Frust-Kündigungen in der IT-Sicherheit

Sieht nicht gut aus.

Die Kronen-Zeitung aus Österreich meint: „Untragbarer Stress“ – Cybersecurity-Branche: Hälfte erwägt Kündigung

Dass da viele kündigen wollen, kann ich nachvollziehen. Aber dass da ein besonderer Stress herrsche, könnte ich jetzt nicht sagen. Wir machen eher Stress, als Stress zu haben.

Eine aktuelle Umfrage attestiert IT-Sicherheitsverantwortlichen ein „erhöhtes und untragbares Stressniveau“. Knapp die Hälfte der Befragten soll daher erwägen, die Branche zu verlassen. Die Gründe hierfür sind vielfältig.

Das könnte jetzt natürlich daran liegen, dass heute alles unter „Stress“ läuft, was einem zu anstrengend ist. Oder vielleicht an der Frauenquote. Frauen reingedrückt, und die gehen wieder?

Für die dritte Ausgabe seines jährlichen „Voice of SecOps“-Reports befragte der IT-Sicherheitsspezialist Deep Instinct 1000 Cyberführungskräfte und IT-Sicherheitsverantwortliche in Nordamerika, Großbritannien, Frankreich und Deutschland, die für Unternehmen mit mehr als 1000 Mitarbeitern und einem Jahresumsatz von mehr als 500 Millionen US-Dollar arbeiten.

Die Umfrage zeigt, dass die Verteidigung von Unternehmen gegen immer fortschrittlichere Bedrohungen unter IT-Sicherheitsverantwortlichen immer mehr zu einem Problem wird. Rund die Hälfte der Befragten (46 Prozent) hat demnach das Gefühl, dass der Stress in den letzten zwölf Monaten messbar zugenommen hat. Dies gilt insbesondere für diejenigen, die im Bereich der kritischen Infrastrukturen arbeiten.

Fast die Hälfte erwägt, Branche den Rücken zu kehren
Der erhöhte Stresspegel führt wiederum dazu, dass Cybersicherheits-Fachleute zunehmend resignieren und in Erwägung ziehen, ihrer Branche gänzlich den Rücken zu kehren (45 Prozent), […]

Das könnte aber auch einfach daran liegen, dass die IT-Sicherheit ein undankbares Geschäft ist. Wirklich positiv wahrgenommen wird man fast nie, eher als Stör- und Nervfaktor, und bestenfalls gar nicht. Man muss sich ständig mit Leuten anlegen und mahnen und meckern, die Leute über Dinge schulen, die sie nicht so wirklich gerne hören wollen und als langweilig empfinden. Und voran kommt man auch nicht, sondern muss froh sein, den status quo halten zu können, denn effektiv sind wir in den letzten 40 Jahren nicht wahnsinnig viel voran gekommen. Es gibt zwar einige Verbesserungen, aber die Bedrohungen und die Angriffsflächen sind stärker gestiegen.

Und gegen die Firmenleitung oder vor allem die Politik kämpft man wie gegen Windmühlen.

Der Frust hat viele Ursachen. Jede zweite Führungskraft gab an, dass es immer schwieriger werde, Mitarbeiter außerhalb des Unternehmens „remote“ abzusichern (52 Prozent), die digitale Transformation innerhalb von Unternehmen mit der Sicherheitslage in Einklang zu bringen (51 Prozent) sowie Bedrohungen durch erpresserische Ransomware abzuwehren (48 Prozent).

Das hat weniger mit der Sicherheitslage an sich zu tun, als mit den modernen Management-Methoden, immer dem Modeschnickschnack zu folgen, sich jeden Produktmist unterjubeln zu lassen und es den Mitarbeitern zu kommod zu machen.

Wir haben jetzt seit fast zweieinhalb Jahren die besondere Sicherheitslage „Home Office“, aber fast nichts ist passiert, um sich sicherheitstechnisch daran anzupassen.

Die Frage stellte man mir damals auch mal, aber weniger aus Sicherheitsgründen, sondern weil Leute von zuhause aus überhaupt Zugriff bekommen mussten – wie kommt man mit Geräten, die nur WLAN und nicht Ethernet können, von zuhause aus per VPN in das Entwicklungsnetz? So, dass es auch alle Mitarbeiter hinkriegen ohne zu maulen?

Ich hatte eine Lösung angeboten, die das Problem löst. Gefiel nicht, weil man schon etwa 50 bis 60 Euro pro Arbeitsplatz hätte investieren müssen (was viele sogar auf eigene Kosten getan hätten). Dass stattdessen aber jeder nach Gutdünken und Können irgendwas selbst rummurkst und dazu sehr viel mehr als 50 Euro an Arbeitszeit verheizt, interessierte dann nicht.

Dass man einfach mal firmenübergreifend Standardlösungen entwickelt, weil doch eigentlich alle dasselbe Problem haben, darauf kommt man nicht. Wir entwickeln nicht. Wir kaufen Cloud-Dienste von Microsoft.

Bin mal gespannt, wie sich das so entwickelt mit der IT-Sicherheit.