Lernbereitschaft als Grundvoraussetzung

Lernbereitschaft als Grundvoraussetzung

IT-Security ist ein extrem dynamisches Thema. Dementsprechend flexibel und agil müssen Organisationen handeln, um Bedrohungen abzuwenden. Wir haben Dr. Bernd Eßer befragt, welche Strategie er verfolgt, um Mitarbeiter zu gewinnen und wohin sich der Arbeitsmarkt entwickelt.

Welche Art von Fachkräften beschäftigen Sie im Bereich IT-Security?
Wir beschäftigen hier einen relativ breiten Mix an Fachkräften: Im präventiven Bereich sind es Mitarbeiter mit einem sehr weit gefächerten Know-how. Sie befassen sich unter anderem mit Prozessen und stellen sicher, dass IT-Sicherheit in allen Geschäftsprozessen repräsentiert ist, erstellen Sicherheitskonzepte oder begleiten IT-Architekten. Sie müssen mögliche Bedrohungen frühzeitig erkennen. Hier legen wir beispielsweise Wert auf Genauigkeit und Sorgfalt. Auf der anderen Seite beschäftigen wir im Security Operations Center sehr viel spezialisiertere Mitarbeiter, z. B. für Aufgaben im Sicherheitsvorfallmanagement oder der Cyber-Threat-Analyse. Ihre Kompetenzen sind weniger breit als die der Kollegen, dafür aber wesentlich tiefer. Sie ticken auch etwas anders, denn sie müssen sehr schnell sein, wenn es tatsächlich zu einem Sicherheitsvorfall kommt. Dann müssen sie die Bedrohung umgehend lokalisieren und sofort abwehren.

Finden Sie ausreichend Mitarbeiter mit den passenden Qualifikationen?
Die Generalisten finden wir zum Glück noch vergleichsweise einfach über die klassischen Rekrutierungswege. Bei den Spezialisten hingegen ist es sehr schwer, es gibt sie selten am Markt. Wir können sie auch nur bedingt aus den klassischen Studiengängen rekrutieren. Inzwischen gibt es zwar mehr Studiengänge im Bereich IT-Forensik,aber einen guten Teil des Wissens erwirbt man hier nicht im Studium, das muss man in der Praxis lernen. Hinzu kommt: Ein Studium ist eine gute Basis, gleichzeitig aber auch relativ statisch. Und das Cyberthema ist in vielen Dimensionen hochgradig dynamisch. Wir verfolgen hier die Strategie, selbst on the Job auszubilden, also eher auf dem nicht-akademischen Weg. Dadurch verbreitern wir zugleich den Bewerberpool. Außerdem bieten wir ein berufsbegleitendes Masterprogramm für Bachelorabsolventen an.

Wie wird sich der Fachkräftebedarf zukünftig entwickeln?
Der Bedarf steigt seit Jahren kontinuierlich. Auf der anderen Seite bleibt die Zahl derjenigen konstant, die im Bereich IT Security ausgebildet werden. Konkret haben wir hier somit eine Unterdeckung. Über die Ursachen, warum sich so wenige junge Menschen für diese Spezialisierung entscheiden, kann ich nur spekulieren. Vielleicht müsste man mit groß angelegten und staatlich geförderten Stipendienprogrammen arbeiten. Denn bei den Kandidaten aus unseren On-the-Job-Ausbildungsgängen hatte ich manchmal den Eindruck, dass sie anfangs nicht so genau einschätzen können, worauf sie sich einlassen. Aber nach den zweieinhalb Jahren brennen wirklich zwei Drittel von ihnen für das Thema Cyber-Security.

Der Mangel und der hohe Spezialisierungsgrad werden dazu führen, dass man die einzelnen Spezialisten gar nicht in jeder Organisation aufbauen kann, sondern sie in einem Pool zentralisiert und ihr Know-how gemeinsam nutzt. Hier gibt es in der Industrie ja schon Aktivitäten, bei denen sich einige DAX-Unternehmen zusammengetan haben. Wenn selbst sie sich fragen müssen, wie sie diese Kandidaten gewinnen können, sagt das viel. Hinzu kommt: Wir haben es bei den Spezialisten mit einer ganz besonderen Art von Menschen zu tun. Wenn sie sich für ein Thema begeistern, dann möchten sie das auch in interessanten Projekten ausleben. Und da reduziert sich die Zahl potenzieller Arbeitgeber schon sehr. Insofern ist ein solcher Pool sehr sinnvoll.

Kann die Automatisierung von IT-Sicherheitsprozessen eine Lösung sein?
Das sehe ich differenziert. Es gibt hier durchaus Hoffnung und ich bin mir sicher, dass es möglich sein wird, bestimmte Schritte zu automatisieren. Was man aber auch sehen muss und wo dann die Grenzen liegen: IT Security hat einen Gegner und das ist in der Regel ein Mensch – und der beobachtet natürlich auch und kann reagieren. Deswegen werden wir zumindest bei den hochqualifizierten Tätigkeiten immer auf Menschensetzen müssen. Weil all das, was wir im Bereich Automatisierung implementieren, derjenige auf der anderen Seite sofort sieht und darauf reagiert. Deshalb: Ja, auf der Ebene der niedriger qualifizierten Tätigkeiten wird künstliche Intelligenz helfen können, aber bei den anderen Aufgaben nur begrenzt.


Interview aus dem aktuellen DEKRA Arbeitsmarktreport.
Mehr Informationen dazu bekommen Sie hier: DEKRA Arbeitsmarkt-Report 2018