Mit aktuell 86.000 offenen Stellen bewegt sich der Mangel an IT-Fachkräften in Deutschland weiterhin auf hohem Niveau, so eine aktuelle Studie des Digitalverbands Bitkom.
Um diesem Problem entgegenzuwirken, ist insbesondere im Bereich der Cybersecurity die Einstellung neuer Talente für Unternehmen jedoch nur ein Teil der Lösung. Denn sind diese Mitarbeiter erst einmal rekrutiert, benötigen sie kontinuierliche Weiterentwicklungsmöglichkeite
Der Aufbau einer nachhaltigen Cybersecurity-Belegschaft erfordert daher einen hybriden Ansatz, der sich sowohl auf die Gewinnung neuer Top-Fachkräfte mit Spezialkenntnissen als auch auf die Umschulung und Fortbildung bestehender Mitarbeiter konzentriert. Unternehmen sollten deshalb auch potenzielle interne Kandidaten mit entsprechender Eignung in Betracht zu ziehen.
In vielen Fällen sind die am schwierigsten zu besetzenden Positionen diejenigen, die umfangreiche praktische Erfahrung erfordern, wie etwa Senior Threat Hunters und Incident Responder, da es viele Jahre dauert, um ein Experte in diesen Bereichen zu werden. Die Teilnahme an den jährlichen Schulungen des SANS-Instituts kann zwar von Vorteil sein und wird auch dringend empfohlen, kann aber nicht das Wissen ersetzen, das durch die Untersuchung und Reaktion auf Vorfälle in einem realen Unternehmen erworben wird. Noch schwieriger wird es, wenn man versucht, qualifizierte Kandidaten mit Erfahrung in der Reaktion auf staatlich unterstützte Angriffe zu finden. Die Vorgehensweise eines Bedrohungsakteurs zu verstehen und zu wissen, wonach man in Bezug auf TTPs (Tactics, Techniques, and Procedures) suchen muss, ist eine enorm wertvolle und teils schwer zu erwerbende Fähigkeit.
Alternative Rekrutierungswege über den Tellerrand hinaus
Viele Unternehmen wenden in der Regel stets die gleichen konventionellen Stellenausschreibungen und Rekrutierungskanäle an, um alle Arten von Cybersicherheitspositionen zu besetzen. Dabei übersehen sie die weniger offensichtlichen, aber oft reichhaltigen Quellen potenzieller Kandidaten, die genau die für eine ausgeschriebene Stelle erforderlichen Fähigkeiten oder Erfahrungen besitzen.
Viele IT-Führungskräfte sind bereits aktive Teilnehmer in einer Vielzahl von Wissensnetzwerken und Communities, die eine umfangreiche Quelle an Möglichkeiten darstellen, wenn es darum geht, potenzielle Kandidaten kennenzulernen und zu bewerten, die ideal zu ihrem Unternehmen passen – ob auf Infosec-Konferenzen, Threat Intelligence-Foren oder Plattformen wie Twitter. In den meisten Fällen erweisen sich diese alternativen Wege, um die vom Unternehmen benötigten Spezialisten zu finden, als sehr zielgerichtet und produktiv.
Interne Talente weiterentwickeln
Bevor Unternehmen eine Stelle ausschreiben, sollten sie zudem einen Blick auf das bestehende Mitarbeiterteam werfen, um zu prüfen, ob es Kandidaten gibt, die für die Übernahme der entsprechenden Position weiterentwickelt werden können. Da diese Mitarbeiter bereits mit dem Unternehmen und dessen Arbeitskultur vertraut sind, können sie sich schnell einarbeiten, sobald sie die zusätzlich benötigten Fähigkeiten und Fertigkeiten erworben haben. Denn die Sicherstellung, dass jeder im bestehenden Team einen definierten Karrierepfad hat, komplett mit Entwicklungsplänen, die darauf ausgelegt sind, ihre technischen Fähigkeiten weiter auszubauen, ist letztlich der Schlüssel zur Bindung einer hoch motivierten Cyber-Belegschaft.
Sicherheitsteams können zudem dazu beitragen, die Talentlücke zu schließen, indem sie auch interne Kandidaten ausfindig machen, die zwar keinen Sicherheitshintergrund haben, aber alle passenden Attribute mitbringen, die für die Übernahme einer Cyber-Rolle erforderlich sind. Da sie bereits mit der Arbeitsweise des Unternehmens vertraut sind und oft über nicht-technische Fähigkeiten wie Teamarbeit und Kommunikation verfügen, kann sich die Beschleunigung des Kompetenzerwerbs dieser Kandidaten langfristig auszahlen.
Mitarbeiterbindung: Gehalt nicht der einzige Faktor
Zwar ist das Gehalt ein wichtiger Motivationsfaktor für jeden Mitarbeiter, jedoch sind viele Bewerber auch auf der Suche nach Positionen, in denen sie ihr Wissen erweitern und ihre Karriere so weit wie möglich vorantreiben können. Jeden Tag die gleichen Aufgaben zu erledigen, unterfordert Fachkräfte rasch und kann schnell zur Fluktuation führen, was das Letzte ist, was ein Unternehmen möchte, wenn qualifizierte Mitarbeiter bereits rar gesät sind. Bieten Arbeitgeber ihren Mitarbeitern die Möglichkeit, mit neuesten Technologien und Sicherheitstools oder an verschiedenen kleinen, interessanten Projekten zu arbeiten, bleiben diese Fachkräfte nicht nur engagiert, sondern verbessern auch die allgemeinen Teamfähigkeiten, was zu einer kooperativeren Umgebung führt. Dies hilft nicht nur, zusätzliche neue Talente anzuziehen, sondern auch, sie zu halten.
Strukturiertes Personalmanagement
Zudem sollten Unternehmen in ein gut strukturiertes Personalmanagement investieren, um sicherzustellen, dass sie die benötigten Cybersecurity-Fachkräfte bekommen und auch langfristig an sich binden. Laut einer aktuellen globalen Studie von ESG und ISSA haben 70 Prozent der Cybersecurity-Fachkräfte immer noch keinen klar definierten Karrierepfad. 29 Prozent der Befragten wünschen sich, dass ihr Unternehmen mehr Schulungen im Bereich Cybersicherheit anbietet, und 44 Prozent halten praktische Erfahrungen für ebenso wichtig, um in einem neuen Bereich kompetent zu werden. Unternehmen sollten die Art und Weise, wie sie die Fähigkeiten, Rollen und Fertigkeiten ihrer Teams entwickeln, daher auf den Prüfstand stellen, um Mitarbeiter Möglichkeiten in Theorie und Praxis zu bieten, ihre Kompetenzen auszubauen und zu verfeinern.
Angesichts des Fachkräftemangels in der gesamten Cybersicherheitsbranche, erfordert das Finden und Halten von Top-Talenten einen ganzheitlichen und anpassungsfähigen Ansatz. Neben alternativen Rekrutierungswegen, um neue Fachkräfte zu gewinnen, stehen die Chancen gut, dass viele Cybersicherheitstalente bereits für das Unternehmen arbeiten und durch entsprechende Förderung neue Positionen innerhalb der Organisation übernehmen können. Durch diesen hybriden Rekrutierungsansatz, mit besonderem Augenmerk auf die Weiterentwicklung der Mitarbeiter, können Unternehmen dem Fachkräftemangel im Security-Bereich aktiv entgegenwirken.