Generationenkonflikt: Warum sich die IT-Security erneuern muss
Nachwuchskräfte sind auf dem Arbeitsmarkt heiß begehrt. Sie bringen neue Ideen ein und stellen bestehende Regeln infrage. Konflikte mit alteingesessenen Security-Mitarbeitern sind da vorprogrammiert.
Zwei Welten prallen aufeinander: eine traditionell restriktive Security-Politik und eine disruptive Experimentierbereitschaft. Unternehmen brauchen die Dynamik der jungen Generation, um dem Fachkräftemangel zu trotzen und sich weiterzuentwickeln. Dabei darf die IT-Sicherheit aber nicht auf der Strecke bleiben. Um beides zu vereinen, muss man den Generationenkonflikt meistern. Gefragt ist ein neuer Security-Ansatz, der Fortschritt ermöglicht, statt ihn zu verhindern.
Mit den jungen Nachwuchskräften, die frisch von den Universitäten oder aus der Ausbildung kommen, betritt eine neue Generation den Arbeitsmarkt. Mit ihrer spielerischen Herangehensweise eignen sich die Digital Natives komplexe Themen schnell an. Sie sind experimentier- und risikofreudiger als die Älteren. Seit jeher ist das ein Privileg der jungen Generation, die noch wenig eigene Erfahrung damit gemacht hat, was alles Schlimmes passieren kann. Diese mutige Herangehensweise ist einerseits wertvoll und erwünscht. Unternehmen brauchen die jungen Nachwuchskräfte und ihren Esprit, um innovativ zu sein, sich weiterzuentwickeln und den Fachkräftemangel zu bewältigen. Andererseits birgt die Risikobereitschaft und Unbedarftheit aber auch Gefahren.
Cloud und BYOD als Streitpunkte
Gerade die Cloud ist ein häufiges Streitthema im Generationenkonflikt. Um neue Geschäftsideen umzusetzen, ist Cloud-Technologie heute in vielen Fällen unverzichtbar. Nicht umsonst zählt sie zu den großen Treibern der digitalen Transformation. Für junge Mitarbeiter ist der Einsatz von Cloud-Services selbstverständlich. Doch oftmals werden ihre Initiativen von der restriktiven IT-Security-Politik im Unternehmen zurückgehalten. Häufig, weil man die Dinge „schon immer“ so gemacht hat und sich bestehende Security-Prozesse nicht an die Cloud adaptieren lassen. Dadurch kommt es zu einer klassischen Konfliktsituation zwischen Security und Innovation, älterer Generation und jungen Nachwuchskräften. Auch innerhalb der Security-Abteilung schwelt dieser Konflikt: Alteingesessene Sicherheitsverantwortliche wollen oft noch an etablierten On-Premises-Security-Systemen festhalten, jüngere favorisieren dagegen eher Cloud-Deployment-Modelle, die moderner, flexibler, skalierbarer und einfacher zu managen sind.
Ein anderer Konfliktpunkt ist der Einsatz von privaten Digitalgeräten im Unternehmenskontext. Junge Mitarbeiter wollen ganz selbstverständlich das eigene Smartphone oder den Laptop im Unternehmensnetzwerk nutzen. Während der Pandemie, als viele Unternehmen im Eiltempo Remote-Work und Homeoffice einführen mussten, war Arbeiten anders oft gar nicht möglich. Dadurch hat die Menge an nicht-gemangten IT-Geräten zugenommen und das Thema „Bring your own device“ (BYOD) an Brisanz gewonnen. Security-Verantwortliche stehen vor der Herausforderung, in einer Umgebung aus Endgeräten, die sich ihrer Kontrolle entziehen, für einheitliche Sicherheit und Datenschutz zu sorgen. Das verursacht erheblichen Aufwand. Mit steigender Komplexität müssen die Security-Experten funktionierende Sicherheitsanwendungen überarbeiten und in die bestehende Infrastruktur integrieren.
