Volodymyr TVERDOKHLIB | shutterstock.com
Die Nachfrage nach Cybersecurity-Spezialisten ist ähnlich hoch wie deren Gehälter. Laut einem aktuellen, US-zentrischen Benchmark Report von IANS und Artico Search liegt das durchschnittliche Grundgehalt für Führungsrollen im Bereich IT-Safety in Nordamerika bei mehr als 150.000 Greenback jährlich. Und auch wenn die Vergütung in Europa und Deutschland generell etwas geringer ausfällt, verdienen Sicherheitsprofis auch hierzulande immer noch mehr als anständig.
Doch zur Wahrheit gehört auch: In der Cybersecurity-Branche tätig zu sein, bringt various Herausforderungen mit sich, die in Stellenanzeigen, Medienberichten und auch auf Branchenveranstaltungen regelmäßig totgeschwiegen werden. Und das aus gutem Grund: Safety-Jobs haben erhebliches Zermürbungs- und Ermüdungspotenzial. Das unterstreicht auch eine andere Erkenntnis der eingangs genannten Umfrage: Demnach sind die meisten befragten Fachkräfte gegenüber ihrer Tätigkeit zwar positiv eingestellt. Mit fortschreitender Berufserfahrung steigt jedoch auch die Unzufriedenheit.
Um herauszufinden, warum das so ist, haben wir diejenigen gefragt, die es wissen müssen: erfahrene Cybersecurity-Experten. Ihre Perspektiven geben nicht nur Aufschluss über die harte Realität des Safety-Alltags. Sie liefern auch wirksame Strategien, um diese Problemstellungen zu überwinden.
1. IT-Safety-Clubdenke
Laut Mike Morrato, CISO beim Softwareanbieter Ahead Networks, ist die erste große Hürde für eine Cybersecurity-Karriere, einen Einstiegspunkt zu finden. Das schreibt der Sicherheitsentscheider in erster Linie der anhaltenden Abschottung innerhalb der Branche zu. “Ich conflict früher ebenfalls der Meinung, dass man als effektiver Safety-Profi nicht ohne grundlegendes Netzwerk-Knowhow auskommt. Diese engstirnige Perspektive habe ich inzwischen abgelegt – in der Branche ist sie allerdings noch weit verbreitet.”
In der Folge, so Morrato, konzentrierten sich Führungskräfte und Personalabteilungen oft ausschließlich auf Bewerber mit bestimmten Abschlüssen oder spezifischen Qualifikationen und Zertifizierungen – in der Regel von großen Anbietern wie Cisco, Juniper oder Palo Alto. Das sei zwar aufgrund der hohen Einstiegsgehälter durchaus nachvollziehbar, schließe aber viele fähige Menschen unfairerweise aus.
Um dieser Praxis entgegenzuwirken, übernimmt der Ahead-Networks-CISO inzwischen selbst eine aktive Rolle bei der Personalbeschaffung. Er schreibt persönlich die Stellenbeschreibungen und prüft eingehende Bewerbungen in Kooperation mit der Personalabteilung: “Dabei achte ich insbesondere auf Bewerber, die aufgrund eines unkonventionellen Profils eher unter den Tisch gefallen wären. Zum Beispiel Menschen mit neurodiversem Profil. Würden wir diese Bewerber ignorieren, müssten wir auf einige gute Talente in unserer Entwicklungs- und Sicherheitsabteilung verzichten.”
Abschlüsse und Zertifizierungen dienen Morrato hingegen lediglich als Entscheidungshilfe bei gleichermaßen qualifizierten Kandidaten. Der Supervisor empfiehlt seinen Berufskollegen außerdem, auch Bewerber aus artverwandten Bereichen in Erwägung zu ziehen: “Wenn ein Netzwerktechniker in die Cybersecurity wechseln möchte, passt das sehr intestine. Er kennt vielleicht nicht alle Sicherheitstechnologien, dafür aber die, die diese erst ermöglichen.”
