vegefox.com - stock.adobe.com
Gegen den Fachkräftemangel: Ein Plädoyer für Open Security
Der Ansatz Open Security will als gemeinsame Initiative Security-Tools verbessern. Das sorgt für bessere Lösungen und bietet jungen Talenten zudem eine Lernplattform.
Gemeinsam oder allein? Diese Entscheidung steht in Unternehmen an, wenn sie für Cybersicherheit sorgen wollen. Denn es ist nicht leicht, die dafür nötigen IT-Sicherheitsexperten zu bekommen. Schon jetzt fehlen weltweit bis zu 3,4 Millionen Fachleute – und es sieht nicht so aus, als würde sich das in den nächsten Jahren ändern. Was kann die Chefetage dieser Entwicklung entgegensetzen?
„Haben Sie genügend Mitarbeiter und Kompetenzen, um auf einen Cyberangriff reagieren und sich davon erholen zu können?“, fragten Forscher des Weltwirtschaftsforums (WEF) Führungskräfte aus der Cybersicherheit und anderen Wirtschaftssektoren. Weniger als die Hälfte antworteten mit „Ja“.
Vor allem fehlt es an Fachkräften. Laut der WEF-Studie „Global Security Outlook 2023“ (PDF) räumen zehn Prozent der Führungskräfte der verschiedenen Branchen ein, dass es in ihren Firmen an qualifiziertem Personal und Fachwissen mangelt. Im Cybersektor sind es sogar 13 Prozent. Darüber hinaus beklagten etwa ein Drittel der Befragten, dass sie in bestimmten Bereichen die Ausbildung und notwendiges Know-how vermissen. Auch in Deutschland kämpfen die Unternehmen mit dem Qualifikationsmanko: Bundesweit gab es allein in der IT 67.924 offene Stellen – ein Rekordhoch, sagt das Institut der deutschen Wirtschaft (IW).
Für viele Organisationen – im privaten wie im öffentlichen Sektor – ist es schwierig, Cybersicherheitstalente zu rekrutieren oder zu binden und ist deshalb eine große Herausforderung. Das ist kein Geheimnis. Die Zahl der Beschäftigten mag zwar mit 4,7 Millionen weltweit einen historischen Höchststand erreicht haben, aber: Nach Schätzungen des (ISC)2, einem internationalen gemeinnützigen Verband zertifizierter Cybersicherheitsexperten, bräuchte man rund 3,4 Millionen Fachkräfte, um die globalen Vermögenswerte wirksam schützen zu können. Unternehmen müssen daher in Rekrutierung und Bindung von Talenten viel Aufmerksamkeit stecken, wobei es ein besonderes Problem darstellt, Neueinsteiger anzuwerben. Solange die Firmen weiterhin um Talente konkurrieren und erfahrene IT-Sicherheitsexperten mit dem Versprechen auf höhere Gehaltszahlungen abwerben, lässt sich dieses auch nicht lösen. Um eine gesunde Talent-Pipeline aufzubauen, braucht es mehr.
Open Security – ein Ansatz mit Lernmöglichkeiten
Die Lösung könnte im gemeinsamen Interesse liegen – und zwar mit „Open Security“. Es geht darum, Cybersicherheitstools auf der Basis von Open-Source-Technologien zu entwickeln. Der zugrunde liegende Code wird öffentlich gemacht, ist für alle zugänglich und kann verändert werden. Mitglieder einer weltweiten Entwicklergemeinschaft arbeiten zusammen, um zu aktualisieren, Fehler zu beheben, Sicherheitslücken zu schließen und die Tools zu testen. Open Security will also als gemeinsame Initiative IT-Sicherheitssoftware verbessern - zum Nutzen der gesamten Community.
