Steven LafortuneDie Ankündigung, dass es einen massiven Mangel an Experten für die Cybersicherheit gibt, ist keine „Neuigkeit“. Der Fachkräftemangel besteht schon seit mehreren Jahren. Heute sind weltweit schätzungsweise 4,8 Millionen Stellen im Bereich Cybersicherheit unbesetzt - und diese Zahl steigt jedes Jahr um etwa 19%.
Was jedoch mit Sicherheit Aufmerksamkeit verdient, ist die unerwartete Enthüllung im neuen Cybersecurity Workforce Research Report 2025 von SANS. Zum ersten Mal gibt eine Mehrheit der Personalmanager an, dass das Hauptproblem bei der Rekrutierung von Experten für die Cybersicherheit nicht in einem mangelnden Interesse der Bewerber liegt. Vielmehr haben sie Schwierigkeiten, Mitarbeiter zu finden, die über die richtige Mischung aus berufsrelevanten Fähigkeiten verfügen, die ihnen, ihrem Team und ihrem Unternehmen als Ganzes zum Erfolg verhelfen.
Technische Kompetenz wird zur wichtigste Einstellungsvoraussetzung
Für den Bericht von SANS wurden weltweit fast 3.400 Cybersicherheits- und Personalmanager befragt. Das Ergebnis: Für 52 % der Befragten hat die technische Kompetenz die Berufserfahrung und akademische Zeugnisse als wichtigstes Einstellungskriterium überholt.
Dabei muss man hinzufügen, das sich technische Fähigkeiten in diesem Sinne nicht auf Kompetenzen wie Codierung, Risikoanalyse, Netzwerksicherheitskontrolle und andere sogenannte „Hard Skills“ beschränken. Sie umfassen auch Faktoren wie Anpassungsfähigkeit, Lernbereitschaft und die Fähigkeit, gut in einem Teamumfeld zu arbeiten.
Dies ist eine deutliche Abkehr von der herkömmlichen Denkweise der Unternehmen, bei der die Erhöhung der Mitarbeiterzahl im Vordergrund stand. Mit anderen Worten: Viele Jahre lang bestand der Auftrag für Personalmanager darin, Mitarbeiter mit fundierten Kenntnissen im Bereich Cybersicherheit, aber nicht unbedingt mit nachgewiesenen Fähigkeiten, in das Unternehmen zu holen. Heute sagen viele Personalmanager, dass dieser Ansatz nicht optimal ist. Stattdessen konzentrieren sie sich auf Bewerber mit der richtigen Mischung aus berufsrelevanten Fähigkeiten und scheuen vor Bewerbern zurück, die nur einen beeindruckenden Lebenslauf vorweisen können.
Das Ende des Mangels an Fachkräften für Cybersicherheit?
Der im Bericht von SANS aufgezeigte Paradigmenwechsel veranlasst einige Experten zu der Schlussfolgerung, dass der Mangel an Fachkräften für Cybersicherheit, zumindest so, wie er üblicherweise beschrieben und diskutiert wurde, vorbei ist. Stattdessen wurde er durch die Anweisungen der Unternehmen ersetzt, qualifizierte Arbeitskräfte außerhalb der traditionellen Talentpools für Cybersicherheit in Sektoren wie Buchhaltung, Bildung, Personalwesen und anderen unerwarteten Bereichen anzusprechen und diese neu eingestellten Mitarbeiter aktiv zu effektiven Cybersicherheit-Experten auszubilden.
Helen Patton, ehemalige CISO und Leiterin des Bereichs Cybersicherheit bei Cisco, kommentiert: „Meine persönliche Meinung ist, dass es im Bereich der Cybersicherheit eigentlich keinen Mangel an Fachkräften gibt. Das eigentliche Problem liegt darin, die Fähigkeiten zu verstehen, die für die verschiedenen Aufgaben benötigt werden, und die Leute zu finden, die diese Fähigkeiten haben.“
Ratschläge für Unternehmen und Arbeitssuchende
Die optimalen Rahmenbedingungen für die Suche, Einstellung und Bindung von Fachkräften im Bereich der Cybersicherheit mögen sich ändern. Was sich jedoch nicht ändert, ist, dass dies auch in den kommenden Jahren eine große Herausforderung bleiben wird.
Um diese Situation zu erhellen und einen Weg in die Zukunft aufzuzeigen, haben wir Devolutions CIO Simon Chalifoux gebeten, einige Ratschläge für Unternehmen zu geben, die mit einem Mangel an Kompetenzen für Cybersicherheit konfrontiert sind. Wir haben Simon auch gebeten, einige Vorschläge für Arbeitssuchende zu machen, die zwar über gute Kenntnisse und Referenzen verfügen, denen es aber an berufsrelevanten Fähigkeiten mangelt, die sie zu einem Spitzenkandidaten machen würden.
- Ratschläge für Unternehmen: Es ist nur logisch, dass der aktuellen Welle an Neueinsteigern nach Jahren des Fachkräftemangels umfassende praktische Erfahrung fehlt. Es ist an der Zeit, ein Teil der Lösung zu werden. Wir müssen diese Menschen in unserer Branche willkommen heißen, andernfalls wir diese Situation weiter bestehen. Es ist zwar ideal, Bewerber zu finden, die sowohl über technische als auch über nicht-technische Fähigkeiten verfügen, aber auf vielen Arbeitsmärkten ist diese Erwartung unrealistisch. Unternehmen sollten daher flexibel sein und ihre Mitarbeiter nach ihrer Einstellung und Lernbereitschaft auswählen, um dann gemeinsam mit den neuen Mitarbeitern zu wachsen.
- Ratschläge für Arbeitnehmer: Wenn Sie angesichts der aktuellen Lage in der Branche keinen ersten Job im Bereich Cybersicherheit finden, besteht eine der besten Möglichkeiten darin, Ihr Netzwerk auszubauen. Besuchen Sie Konferenzen zur Cybersicherheit oder Capture-the-Flag-Events, knüpfen Sie Kontakte oder engagieren Sie sich in Bug-Bounty-Programmen. Sie können Ihre Zeit und Ihre Fähigkeiten auch ehrenamtlich in gemeinnützigen Organisationen einbringen oder sich aktiver in Berufsverbänden engagieren. Und glauben Sie nicht, dass mangelndes Wissen oder mangelnde Erfahrung im Bereich Cybersicherheit Sie von einer Bewerbung ausschließen. Fähigkeiten und Kompetenzen wie Kommunikation, Teamfähigkeit, Anpassungsvermögen und kritisches Denken sind äußerst wichtig und werden geschätzt. Heben Sie diese Fähigkeiten hervor und zeigen Sie sie, denn sie verschaffen Ihnen Wettbewerbsvorteile.
Was denken Sie?
Haben Sie in letzter Zeit Veränderungen in der Einstellungspraxis im Bereich Cybersicherheit festgestellt? Wenn ja, was halten Sie von diesen Veränderungen? Sind sie Ihrer Meinung nach positiv oder negativ?
Welchen Rat haben Sie außerdem für Unternehmen, die vor Herausforderungen bei der Rekrutierung von Mitarbeitern im Bereich Cybersicherheit stehen? Was übersehen sie oder machen sie falsch?
Und was raten Sie Personen, die in den Bereich der Cybersicherheit einsteigen möchten? Was sollten Sie tun, um ihre Chancen sowohl im Bewerbungsprozess als auch beim Antritt ihrer neuen Stelle zu stärken? Welche Strategien sollten sie verfolgen und welche Fehler sollten sie vermeiden?