Fachkräftemangel: Mythos oder verzerrte Wahrnehmung?

Warum es keine Cyber-Qualifikationslücke gibt

BIld: Getty Images / Credits: sankai

Die eigentliche Herausforderung für die Cybersicherheit ist nicht der Fachkräftemangel, sondern eine Resilienzlücke, sagen Experten wie Anna Brailsford, CEO von Code First Girls und Brian Brackenborough, CISO bei Channel 4. Der eigentliche Mangel entstünde dadurch, dass Cyberfähigkeiten und Mitarbeiter nicht als strategische Vermögenswerte behandelt werden. Das sei aber für das Überleben von Unternehmen und Volkswirtschaften unerlässlich.

Seit Jahren wiederholt die Branche denselben Refrain: Es gibt einen Mangel an Cyber-Fachkräften. Was aber, wenn das eigentliche Problem nicht der Mangel an Menschen ist, die bereit sind, im Cyberbereich zu arbeiten, sondern die Art und Weise, wie Organisationen Rollen definieren, ihre Belegschaft planen und Resilienz bewerten?

Einst als spezialisierte IT-Funktion angesehen, ist Cybersicherheit heute direkt mit der Geschäftskontinuität, dem Überleben von Unternehmen und der nationalen Wirtschaftssicherheit verbunden. Anna Brailsford, CEO von Code First Girls, stellt fest, dass Cybersicherheit „von einem Teilsegment der Technologie zu einer der größten Fragen geworden ist, mit denen sich Vorstände befassen müssen“.

Die jüngsten Vorfälle haben Führungskräfte dazu gezwungen, Cyberangriffe als Bedrohung für Umsatz, Ruf und Betrieb zu betrachten. Resilienz – die Fähigkeit, während und nach einem Vorfall funktionsfähig zu bleiben – ist heute genauso wichtig wie Prävention.

Image
Description
Anna Brailsford ist CEO bei Code First Girls.

Diese Resilienz bedeutet, zu planen, wie eine Organisation unter Stress funktioniert. Auch Brian Brackenborough, CISO bei Channel 4, sagt, dass vieles davon auf die Menschen zurückzuführen ist.

„Es geht nicht nur um die technische Seite”, sagt er. „Wie würden wir weiterarbeiten? Wie würden wir unsere Mitarbeiter informieren? Ich fand es faszinierend, als die Geschäftsführerin von Co-op im Fernsehen über den Vorfall sprach und erwähnte, dass sie die Anspannung in den Gesichtern der Menschen gesehen habe, die damit zu tun hatten.”

Brackenborough beschreibt eine Veränderung, die er sowohl begrüßenswert als auch ungewohnt findet: CEOs stellen tiefgreifendere Fragen und unterstützen Veränderungen aktiv. „Ich bekomme ein Maß an Unterstützung, das ich nicht gewohnt bin“, scherzt er (halb).

Die Qualifikationslücke, die vielleicht gar keine ist

Dass es eine Qualifikationslücke im Bereich der Cybersicherheit gibt, ist unbestritten. Aber ist das vielleicht nur ein Symptom? Falls dem so ist, muss es eine Ursache geben.

Sowohl Brailsford als auch Brackenborough argumentieren, dass das Problem nicht in einem Mangel an Talenten liegt, sondern in einer fehlgeschlagenen Rollenkonzeption und Personalstrategie. Beide sind sich einig, dass viele ausgeschriebene Cyber-Stellen offenbar „Alleskönner“ suchen.

Image
Description
Brian Brackenborough ist CISO bei Channel 4.

Brailsford erklärt: „Sie verlangen ein gewisses Maß an Erfahrung in verschiedenen Bereichen, wie zum Beispiel als Sicherheitsarchitekt oder Incident Responder. Das schafft keine Pipeline in das Unternehmen und ermöglicht keine Nachfolgeplanung.

„Anstatt strategisch zu planen und in die Zukunft zu investieren, sehen wir, dass Unternehmen immer wieder dieselben Leute vom Markt abwerben, die einfach von Unternehmen zu Unternehmen wechseln, und das ist nicht nachhaltig.“

Brailsford sagt, dass die Cybersicherheitsprogramme von Code First Girls stark überzeichnet sind. Entgegen der oft gehörten Erzählung, dass Frauen einfach weniger Interesse an technologieorientierten Berufen haben als Männer, mangelt es nicht an Nachfrage von jungen Frauen und älteren Quereinsteigern. Der Engpass liegt auf der Arbeitgeberseite, wo Unternehmen in der oben beschriebenen Rosinenpickerei-Mentalität feststecken.