Gleichzeitig eignet sie sich auch als Lernplattform. Junge und wenig erfahrene Talente können dort beobachten, wie etablierte Teilnehmer ihre kollektive Intelligenz bündeln; sich gegenseitig helfen zu verstehen, wie verschiedene Schwachstellen funktionieren und Ideen einbringen, damit umzugehen. Wenn ihr Vertrauen dann gewachsen ist, bringen sie sich stärker im Netzwerk ein. Sie werden zu aktiven Mitwirkenden, entwickeln neue Fähigkeiten, erwerben entscheidende Kompetenzen.
Warum sind proprietäre IT-Sicherheitstools im Nachteil?
Proprietäre IT-Sicherheitstools sind kaum in der Lage, eine vergleichbare Lernumgebung für Neueinsteiger anzubieten. Sie haben die Ressourcen nicht. Diese Tools basieren auf Technologien, die von den Unternehmen, die sie entwickeln und verkaufen, geheim gehalten werden. Da sie oft teuer sind können Bildungs- und Ausbildungszentren nur begrenzt auf Erfahrungen mit ihnen zurückgreifen. Und was die formale Akkreditierung betrifft: Es kann viel Geld fließen, bevor sie zertifiziert und offiziell anerkannt werden.
Das wirkt sich auch auf den Arbeitsplatz aus: Arbeitgeber, die sich auf eine bestimmte proprietäre IT-Lösung festgelegt haben, können ihre Rekrutierungsbemühungen auf Bewerber beschränken, die Erfahrung mit dieser einen Lösung haben. Jede Abkehr, selbst wenn sie aus Gründen der geschäftlichen Belastbarkeit erfolgt, birgt ein Risiko: für die Bindung vorhandener und die Anwerbung neuer Talente. Nicht alle Mitarbeiter haben die Möglichkeit, sich an einer Reihe von Tools zu „schärfen“. Das begrenzt ihre Fähigkeiten und ihre künftigen Karriereaussichten.
Gemeinschaftlich lernen: Ein Förderprogramm für die IT-Sicherheit
Sobald Arbeitgeber in die Open-Source-Gemeinschaft eintauchen, konfrontieren sie ihre Mitarbeiter sofort mit vielfältigen Erfahrungen und Herausforderungen. Gleichzeitig lernen sie IT-Talente in den verschiedensten Stadien ihrer Laufbahn kennen.
„Wie andere Open-Source-Projekte werden auch Cybersicherheitstools von der Community umfassend unterstützt, sodass sie heute zu den meistgenutzten Sicherheitstools überhaupt gehören.“
Thorben Jändling, Elastic
Menschen, die an Open-Source-Communities teilnehmen, haben bereits viele Bereiche der IT erforscht, darunter auch die Informationssicherheit: Sie haben sich durch die offene Arbeit in zahlreichen verschiedenen Disziplinen aus- und weitergebildet. In engagierten und unterstützenden Gemeinschaften verfeinerten sie ihr Know-how. Sie können Fehler leichter beheben, Probleme und Lösungen schnell und effizient recherchieren. Wissen, das in einer Zeit, in der sich die Bedrohungslandschaft so schnell weiterentwickelt, unverzichtbar ist.
Wie andere Open-Source-Projekte werden auch Cybersicherheitstools von der Community umfassend unterstützt, sodass sie heute zu den meistgenutzten Sicherheitstools überhaupt gehören. Viele haben sich von kleinen Projekten zu vollständigen Software-Suiten entwickelt, die ihren proprietären Pendants überlegen sind.
Fazit
Die Botschaft an die Arbeitgeber ist einfach: „Beteiligen Sie sich an Open Security!“. Auf diese Weise können Firmen viele der Probleme angehen, mit denen sie derzeit bei der Rekrutierung und Bindung von Talenten konfrontiert sind. Sie stellen ihren Mitarbeitern Tools und Ansätze bereit, die diese fördern und an der eigenen Entwicklung arbeiten lassen. Das verschafft einen Vorsprung im Kampf gegen Cyberbedrohungen – dank der gemeinsamen Bemühungen einer Community.
Über den Autor:
Thorben Jändling ist Senior Solutions Architect in der Global Security Specialist Group bei Elastic.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.