Human-Centered Security: Der Mensch im Mittelpunkt der Cybersicherheit

Peter, du bezeichnest dich selbst als "Matchmaker" und bist seit über 20 Jahren international in diesem Bereich tätig. Was ist der Schlüssel zum erfolgreichen Matchmaking, insbesondere in der Cybersecurity-Branche?

Gerne möchte ich zuerst auf die Ausgangslage des Arbeitsmarktes im Bereich Information Security eingehen: Der Kandidatenmarkt, besonders im Bereich Information Security, ist heiss umkämpft – überall liest und hört man vom angeblichen WAR FOR TALENTS. Gut ausgebildete Kandidaten und Kandidatinnen mit relevanter Praxiserfahrung haben die Wahl und finden schnell ein Engagement. Will man sie gewinnen, sollte man sie frühzeitig kontaktieren, kennenlernen und pflegen – weit bevor eine Vakanz entsteht. Daher reden wir lieber über KNOW YOUR TALENTS statt über WAR FOR TALENTS. Und ganz ehrlich: Wir spüren den «Krieg» da draussen im Markt nicht, wenn wir täglich mitverfolgen wie mit Kandidaten hinsichtlich Feedbackverhalten, Dauer von Rekrutierungsprozessen und Verhalten im Rekrutierungsprozess umgegangen wird.

Ein erfolgreiches Matchmaking bedingt im Wesentlichen 3 Elemente:

1. Spezifischen Sachverstand im Bereich Informationssicherheit Diesen erhalten wir durch tägliche Expertengespräche, Fachartikel zum Thema Informationssicherheit, die wir mit Insidern schreiben sowie aus unserer Swiss Cyber Circle Community, in der wir uns 8 mal pro Jahr mit CISOs treffen und zum Thema Human-Centered Security im Workshop-Charakter austauschen. Diese Elemente bilden die Basis dafür, dass wir verstehen worum es geht und so Information Security Experten mit potentiellen Arbeitgebern verbinden.

2. Die Verfolgung unseres KNOW YOUR TALENTS Approachs "Practice what you preach". Was wir Arbeitgebern hinsichtlich vitalem Beziehungsmanagement empfehlen leben wir jeden Tag selbst und bauen immer wieder neue Kontakte zu einschlägigen Experten auf, die wir dann teilweise über Jahre pflegen, bis es dann zu einer Vermittlung kommt. Idealerweise führt das dazu, dass wir in manchen Fällen, eine Vakanz innerhalb von 2-4 Wochen besetzen können. Eine "time to hire", die man im heiss umkämpften Kandidatenmarkt sehr selten findet.

3. Systematisches und gezieltes Vorgehen verbunden mit etablierten Prozessen Beziehungsmanagement ist gut und schön, aber nur dann wirklich wirksam wenn du deine Prozesse so organisierst, dass du kontinuierlich am Ball bleibst und damit im richtigen Moment zur Stelle bist.

Mit cyberunity hast du eine Cyber-Security-Career-Community ins Leben gerufen und parallel mit 2 Partnern die Swiss Cyber Circle Community aufgebaut, die den Schwerpunkt auf Human-Centered Security legt. Kannst du uns mehr darüber erzählen, warum der menschliche Aspekt in der Cybersicherheit so wichtig ist?

Der Mensch ist die Quelle der Sicherheit und gleichzeitig ist er auch die Quelle der Schwachstellen. In diesem Sinne ist Sicherheit ein 'People-Business', eine soziale Angelegenheit. In der Tat haben Studien gezeigt, dass 99% der Verletzungen der Datensicherheit auf menschliche Schwachstellen zurückzuführen sind. Wollen Unternehmen einen integralen Unternehmensschutz etablieren und lebendig gestalten, dann ist die aktive Einbindung der Mitarbeitenden gefragt. Das ist leichter gesagt als getan. Daher braucht es erstens das Verständnis und den Willen, einen integralen Sicherheitsansatz zu etablieren und zweitens Führungspersönlichkeiten, die das Thema im Rahmen von durchdachten Awareness-Aktivitäten im Unternehmen verankern. Das heisst, mit den Menschen auf eine gute Art verständlich zu interagieren statt das nüchterne Einführen von Regelwerken und arbeiten mit Angstappellen, die die Mitarbeitenden abschrecken. Betroffene zu Beteiligten machen ist ein Teil der Lösung.

Dein Unternehmen betont das Konzept des "vitalen Kandidatenbeziehungsmanagements". Wie unterscheidet sich das von traditionellen Rekrutierungsansätzen, und warum ist dieser Ansatz besonders wichtig in der heutigen Talentlandschaft?

Bei der ersten Frage bin ich auf den heiss umkämpften Kandidatenmarkt im Bereich Information Security eingegangen – d. h., unsere Talentlandschaft ist bei steigendem Bedarf sehr begrenzt. Traditionell starten die Firmen erst dann mit der Kontaktaufnahme zu den Leistungsträgern von morgen, wenn sie eine Vakanz besetzten möchten. Beziehungsweise kann von aktiver Kontaktaufnahme keine Rede sein – viele schalten ein Inserat und hoffen, dass alles gut kommt.

Wo also liegt der Unterschied – was ist das «grosse» Geheimnis? Die Lösung liegt so nah und doch so fern. Es sind lebendige Beziehungen, die weit vor einer möglichen Anstellung aufgebaut und dauerhaft gepflegt sein wollen. In der Kandidaten- und Kundengewinnung ist es wie in der Liebe – smarte Beziehungspflege, auch wenn es nur kleine Aufmerksamkeiten sind, ist der Schlüssel zum Erfolg. Fängst Du mit dem Kontaktaufbau zu potentiellen Kandidat:innen erst dann an, wenn Du sie einstellen möchtest (was in der Praxis noch oft der Fall ist), dann wäre das so als würde ein Sales Spezialist erst dann mit der Kundenakquise starten, wenn sein Unternehmen den Umsatz dringend benötigt. Würde das der Sales Manager bzw. der CEO akzeptieren?

Ein Teil der Lösung liegt daher in einem vitalen Kandidatenbeziehungsmanagement. Dafür braucht es, genau wie im Sales, smarte Beziehungsmanager, die systematisch und gezielt tagtäglich an der Talentgewinnung arbeiten. Wollen das Unternehmen nicht alleine stemmen gibt es Lösungen – externe Beziehungsmanager, die sich auf die Kandidatenpflege im Bereich Cyber-Security spezialisiert haben.

cyberunity tritt als Karriere-Partner des GOHack23 auf. Was hat euch dazu motiviert, diesen Cybersecurity-Event zu unterstützen?

Beim GOHack23 treffen sich Experten für Cybersicherheit, ethische Hacker und Nachwuchstalente. Da wollen wir natürlich Flagge zeigen und darauf aufmerksam machen, wie wichtig es ist sich frühzeitig mit den Talenten von morgen zu verbinden und unseren KNOW YOUR TALENTS approach präsentieren. Zudem werden wir im Rahmen eines Vortrags unsere Erfahrungen aus unserem täglichen Business mit Cyber-Experten und potentiellen Arbeitgebern weitergeben. Welche Positionen sind aktuell und in der Zukunft am Arbeitsmarkt gefragt, welche Ausbildungen und Zertifikate sind erwünscht und was sind die häufigsten Absagegründe nach einem Interview. Zudem möchten wir Neues lernen und freuen uns auf einen regen Austausch.