Gegen den Security-Fachkräftemangel
So finden Unternehmen Talente – und halten sie
Der Fachkräftemangel in der IT ist keine Neuheit. Im Bereich der Security wächst er sogar noch weiter, da der Bedarf aufgrnund der steigenden Bedrohungslage immens steigt. Unternehmen können aber zunächst in ihren eigenen Reihen Ausschau halten.
Mit aktuell 86.000 offenen Stellen bewegt sich der Mangel an IT-Fachkräften in Deutschland weiterhin auf hohem Niveau, so eine aktuelle Studie des Digitalverbands Bitkom. Um diesem Problem entgegenzuwirken, sei laut Tim Bandos, Chief Information Security Officer bei Digital Guardian insbesondere im Bereich der Cybersecurity die Einstellung neuer Talente für Unternehmen nur ein Teil der Lösung. Denn sind diese Mitarbeitenden erst einmal rekrutiert, benötigen sie kontinuierliche Weiterentwicklungsmöglichkeiten, um ihre Cybersecurity-Fähigkeiten auf dem neuesten Stand zu halten. Auch sollten Unternehmen für das Finden und langfristige Halten von Top-Talenten eine interne Strategie aufbauen, um ihre Mitarbeitenden in ihren Rollen zu unterstützen und ihnen langfristige Karrieremöglichkeiten zu bieten. Zudem werden selbst Organisationen mit hohen Budgets Schwierigkeiten haben, alle Fachkräfte einzukaufen, die benötigt werden, um die Qualifikationslücke im Security-Bereich zu schließen.
Der Aufbau einer nachhaltigen Cybersecurity-Belegschaft erfordert daher einen hybriden Ansatz, der sich sowohl auf die Gewinnung neuer Top-Fachkräfte mit Spezialkenntnissen als auch auf die Umschulung und Fortbildung bestehender Mitarbeitenden konzentriert. Unternehmen sollten deshalb auch potenzielle interne Kandidaten mit entsprechender Eignung in Betracht zu ziehen.
In vielen Fällen sind die am schwierigsten zu besetzenden Positionen diejenigen, die umfangreiche praktische Erfahrung erfordern, wie etwa Senior Threat Hunters und Incident Responder, da es viele Jahre dauert, um Expertise in diesen Bereichen zu gewinnen. Die Teilnahme an den jährlichen Schulungen des SANS-Instituts kann zwar von Vorteil sein und wird auch dringend empfohlen, kann aber nicht das Wissen ersetzen, das durch die Untersuchung und Reaktion auf Vorfälle in einem realen Unternehmen erworben wird. Noch schwieriger wird es, wenn man versucht, qualifizierte Kandidaten und Kandidatinnen mit Erfahrung in der Reaktion auf staatlich unterstützte Angriffe zu finden. Die Vorgehensweise eines Bedrohungsakteurs zu verstehen und zu wissen, wonach man in Bezug auf TTPs (Tactics, Techniques, and Procedures) suchen muss, sei eine enorm wertvolle und teils schwer zu erwerbende Fähigkeit, so Bandos.
Alternative Rekrutierungswege
Viele Unternehmen wenden in der Regel stets die gleichen konventionellen Stellenausschreibungen und Rekrutierungskanäle an, um alle Arten von Cybersicherheitspositionen zu besetzen. Dabei übersehen sie die weniger offensichtlichen, aber oft reichhaltigen Quellen potenzieller Fachkräfte, die genau die für eine ausgeschriebene Stelle erforderlichen Fähigkeiten oder Erfahrungen besitzen.
Viele IT-Führungskräfte sind bereits aktive Teilnehmer in einer Vielzahl von Wissensnetzwerken und Communities, die eine umfangreiche Quelle an Möglichkeiten darstellen, wenn es darum geht, potenzielle Kandidaten und Kandidatinnen kennenzulernen und zu bewerten, die ideal zu ihrem Unternehmen passen – ob auf Infosec-Konferenzen, Threat Intelligence-Foren oder Plattformen wie Twitter. In den meisten Fällen erwiesen sich laut Tim Bandos diese alternativen Wege, um die vom Unternehmen benötigten Spezialisten und Spezialistinnen zu finden, als sehr zielgerichtet und produktiv.
Interne Talente weiterentwickeln
Bevor Unternehmen eine Stelle ausschreiben, sollten sie zudem einen Blick auf das bestehende Mitarbeiterteam werfen, um zu prüfen, ob es Talente gibt, die für die Übernahme der entsprechenden Position weiterentwickelt werden können. Da diese Mitarbeitende bereits mit dem Unternehmen und dessen Arbeitskultur vertraut sind, können sie sich schnell einarbeiten, sobald sie die zusätzlich benötigten Fähigkeiten und Fertigkeiten erworben haben. Denn die Sicherstellung, dass jedes Teammitglied einen definierten Karrierepfad hat, komplett mit Entwicklungsplänen, die darauf ausgelegt sind, ihre technischen Fähigkeiten weiter auszubauen, ist letztlich der Schlüssel zur Bindung einer hoch motivierten Cyber-Belegschaft.
Sicherheitsteams können zudem dazu beitragen, die Talentlücke zu schließen, indem sie auch internes Kandidaten und Kandidatinnen ausfindig machen, die zwar keinen Sicherheitshintergrund haben, aber alle passenden Attribute mitbringen, die für die Übernahme einer Cyber-Rolle erforderlich sind. Da sie bereits mit der Arbeitsweise des Unternehmens vertraut sind und oft über nicht-technische Fähigkeiten wie Teamarbeit und Kommunikation verfügen, kann sich die Beschleunigung des Kompetenzerwerbs langfristig auszahlen.
- So finden Unternehmen Talente – und halten sie
- Gehalt nicht der einzige Faktor
Lesen Sie mehr zum Thema