Eine psychologische Herausforderung
So mancher erfahrene CISO fühlt sich durch die neue Situation abgedrängt. Ist alles, was er aufgebaut und geleistet hat, plötzlich nichts mehr wert? Jahrelang hat sein Security-Konzept gut funktioniert. Jetzt kommt eine neue Generation an Mitarbeitern, die alles anders machen möchte. Die eigene Expertise ist nicht mehr gefragt und wird überstimmt. Dieses Gefühl ist bitter und führt nicht selten dazu, dass man sich der Veränderung entgegenstellt. Wer springt schon gerne über seinen Schatten und gibt zu, dass der Jüngere vielleicht recht hat? Dieser Konflikt kann sich negativ auf die Zusammenarbeit im Team auswirken. Meist sind hier gar nicht so sehr fachliche Differenzen ausschlaggebend, sondern zwischenmenschliche Töne und Kommunikationsprobleme. Junge Menschen sind oft ungeduldig und in ihrer Kritik nicht gerade diplomatisch. Ein 55-jähriger CISO will sich aber in der Regel nichts von einem 25-jährigen Grünschnabel sagen lassen. Für beide Seiten ist der Konflikt belastend. „Warum ist der Alte so stur und erkennt nicht, dass ich recht habe?“, denkt sich der eine. „Warum will keiner mehr auf mich hören?“, fragt sich der andere.
Doch wenn sich die Security nicht modernisiert und von ihrem restriktiven Kurs abrückt, besteht die Gefahr, dass sie entweder umgangen oder ignoriert wird. Leider ist in vielen Unternehmen genau dieser Effekt bereits eingetreten: Weil die Security-Abteilung als Verhinderer betrachtet wird, bezieht man sie oft erst zu spät mit ein. Das ist ein großes Risiko, denn wenn Entwicklungs- und Cloud-Projekte ohne Security starten, sind sie ein leichtes Ziel für Cyberkriminelle. Für CISOs kann diese Situation sehr belastend sein. Einerseits sind sie im Falle eines Cyberangriffs in der Verantwortung. Andererseits haben sie im Vorfeld keine Chance, an gemeinsamen Zielen mitzuarbeiten und für angemessene Cybersicherheit zu sorgen.
Den Generationenkonflikt überwinden
Der Generationenkonflikt darf nicht dazu führen, dass Security außen vor bleibt. Vielmehr muss sie von Anfang an integraler Bestandteil aller IT- und Entwicklungsprojekte sein. Moderne Security-Technologie kann helfen, Gräben zu überwinden, indem sie die Basis dafür schafft, dass beide Seiten glücklich sind. Sie bietet der jungen Generation die Flexibilität, die sie sich wünscht, und der Security-Abteilung die Kontrolle, die sie braucht. Es gibt zum Beispiel Security-Plattformen, die gleichermaßen On-Premises und in der Cloud funktionieren und mit den Cloud-Services verschiedener Provider zusammenarbeiten. Sie stellen alle wichtigen Security-Funktionen für die vernetzte IT-Umgebung bereit und können Entwickler von Anfang an unterstützen, indem sie Sicherheitslücken im Code und in der Cloud-Konfiguration aufdecken.
Das wichtigste Element aber, um den Generationenkonflikt zu überwinden, ist Kommunikation und gegenseitiges Verständnis. Nicht die Profilierung des Einzelnen darf im Vordergrund stehen, sondern das gemeinsame Ziel, das Unternehmen voranzubringen und es dabei bestmöglich vor Cyberangriffen zu schützen. Dafür brauchen die Älteren die Experimentierfreude und Neugierde der Jungen, und die Jungen die Erfahrung und Security-Expertise der Älteren. Die einen müssen ein Bewusstsein für die Cyberrisiken entwickeln, die anderen Offenheit für Neues. Wenn beide Seiten voneinander lernen und an einem Strang ziehen, können Unternehmen sicher in die Zukunft steuern.