2. Kulturelle Gaps
Nach einem unter Umständen hürdenbehafteten Einstieg landen manche Sicherheitsprofis in Groups, in denen sie sich nicht willkommen oder unterstützt fühlen. Das hängt nach Auffassung von Jinan Budge, Analysis Director bei Forrester, mit der Artwork und Weise zusammen, wie die meisten Karrierewege in der Cybersicherheit strukturiert sind: “Weil die meisten Teamleiter aus technischen Funktionen aufsteigen, fehlen diesen oft die Führungsqualitäten und die zwischenmenschlichen Fähigkeiten, die für eine gesunde Teamkultur und den effektiven Umgang mit Stakeholdern erforderlich sind. Diese kulturelle Kluft hat konkrete Auswirkungen auf den Einzelnen und kann zu psychologischer Unsicherheit führen.”
Passenderweise haben die Analysten von Forrester kürzlich eine Studie veröffentlicht, die einen starken Zusammenhang zwischen geringer psychologischer Sicherheit und organisatorischen Problemen wie Fehlzeiten, isolierter Kommunikation und – noch alarmierender – einer erhöhten Wahrscheinlichkeit von Breaches aufzeigt. Managerin Budge empfiehlt Profis, die sich einem solchen Umfeld wiederfinden, ehrliche Selbstreflexionsmaßnahmen: “Es ist wichtig zu hinterfragen: Ist das wirklich toxisch? Kann ich darauf Einfluss nehmen? Kann ich mich ändern? Ist das mein Drawback oder eher das der Organisation selbst oder des Vorgesetzten?”
Um solche Fragen klären zu können, seien auch Ressourcen wie Worker-Help-Programme, Govt Coaches oder auch Psychologen ratsam, meint Budge. “Stellt sich am Ende heraus, dass das Kernproblem bei der Organisation liegt, kann ich nur dazu raten, einen Ausstieg in Betracht zu ziehen”, so die Chefanalystin. Dabei räumt Budge jedoch ein, dass nicht wenige Fachkräfte zögerten, toxische Beschäftigungsverhältnisse möglichst schnell hinter sich zu lassen: “Sie befürchten, dass es sich negativ auf ihre künftigen Berufssaussichten auswirken könnte, wenn sie nur einige Wochen bleiben. Das führt regelmäßig dazu, dass Fachkräfte die State of affairs einfach zwölf bis 18 Monate aussitzen, bis sie tätig werden.”
Um solche Szenarien zu verhindern, empfiehlt die Managerin, potenzielle Arbeitgeber sorgfältig unter die Lupe zu nehmen – insbesondere, wenn es dabei um Führungspositionen geht.
3. Neinsager-Stigma
Schon die IT-Abteilung ist des Öfteren ein Silo. Wird Cybersecurity zu einem weiteren Silo innerhalb dieses Silos, potenziert sich der Isolationsgrad, wie Bharat Mistry, Discipline CTO beim Sicherheitsanbieter Development Micro, erklärt: “Sie haben Netzwerkteams, Serverteams, IT-Anwendungsteams – und das Sicherheitsteam kommt dann am Ende der Kette. Diese Isolation prägt letztlich auch, wie Cybersecurity in der Organisation intern wahrgenommen wird.”
Um interne Diskrepanzen zu überwinden, empfiehlt Mistry, Veranstaltungen zu organisieren, bei denen das Cybersicherheitsteam Einblicke in die allgemeine Bedrohungslage und die aktuelle State of affairs des Unternehmens gibt – und parallel andere Abteilungen um Enter bittet. Ein solcher Dialog könne dazu beitragen, einen hartnäckigen Mythos zu widerlegen: “Cybersicherheit wird vor allem als technisches Drawback angesehen. Und in den meisten Unternehmen herrscht die Auffassung, dass das alleine in den Zuständigkeitsbereich der IT fällt. Was natürlich nicht stimmt.”
Als Gegenmittel empfiehlt der Development-Micro-Entscheider, “Cyberchampions” aus verschiedenen Abteilungen zu benennen. Das sei nicht nur ein geeignetes Mittel, um das Thema IT-Safety zu entmystifizieren, sondern trage auch dazu bei, das Bewusstsein für die damit verbundenen Risiken zu schärfen und eine gute Cyberhygiene zu fördern.