Dies ist nicht nur nicht nachhaltig, sondern untergräbt auch aktiv die Widerstandsfähigkeit. Teams, die sich aus Personen mit ähnlichem Hintergrund und ähnlicher Denkweise zusammensetzen, neigen dazu, auch blinde Flecken zu teilen. Die Cybersicherheit, die auf der Vorhersage menschlichen Verhaltens und unkonventioneller Bedrohungen beruht, profitiert jedoch von vielfältigem Denken, das Quereinsteiger in Hülle und Fülle mitbringen.

Brailsford weist darauf hin, dass die fünfjährige Partnerschaft zwischen GCHQ und Code First Girls ein Beweis dafür ist, dass es nicht funktioniert, sich ausschließlich auf die Hochschulbildung als Quelle für Cybersicherheitskompetenzen zu verlassen.

„Der Grund, warum GCHQ diese Lehrpläne gemeinsam mit uns entwickelt hat, ist, dass sie diese nicht aus der Hochschulbildung beziehen konnten“, sagt sie. „Die Fähigkeiten, die auf Hochschulniveau vermittelt werden, entsprechen nicht den Anforderungen der Branche. Wir müssen nach anderen Wegen suchen, um Talentpools mit unterschiedlichen Hintergründen aufzubauen, und wir müssen agile Anbieter finden, die diese Lehrpläne bereitstellen.“

Wissenslücken vermeiden

„Wir haben eine Vielzahl von Untersuchungen, die zeigen, dass Frauen etwas später im Leben zur Technologie kommen, sei es im vorletzten Jahr ihres Studiums eines nicht-technologischen Fachs oder nach drei bis fünf Jahren in einem anderen Beruf.

„Wir brauchen Teile des Budgets, die speziell auf diese Gruppen ausgerichtet sind, einschließlich der derzeit Arbeitslosen, denn diese Gruppen können sofort etwas bewirken. Ich weiß nicht, welchen ROI wir durch reine Investitionen in Schulen und Hochschulen erzielen werden.“

Das Problem wird durch einen weiteren Trend verschärft, der Brailsford beunruhigt: den Rückgang von Einstiegsjobs im Bereich Cybersicherheit in Großbritannien und die zunehmende Auslagerung von Cybersicherheit ins Ausland. Sie beschreibt eine Situation, in der sich viele Unternehmen in einer Art Personalparalyse befinden.

„Was wir im Hintergrund beobachten, ist ein Rückgang der Nachfrage nach Einstiegstalenten für Festanstellungen. Die Zahl der befristeten Stellen nimmt zu.

„Es ist still und leise passiert, aber ich sehe so viel Offshoring. Ich würde Anreize schaffen, um Einstiegstalente hier zu halten. Ich glaube, viele Unternehmen nutzen KI als Ausrede, weil sie nicht wissen, welche Fähigkeiten sie in zwei Jahren benötigen werden.

„Ich sehe nicht viele Unternehmen, die den Wert des Wissens hinterfragen, das durch Offshoring verloren geht, insbesondere in einem Bereich wie der Cybersicherheit. Sie schauen nur auf das, was kurzfristig eingespart wird.“

Kurzfristige Kosteneinsparungen gehen zu Lasten des institutionellen Wissens, und Brailsford räumt ein, dass es schwierig ist, dieses Wissen genau zu bewerten. Unternehmen müssen in Menschen investieren, realistische Karrierewege schaffen und Cyberfähigkeiten als strategischen Vorteil betrachten.

Resilienz kann man nicht von der Stange kaufen, und Talente lassen sich nicht einfach durch die Zusammenlegung von Aufgabenbereichen hervorzaubern. Vielfältige Teams, klare Rollen und nachhaltige Arbeitsbelastungen sind wirtschaftliche Notwendigkeiten. Die Cyber-Kompetenzlücke mag ein Mythos sein, aber die Resilienzlücke ist sehr real.

Um sie zu schließen, ist ein grundlegendes Umdenken erforderlich.

Dieser Artikel erschien ursprünglich auf unserer Schwester-Website Computing.