Brit Malmgrön // Berlin, 08.07.2022
Wie in jedem Jahr waren die Themen der HPI Konferenz für Nationale Cybersicherheit breit aufgestellt: Von Cybersicherheit in den Fabriken der Zukunft oder „Faktor Mensch“-Belangen über die Nutzung ausländischer digitaler Technologien bis hin zu internationalen Perspektiven und die Bewertung der „Lage“ in Deutschland durch Sicherheitsbehörden und Nachrichtendienste. Ein Thema war jedoch bei allen Vorträgen allgegenwärtig: Der Fachkräftemangel im Bereich Cyber/IT und der Versuch aller Behörden, Institute und Firmen, Cyberexpert:innen für sich gewinnen zu können. Unsere Kollegin Dr. Sarah Katharina Kayß war vor Ort und gibt uns einen Einblick in dieses Problemfeld.
Sarah, Fachkräftemangel im Bereich Cyber/IT ist genau dein Thema. Inwiefern beschäftigst du dich damit?
Zum einen habe ich das Glück, seit über einem Jahr in Projekten im Bereich Cyber und Informationsraum des Verteidigungsressorts eingesetzt zu sein. Das macht mir großen Spaß und gibt mir einen guten Einblick in den Cybersicherheitsbereich der Bundeswehr. Zudem forsche ich parallel zum Thema Personalbindung und Rekrutierung von Cyberexpert:innen im Rahmen einer Studie.
Das heißt konkret?
Ich setze mich mit der Berufsmotivation und -identität von Cyberexpert:innen auseinander. Dabei interessieren mich Fragestellungen, wie beispielsweise was Cyberexpert:innen konkret von ihren Arbeitgebenden erwarten? Was wirkt attraktivitätssteigernd auf sie? Was für Wünsche haben sie? Was führt dazu, dass sie ihre Anstellung verlassen?
Auf der HPI Konferenz wurde das Thema Fachkräftemangel stark thematisiert, was genau könnte deine Studie zur Problemlösung beitragen?
Nun, die meisten Vortragenden haben verdeutlicht, dass Fachkräftemangel im Bereich Cyber/IT nicht nur allgegenwärtig ist, sondern auch extrem relevant. Die Studie kommt also genau zum richtigen Zeitpunkt, denn nie war es wichtiger, zu verstehen, wie die derzeit gefragteste Personalgruppe auf dem deutschen Arbeitsmarkt „tickt“.
Auf der Konferenz konnte ich zudem interessante Gespräche mit Branchenvertreter:innen aus Industrie, Wirtschaft und Sicherheitsbehörden führen: Das Interesse an den Erkenntnissen der Studie war enorm groß.
Unsere Kollegin Dr. Sarah Katharina Kayß auf der HPI Konferenz für Nationale Cybersicherheit
Und was hat dir die Konferenz gebracht?
Ich denke, es ist wichtig, sich in den Bereichen, in denen man berät oder forscht, inhaltlich gut auszukennen. Das bedeutet zum einen, sich mit technischen, wissenschaftlichen, politischen und fachspezifischen Aspekten ebenso wie mit der Fachcommunity im Bereich Cybersicherheit auseinanderzusetzen und zum anderen, sich mit den aktuellen Fachtrends auszukennen – all diese Aspekte deckt die Potsdamer HPI Konferenz für Nationale Cybersicherheit ab.
Du befindest dich noch mitten in der Auswertung der ersten Ergebnisse deiner Studie. Kannst du vielleicht trotzdem schon ein paar relevante Erkenntnisse verraten?
Nun, ich würde behaupten, im übertragenen Sinne gibt es eine Tendenz, Feuermelder manchmal erst dann anzubringen, wenn es bereits gebrannt hat. Im Cybersicherheitsbereich scheint das ähnlich zu sein: Man wartet meiner Meinung nach viel zu lange, bis man Probleme, die schon lange bekannt sind, aktiv angeht – auch und gerade in Bezug auf das eigene Personal. Und wenn man die Probleme nicht angeht, darf man sich auch nicht beschweren, wenn es dann irgendwann brennt.
Zu einer wichtigen Erkenntnis hat es Holger Münch, Präsident des Bundeskriminalamts, auf den Punkt gebracht: „Wir müssen das Herz erwischen, nicht das Portemonnaie.“ Dies spiegeln auch die ersten Ergebnisse meiner Studie wider. Natürlich ist Gehalt wichtig, aber es gibt noch andere Aspekte, die ebenfalls von großer Bedeutung sind und mit denen man sich – gerade im Bereich Cyber/IT - meiner Meinung nach immer noch nicht genügend auseinandersetzt.
Und welche Aspekte sind das?