Richard Addiscot, Vice President Analyst bei Gartner, beobachtet indes, dass solche informellen Rollen zunehmend in Positionen wie dem Enterprise Data Safety Officer (BISO) formalisiert werden. Das spiegle laut dem Analysten den wachsenden Bedarf wider, die IT-Safety auf allen Unternehmensebenen zu verankern. Er gibt jedoch zu bedenken: “Selbst wenn es solche Rollen gibt – die Kommunikation muss von oben angestoßen werden. Der CISO muss klar artikulieren, wie die Safety auf die übergeordneten Unternehmensziele einzahlt. Oft besteht dabei allerdings eine Diskrepanz zwischen den Kommunikationserwartungen des Unternehmens und dem, was der CISO tatsächlich kommuniziert”, meint der Gartner-Mann und weist darauf hin, dass diese Kluft in der Regel auf den technischen Hintergrund des CISO zurückzuführen ist.
4. Überhöhte Erwartungen
Das unerbittliche Tempo des technologischen Wandels sieht Anthony Diaz, CISO beim Plattformanbieter Exterro, mit Blick auf Cybersecurity-Karrieren ebenfalls als problematisch an: “Bedrohungsakteure lernen schnell, finden ständig neue Ansätze und nutzen die neuesten Innovationen – einschließlich KI. Für uns als Verteidiger heißt das, sich ständig weiterbilden und anpassen zu müssen, was äußerst anspruchsvoll sein kann.”
Allerdings geht es dabei nicht nur darum, mehr zu lernen, sondern auch darum, mehr zu tun. Insbesondere auf Führungsebene wird von Sicherheitsprofis viel erwartet. Ein Phänomen, das die Analysten von Forrester als “Da Vinci Fallacy” bezeichnen. Chefanalystin Budge erklärt: “Von CISOs wird erwartet, dass sie Experten sind. Und zwar nicht nur, wenn es um Cybersicherheit geht, sondern auch mit Blick auf Technologie, Strategie, Finanzen, Private und Kommunikation. Das kann eine enorme Belastung darstellen.”
Um den gestiegenen Anforderungen an Cybersicherheitsexperten gerecht zu werden, plädiert Exterro-CISO Diaz für Schulungsprogramme, die nicht nur die wesentlichen Grundlagen der Cybersicherheit vermitteln, sondern auch das Thema Risikomanagement integrieren: “Das sollte regelmäßige, realistische Risikobewertungen beinhalten. Zudem gilt es, praktische Strategien zur Risikominderung zu entwickeln, die sowohl technologische Aspekte als auch den Faktor Mensch berücksichtigen.”
5. Emotionale Belastung
Auszeiten sind für Sicherheits- und IT-Entscheider eher die Ausnahme als die Regel. Jason James, CIO beim E-Commerce-Anbieter Aptos, spricht deshalb auch nicht mehr von Work-Life-Stability: “Ich ziehe den Begriff ‚Work-Life-Harmonie‘ vor, weil Work-Life-Stability den Eindruck vermittelt, es würde sich um gleichwertige Anteile handeln. In diesem Job ist man ständig in Alarmbereitschaft. Das kann emotional belasten.”
Um die “Work-Life-Harmonie” zu verwirklichen, empfiehlt der Supervisor, sich auf Dinge zu fokussieren, die Freude bereiten und neue Perspektiven eröffnen: “In meinem Fall heißt das, Bücher zu lesen, die nichts mit der Arbeit zu tun haben oder Familienausflüge zu unternehmen. Und: Ich stelle sicher, dass mein Staff dasselbe tut. Dazu überprüfe ich regelmäßig, ob meine Leute auch ihren Urlaub in Anspruch nehmen.”
Wenn wichtige Teammitglieder Urlaub nehmen, muss natürlich auch dafür gesorgt sein, dass die Dinge wie gewohnt weiterlaufen können. Deshalb setzt Patrick Glennon, CTO beim US-Datenspezialisten IDIQ, auf einen Cross-Coaching-Ansatz, der durch Wissenstransfers dazu beiträgt, Redundanzen zwischen den einzelnen Rollen aufzubauen: “Einer unserer wichtigsten Mitarbeiter hat sich gerade ein paar Wochen frei genommen, um nach Europa zu reisen. Das ist nur möglich, weil wir zwei Mitarbeiter haben, die ihn vertreten.”
Letztlich kommt IT- und Sicherheitsentscheidern nicht nur die Aufgabe zu, Systeme und sich selbst zu schützen, sondern auch ihre Mitarbeiter, wie Aptos-CIO James konstatiert: “Unsere Umgebungen werden durch Technologie abgesichert. Aber letztlich ist es auch meine Pflicht, diejenigen Menschen zu schützen, die uns schützen.” (fm)
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser E-newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
