Firmen buhlen um IT-Sicherheitsfachkräfte

Einzelmaßnahmen werden nicht ausreichen.

„Der deutsche Security-Markt steht aktuell unter den Zeichen eines akuten Fachkräftemangels und der neuen Datenschutz-Grundverordnung DSGVO“

ISG Provider Lens™ Study – Cyber Security Solutions & Services 2019

Seit Jahren zeichnet sich ein Defizit an Sicherheitsfachleuten ab – nicht nur in Deutschland, sondern weltweit. So prognostiziert ISC² in seiner aktuellen Cybersecurity Workforce Studie:

„The Asia/Pacific region is suffering from the largest shortfall of about 2.14 million with North America having the next biggest need with 498,000 workers needed, then EMEA at 142,000 and Latin America at 136,000.“

(ISC)² Cybersecurity Workforce Study 2018

Firmen und Organisationen versuchen nun, diese Lücken individuell zu schließen. Dazu gehören Ersatzmaßnahmen wie Bug-Bounty-Programme, bei denen die Organisation die Suche und Identifikation von Sicherheitslücken an Dritte verlagert.

Weitere Aktionen zielen auf die Identifikation und Förderung von Nachwuchs im Rahmen von Hacking-Wettbewerben oder Einrichtung von Center of Expertise.

All diese Maßnahmen zielen primär auf eher technisch orientierte Mitarbeiter, z. B. Penetrationstester oder Softwareentwickler. Dabei werden in Sicherheitsumfeld noch weitere Experten gesucht, z. B. Spezialisten, die ein unternehmensweite Sicherheitsmanagement konzeptionieren, dokumentieren und im laufenden Betrieb pflegen oder Generalisten, die die gefundenen Schwachstellen mit den betrieblichen Belangen in Zusammenhang bringen und die sich daraus ergebenden Risiken bewerten.
Hinzu kommt noch, dass die Aufgaben und Anforderungen an eine Sicherheitsfachkraft in der Firma A unterschiedlich zu denen in Firma B sind, auch wenn die Stellenbeschreibungen und Stellentitel durchaus identisch klingen.

Andere Wege werden nun in den USA eingeschlagen. In der NIST Special Publication SP 800-181 wird im Rahmen der National Initiative for Cybersecurity Education (NICE) ein umfangreiches „Cybersecurity Workforce Framework beschrieben, das im Detail die Bereiche, Rollenbezeichnungen und Aufgaben der verschiedenen Rollen in einer Security-Organisation beschreibt. Weiterhin sind zu jeder dieser Rolle auch das erforderliche Wissen und die Fähigkeiten aufgelistet.

Diese umfangreiche Standardisierung soll es einmal den Arbeitgebern erleichtern, die internen Positionen mit geeignetem Personal zu besetzen.
Gleichzeitig wird den Mitarbeitern und Ausbildungsinstitutionen die erforderlichen Anforderungen an bestimmte Rollen eindeutig mitgeteilt, so dass sich potentielle Kandidaten bereits im Vorfeld entsprechen schulen können und sich idealerweise nur für die Positionen bewerben, die ihrem Wissen und den Fähigkeiten entsprechen.

Mit diesem Framework ergeben sich nun vielfältige Möglichkeiten und Vorteile für alle Beteiligten. Ein Beispiel für das Einsatzfeld der Informationen aus dem NICE Framework finden sich auf dem Portal von Cyberseek.org. Dieses Portal stellt Arbeitgebern und Stellensuchenden, aber auch Ausbildungsstätten und anderen Interessierten verwertbare Informationen über den Cybersecurity-Stellenmarkt (in den USA) zur Verfügung.

Dazu bietet das Portal im Moment zwei interaktive Anwendungen:

  1. Cybersecurity Career Pathway – informiert den Interessenten über typische Cybersecurity-Rollen und die dazugehörigen Karrieremöglichkeiten inklusive aktuell offene Positionen und Durchschnittsgehalt auf Basis des NICE-Frameworks.
  2. Cybersecurity Workforce Heat Map – gibt dem Stellensuchendem einen geographischen Überblick über den Stellenmarkt und gesuchte Positionen inklusive den dazugehörigen Fähigkeiten auf Basis des NICE-Frameworks.

Cybersecurity Supply/Demand Heat Map (CyberSeek)

Fazit

Um den Fachkräftemangel im IT-Security-Umfeld zu minimieren, bedarf es zuerst einer einheitlichen Definition der Aufgaben, Fähigkeiten und Fertigkeiten. Dieser Standard kann dynamisch erweitert werden und als Basis für weitere Anwendungen genutzt werden, was sowohl den Organisationen, aber auch den stellensuchenden Interessenten entgegenkommt.

Autor