Der Fachkräftemangel - insbesondere im Bereich der Cybersicherheit – wird viel diskutiert. Die daraus resultierenden Folgen fokussieren sich zu oft auf finanzielle Dinge oder gestörte Prozessketten. Von der Mehrbelastung der Mitarbeiter spricht kaum jemand. Es wird Zeit, dies zu ändern.
Wer einen Handwerker, eine Pflegekraft oder einen IT-Experten sucht, sollte viel Geduld mitbringen oder gute Beziehungen haben: Der Fachkräftemangel in Deutschland ist überall deutlich zu spüren. Gerade in der IT gibt es Jobangebote in Massen, aber viel zu wenige Bewerber. Die Bitkom stellte in einer Blitzumfrage im Juli 2022 fest, dass teilnehmende Unternehmen im Durchschnitt 87 freie Stellen für IT-Experten ausgeschrieben haben. Der Branchenverband geht davon aus, dass in Deutschland der Bedarf an IT-Fachkräften mittlerweile bei über 100.000 liegt. Weltweit sieht es nicht besser aus. Einer kürzlich erschienenen Analyse von Cybersecurity Ventures zufolge ist die Zahl der unbesetzten Stellen allein im Bereich Cybersicherheit zwischen 2013 und 2021 weltweit um 350 Prozent gestiegen, von einer Million auf 3,5 Millionen.
Diese Zahlen verdeutlichen das Problem unserer Branche, die derzeit nur mit etwa zwei Dritteln der benötigten Ressourcen auskommen muss. Gleichzeitig steigen aber die Anforderungen durch die Digitalisierung, Cyberangriffe und gesetzlichen Vorgaben. Die Situation gleicht in vielen Bereichen der in Krankenhäusern, wo Ärzte und ihr Pflegeteam unterbesetzt bis zur Erschöpfung anpacken. Immer weniger Mitarbeiter müssen immer mehr leisten und arbeiten auf Kosten der eigenen Gesundheit. Dieser Umstand verhindert unter anderem auch, dass mehr Menschen diese Berufe anstreben. Die Quadratur des Kreises beim Thema Fachkräftemangel.
Große Sorgen um die mentale Gesundheit von IT-Mitarbeitern
Zum Glück kommt die Überbelastung von IT-Teams öffentlich immer mehr zur Sprache und wird nicht mehr als Tabuthema behandelt. Selbst auf der „Black Hat Conference 2022“, die nun eher von technischen Vorträgen geprägt ist, nahm das Thema Gesundheit und Burnout einen wichtigen Platz ein. Dr. Stacy Rioux, Expertin für Klinische und Organisations-/Wirtschaftspsychologie, machte sehr deutlich, dass es bereits „fünf vor zwölf“ für viele Administratoren und IT-Mitarbeiter sei. Auch ihre Belastbarkeit neigt sich stark dem Maximum – einen Ausfall kann sich eigentlich niemand leisten. Denn wer soll die Tätigkeiten übernehmen, wenn eh kein Personal zu finden ist.
Zu einem ähnlichen Ergebnis kommt übrigens auch das Unternehmen VMware in seinem aktuellen Jahresbericht „Global Incident Response Threat Report 2022“. Die Überforderung des Security-Personals zeigt sich in einer beunruhigenden Zahl: Fast jeder zweite Befragte (47 Prozent) gab an, in den letzten zwölf Monaten unter Burnout oder extremem Stress gelitten zu haben. Auch die Techniker Krankenkasse (TK) in Deutschland schlägt Alarm, denn die Überbelastung in Betrieben führt auf Dauer zu einem hohen Krankenstand. Ein Viertel aller Krankmeldungen ist darauf zurückzuführen, Tendenz steigend.