Ich gebe mal zwei fiktive Beispiele: Ein Cyberexperte wechselt seinen Arbeitgeber innerhalb eines Jahres mehrfach hintereinander. Auf die Frage, warum, bestätigt er, dass es ihm nicht primär um die Bezahlung ging, sondern darum, dass man ihm weder die Software noch die Hardware zur Verfügung gestellt hat, die er benötigt, um nach eigener Aussage zielführend arbeiten zu können. Um Cyberexpert:innen nicht zu verlieren, ist es daher ratsam, gut funktionierende Beschaffungsprozesse im Unternehmen zu etablieren und den Cyberfachleuten die Möglichkeit einzuräumen, mit state of the art Tools arbeiten zu können. Der Einbezug der Arbeitsebene in Beschaffungsentscheidungen u.ä. besitzt also eine größere Bedeutung als man bei flüchtiger Betrachtung meinen mag.
Ein anderes Beispiel: Eine Cyberexpertin im Bereich Pentesting1 verdient den Höchstsatz in einem deutschen Unternehmen und wechselt trotzdem in ein anderes Unternehmen, das zwar schlechter bezahlt, aber Prämien anbietet für die Besten im Unternehmen. Das spricht die Cyberexpertin sehr an, denn zu diesen Prämien gehören auch Hacker-Konferenzen in Las Vegas oder die Möglichkeit des Erwerbs von Zusatzqualifikationen. All dies hätte sich die Cyberexpertin in ihrem vorherigen Job auch selbst leisten können, aber es war ihr wichtig, es als Prämie zu erhalten. Warum? Es wertschätzt die erbrachte Leistung. Gerade in den Sicherheitsbereichen, in denen die Cyberexpert:innen nicht offen nach außen kommunizieren können, was sie beruflich leisten, sind solche Belohnungen ein starkes Motivationsmittel.
Warum ist diese Form der Anerkennung denn so wichtig?
Nun, zum einen möchten wir alle Anerkennung für das erhalten, was wir tun. Zum anderen brauchen viele Menschen aber auch immer neue Herausforderungen. Cyberexperte im israelischen Militär zu sein, hat beispielsweise etwas sehr Elitäres an sich – nur wenige schaffen es – und das israelische Militär ist ausgesprochen gut darin, die eigenen Leistungen und Fähigkeiten zu vermarkten. Die Vermarktung des Elitären hat eine magische Sogwirkung: Man möchte testen, ob man selbst gut genug ist, um dazugehören zu können. Bei den britischen Offizieranwärtern, mit denen ich zuvor gearbeitet habe, war das genauso: Die Fernseh-Dokumentation First Encounter über Sandhurst2 zeigte, dass nur die Besten der Besten die harte Infanterieausbildung in Sandhurst schaffen. Nach Ausstrahlung der Dokumentation kam es zu einem Bewerbungshoch in der britischen Armee. Warum? Die jungen Männer und Frauen waren getrieben davon, zu zeigen, dass sie es schaffen, mit zu den Erlesenen zu gehören, die bis zum Ende durchhalten. Anders als in Deutschland ist die Offizierlaufbahn in Großbritannien zunächst nur auf 3 Jahre exkl. Ausbildung angelegt – drei Jahre kann man Anfang zwanzig ohne Probleme investieren, um sich selbst zu zeigen, dass man zu den Besten der Besten gehört.
Bedeutet das, um Cyberexpert:innen zu begeistern, muss man elitär sein und das nach außen auch so vermarkten?
Gute Cyberexpert:innen gehen dahin, wo andere gute Cyberexpert:innen arbeiten. Das gilt für alle Jobs. Gute Leute ziehen gute Leute: Das ist bereits an den Unis so. Man sollte aber nicht Inhalte vermarkten, die man am Ende gar nicht bieten kann – das wird einem früher oder später auf die Füße fallen.
Sarah, zum Abschluss, welches Fazit würdest du zum jetzigen Zeitpunkt deiner Studie ziehen?
Meine Studie wird sicherlich eine Menge spannender Erkenntnisse zutage liefern - unterm Strich würde ich Unternehmen aber schon jetzt raten: Know your people! Denn, wenn man es tut, kann man das Arbeitsleben der Cyberexpert:innen für sie so gestalten, dass es sie anspricht, sie loyal sind und – das ist das Beste an der Sache – die Arbeitnehmerzufriedenheit maximal ist. Also ein win win für beide Seiten.
1Penetrationstest, kurz Pentest, bezeichnet einen umfassenden Sicherheitstest einzelner Rechner oder Netzwerke. Dabei werden reale bzw. gängige Mittel und Techniken eingesetzt, die auch von potenziellen Angreifern verwendet werden könnten.
2Royal Military Academy Sandhurst, das britische Äquivalent zur Offizierschule des Heeres
Ihre Ansprechpartnerin
Sarah Katharina Kayß ist promovierte Militärsoziologin und seit 2018 Teil des Teams der BwConsulting. Sarah hat sich viele Jahre mit den personellen Realisierungsoptionen eines europäischen Verteidigungs-
bündnisses sowie der Berufsmotivation und dem Mindset junger Offiziere auseinandergesetzt. 2019 erhielt sie als erste Deutsche den renommierten ERGOMAS Award für ihr im Vorjahr bei Routledge erschienenes Buch „Identity, Motivation and Memory“. Seit 2020 beschäftigt sie sich verstärkt mit Fragen der Personalbindung- und Rekrutierung im Cyber-
sicherheitsbereich.