen, indem sie sich zu Wort melden, wenn sie wissen, dass eine Kollegin schlechter bezahlt oder bei einer Beförderung übergangen wird: "Man muss mehr tun, als zu twittern. Wenn man Frauen und Minderheiten dabei unterstützen will, in die Cybersecurity-Branche einzusteigen, gilt es zu handeln. Wir brauchen mehr Menschen - vor allem Männer - die wirklich etwas ändern wollen und nicht nur davon reden", sagt John Stoner, ein Freiwilliger bei The Diana Initiative.
Sarthak Taneja, Sicherheitsingenieur bei Finoa, stimmt zu: "Männer können Verbündete sein und sich für Frauen und Minderheiten in der Technologiebranche einsetzen. Sie können sie ermutigen und ihnen dabei helfen, mit neuem Selbstbewusstsein Fuß zu fassen."
Wege zur ehrlichen Work-Life-Balance
Für Alethe Denis war es eine schwierige Entscheidung, in die Informationssicherheit einzusteigen. Als Mutter wollte sie Zeit mit ihren Kindern verbringen und musste feststellen, dass die meisten Stellenangebote das nicht zuließen: "Was mich von der Cybersicherheit abhielt, war die Befürchtung, viel reisen zu müssen und meine Arbeitszeit nicht auf die Kinderbetreuung abstimmen zu können."
Ihr Arbeitgeber, Critical Insight, habe sie dann jedoch optimal unterstützt: "Sie haben alles getan, um es mir als Mutter von vier Kindern zu ermöglichen, in dieser Branche mit flexiblem Zeitplan effektiv und zu einhundert Prozent remote zu arbeiten. Flexibilität und Verlässlichkeit sind Dinge, die sich mehr Unternehmen auf die Fahnen schreiben sollten", meint Denis. Manchmal sei es für Eltern schwierig, sich eine Auszeit für die Familie zu nehmen, ohne dabei das Gefühl zu haben, verurteilt zu werden, fügt die Cybersecurity-Expertin hinzu.
Dennoch zeigt sich die Vierfach-Mutter optimistisch: "Die Pandemie hat dafür gesorgt, dass Eltern mehr Verständnis entgegengebracht wird. Chefs, die sich bei der Kinderbetreuung in erster Linie auf ihre Ehepartner verlassen haben, sitzen plötzlich mit ihren Kindern im Home-Office und machen Fernunterricht. In einer solchen Umgebung arbeiten zu müssen, hat vielen die Augen geöffnet. Corona hat den Aufbau besserer Arbeitsumgebungen beschleunigt und bei Führungskräften die Akzeptanz für flexible Arbeitszeiten und Remote Work gefördert - Dinge, auf die Eltern schon lange gehofft haben." (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.