Die TK-Stressstudie 2021 "Entspann dich, Deutschland!" zeigt deutlich, dass vor allem lange Stressphasen ihren Tribut fordern – und diese sind die Normalität in IT-Abteilungen. „Neben körperlichen Beschwerden wie zum Beispiel Rückenschmerzen, Kopfschmerzen und Magenbeschwerden kann Dauerstress auch auf die Psyche gehen", erklärt der TK-Vorstandsvorsitzende Dr. Jens Baas. „Die Bandbreite reicht bis hin zu Erschöpfung und Depressionen." Laut Studie leidet von den häufig Gestressten ein Großteil unter Erschöpfung (80 Prozent), Schlafstörungen (52 Prozent), Kopfschmerzen und Migräne (40 Prozent) oder Niedergeschlagenheit bzw. Depressionen (34 Prozent). Zum Vergleich: Bei den selten Gestressten sind es in allen Kategorien weniger (Erschöpfung 13 Prozent; Schlafstörungen 28 Prozent, Kopfschmerzen und Migräne 13 Prozent, Niedergeschlagenheit/Depressionen 7 Prozent).
Letzter Scan: Burnout
Burnout ist ein äußerst wichtiges Thema, dessen sich alle Unternehmen, ob groß oder klein, bewusst sein müssen. Berufliches Burnout ist klinisch definiert als ein psychologisches Syndrom, das aufgrund chronischer emotionaler und zwischenmenschlicher Stressfaktoren am Arbeitsplatz auftritt, wobei "zwischenmenschlich" als "in Bezug auf Beziehungen oder Kommunikation zwischen Menschen" erklärt wird.
Und diese Definition passt perfekt auf IT-Abteilungen. Gerade Fachkräfte in der Cybersicherheitsbranche übernehmen hohe Verantwortung, stehen permanent unter Zeitdruck und müssen sich starken mentalen Herausforderungen stellen. Im Falle eines Hackerangriffs steigern sich die Anforderungen sogar ins Extreme.
In der Praxis kommen allzu menschliche Probleme hinzu, die viele Administratoren und IT-Teams betreffen. Nicht selten gelten sie als Nerds, technikverliebte „Verrückte“ oder schlicht als Sonderlinge. Somit ist es kein Wunder, dass IT-Mitarbeiter Schwierigkeiten haben, den eigenen Platz innerhalb einer Organisation zu finden. Und wird ihre wertvolle Arbeit im Unternehmen ausreichend gewürdigt? Fraglich. Wenn alles im Unternehmen reibungslos läuft, gibt es für sie ja eigentlich wenig zu tun – zumindest ist das die vorherrschende Meinung in vielen Organisationen.
Kein Personal-Booster in Sicht
Das Grundproblem beruht auf einer Kombination aus dem Mangel an erfahrenen, talentierten Mitarbeitern, der beschleunigten digitalen Transformation und der nicht enden wollenden Flut von digitalen Attacken, mit denen sich die Cybersicherheitsteams auseinandersetzen müssen. Ein Ende dieses Mangels ist nicht in Sicht. Vielleicht legen auch viele Unternehmen den Bewerbern die Job-Messlatte zu hoch. Zumeist werden ein Hochschulabschluss, eine in der Branche anerkannte Qualifikation im Bereich der Cybersicherheit, wie z. B. CISSP, und 3 bis 5 Jahre Erfahrung erwartet. Seiteneinsteiger und Auszubildende haben es vor diesem Hintergrund schwer, eine Anstellung zu finden. Diese Anforderungen sind möglicherweise zumindest mitverantwortlich für die unbesetzten Stellen im Bereich der Cybersicherheit.
Kollegen-Scan findet erste Hinweise
Führungsverantwortliche und auch Kollegen sind daher gut beraten, frühzeitig die Anzeichen von Burnout zu erkennen und umgehend zu handeln. Vielen Betroffenen fällt es selbst gar nicht auf, dass sie sich in einer Gefahrenspirale drehen. Müdigkeit, Zynismus, mangelnde Freude an der Arbeit und möglicherweise übermäßiger Alkoholkonsum sollten als erste Hinweise verstanden werden. Aber auch übermäßiges Essen kann darauf hindeuten, dass etwas nicht stimmt. Nicht unbedingt handelt es sich um eine Sucht, oftmals agieren Energy Drinks, Pizza und Schokolade als mentales Trostpflaster. Und spätestens, wenn sich Kollegen abwenden und ausschließlich allein arbeiten bzw. Pausen verbringen, sollte man zumindest das Gespräch suchen.
Ein Reset des Arbeitsumfelds könnte helfen
Es gibt zahlreiche Strategien, wie Unternehmen das Problem Burnout angehen können. Eine kompetente Personalabteilung, externe Experten, Betriebsärzte oder Krankenkassen bieten jeweils praxisnahe Hilfen, um das Arbeitsumfeld und die Belastung in einen gesunden Rahmen zu bringen. Ein gutes Arbeitsklima, umfassende Work-Life-Balance und positive, zwischenmenschliche Beziehungen fördern nicht nur den Output, sondern auch die Gesundheit und das Wohlbefinden.
Zuallererst muss das Problem des Personalmangels insgesamt angegangen werden. Die Arbeitgeber sollten ihre Anforderungen an die Qualifikationen oder die Ausbildung für Stellen im Bereich der Cybersicherheit überdenken. Und so einige der weniger erfahrenen, aber interessierten und eifrigen Mitarbeiter an den Arbeitsplatz bringen. Sie haben dann die Chance, Erfahrungen zu sammeln und zu den Experten heranzuwachsen, die zur Abwehr von (zukünftigen) Angriffen benötigt werden.
Auch CISOs können ihren Beitrag leisten, so wie alle anderen Führungskräfte auch. Eine akzeptable Arbeitszeitgestaltung, faire Vergütungen, Schulungs- und Entwicklungsmöglichkeiten, rationale und konsistente Arbeitspläne sowie nachvollziehbare bzw. realistische Erwartungen könnten Druck vom Kessel nehmen. Darüber hinaus verspricht die Umstellung von einem aufgezwungenen, starren Sicherheitsmodell hin zu einem kollaborativen, kooperativen Ansatz weniger Stress und ruhigere Zeiten – für die IT-Teams und das gesamte Unternehmen.
Einfache Upgrades: Automatisierung, Tools und externe Dienstleister
Auf der technischen Seite könnten ein höherer Automatisierungsgrad, arbeitserleichternde Tools und hilfreiche Prozesse eine Linderung des Problems verschaffen. Gerade Ablaufprozesse innerhalb der Abteilung gehören auf den Prüfstand. Wer seinen Mitarbeitern den Rücken freihalten will, muss jeden Einzelnen mehr Freiraum und Entscheidungsmöglichkeiten geben. Das ungeliebte Mikromanagement hat einfach ausgedient. Leitungsbefugte sind aufgerufen, klar zu planen und verständlich zu kommunizieren: Was kann vom Team erwartet werden und vor allem bis wann. Plötzliche Manöveränderungen und Ad-hoc-Anforderungen setzen Teams unter Druck und verursachen zusätzliche Kosten. So manch gut gemeinte Security-Maßnahme – die ein Vorgesetzter irgendwo aufgeschnappt hat - entpuppte sich so als teurer Rohrkrepierer.
Und vor allem: Cybersicherheit sollte nicht mehr als Kostenstelle betrachtet werden, die mit begrenzten Ressourcen wahre Wunder bewirken soll. Ist das IT-Team überlastet, bieten sich externe Dienstleister an, die zumindest zeitraubende Tätigkeiten übernehmen können. Inzwischen gibt es hervorragende Managed Service Provider (MSP), die viel Arbeit abnehmen können. Gerade im Bereich IT-Sicherheit drängen sich Managed Security Service Provider (MSSP) geradezu auf: Sie bringen nämlich die technische Expertise von Hause aus mit, halten genug Fachkräfte vor und können sogar dabei helfen, Investitionen zu sparen – und die hauseigene IT-Abteilung entlasten.
Fazit: Aktiv Erkrankungen vorbeugen
Jeder Einzelne kann viel dazu beitragen, generell Beeinträchtigungen der Gesundheit durch die Arbeit vorzubeugen. Ausreichend Sport, gesunde Ernährung, zwischenmenschliche Kontakte, frische Luft und digitales Fasten helfen nachweislich dabei, weniger zu erkranken. An sich weiß das jeder, aber dies im stressigen Arbeits- und Familienalltag unterzubekommen, ist schwierig. Dennoch sollte es jeder zumindest versuchen. Hilfen dazu gibt es reichlich auch im Internet, wie beispielsweise