Lateral Movements
Wie geht man mit Quereinsteigern in der IT-Sicherheit um?
Fast jede:r praktizierende IT-Security-Experte/in hat einen beruflichen Hintergrund, der mehr oder minder stark von ihrer/seiner jetzigen Tätigkeit abweicht. Das ist oft sinnvoll, wenn nicht sogar notwendig, weil einfach nicht genug „native“ Sicherheitsfachleute verfügbar sind. Doch neben handfesten Vorteilen gibt es auch verschiedene weniger vorteilhafte Aspekte, die Arbeitgeber leicht übersehen und aus denen durchaus Probleme erwachsen können. Ein offenes und aufmerksames Miteinander kann jedoch vermeiden, dass dem Quereinstieg Querschläger folgen, meint unser Autor.
Von Sebastian Broecker, Bad Soden
„And all this science, I don’t understand – it’s just my job five days a week. … I’m a rocket man“, heißt es treffend in einem vierzig Jahre alten Song von Elton John. Dieser Gedanke passt ziemlich gut zu einigen Stellenanzeigen für Quereinsteiger (geschlechtsneutral) in der IT-Security oder KI-Science. So konnte man in einem großen Bewerbungsportal im April 2023 bei den Voraussetzungen für eine Stelle als AI-Design-Expert lesen, dass ein „Master-Abschluss … in Informatik …, Human Factors, (Interaktions-)Gestaltung, Design oder Psychologie“ gewünscht würde.
Aus Sicht des Autors sind Informatiker, Design-Experten und Psychologen dann ja doch recht unterschiedliche Fachgruppen, aus denen man hier rekrutieren mochte. Wobei eine breite Aufstellung per se nichts Schlechtes ist! Arbeitgebern sollte jedoch klar sein, dass derart verschieden vorgebildete Menschen eine recht unterschiedliche Sicht auf Dinge haben dürften und daher unterschiedlich gefördert werden sollten – und selbst dann vermutlich noch völlig unterschiedliche Ansichten zu derselben Sache haben werden.
Prinzipiell kann es durchaus konstruktiv sein, jemand aus einer anderen Blickrichtung auf ein Projekt schauen zu lassen oder sich abseits seines ursprünglichen Berufswegs zu engagieren. So wurde beispielsweise Arnold Schwarzenegger in den 70ern als Bodybuilder bekannt, mutierte dann in den 80ern als Conan und Terminator zum Schauspieler von Weltruf, um 2003 letztlich für zwei Amtszeiten amerikanischer Gouverneur zu werden. Es gibt allerdings auch andere bekannte Fälle von Quereinsteigern, die vielleicht als weniger erfolgreich anzusehen waren. Beispielsweise waren vor einigen Jahren nach dem Wechsel einer bundesdeutschen Politikerin vom Familienressort (über eine Zwischenstation) zur Verteidigungsministerin – was wohl abgesehen vom Dienstposten als Ministerin kaum gegensätzlicher hätte sein können – recht negative Auswirkungen auf die Bundeswehr zu beobachten.
Pluspunkte
Es gibt durchaus triftige Gründe, warum man dennoch auf Mitarbeiter:innen aus anderen Fachgebieten setzen kann oder sollte – pragmatische und systemische, allem voran die drei folgenden:
Gelegenheiten bei einem knappen oder leeren Arbeitsmarkt
Derzeit gibt es zahlreiche Berufe, bei denen Angebot und Nachfrage, aber auch Qualifikationserfordernisse und Realität nicht übereinstimmen. Laut gotoitcareer.com [1] sind die Berufe mit den besten Chancen für Quereinsteiger derzeit: Lehrer, Altenpfleger, Coaches, Immobilienmakler, Flugbegleiter, Data-Scientist, Softwareentwickler, Eventmanager, Online-Marketing-Manager und IT-Security-Experten, die in dieser Top-10-Liste auf Platz acht landen.
Warum es zu wenig Fachkräfte in diesen Berufen gibt, kann verschiedene Gründe haben:
- hohe Arbeitslast – meist bei gleichzeitig unangemessen niedriger Vergütung (z. B. Altenpfleger)
- eine nur vage Vorstellung des Berufs – könnten Sie etwa Ihren Eltern erklären, was ein Data-Scientist macht?
- eine lange Ausbildung – etwa sieben Semester für ein Studium zur IT-Security
- allgemeines Desinteresse – „IT-Security ist nicht sexy“
- eine hohe (geänderte) Nachfrage – zum Beispiel durch die Aktualisierung des BSI-Gesetzes
- eine nicht angepasste Ausbildungslandschaft
So kann man in Deutschland laut der (nach eigenen Angaben) „Nr. 1 Suchmaschine für Studiengänge“ IT-Sicherheit – in einem gleichnamigen Studiengang – nur an neun Hochschulen erlernen (https://studieren.de/itsicherheit.hochschulliste.t-0.c-32939.html), unter anderem in Mittweida, Wedel und Aalen, die für junge Menschen auf der Suche nach einem Studienort womöglich nur eine begrenzte Strahlkraft haben könnten. Zum Vergleich: Für Religionswissenschaft liefert die Suchmaschine immerhin schon 14 Treffer (https://studieren.de/religionswissenschaft.hochschulliste.t-0.c-187.html). Selbst für Profis und Insider ist der Überblick über die Studienlandschaft in Sachen IT-/Informations-/Cyber-Sicherheit nicht so ganz einfach, wie auch die <kes> bei früheren Beiträgen zu diesem Thema erfahren musste [2,3].
Hinzu kommt oft eine fehlende Wertschätzung in der Vergütung der ausgebildeten Fachkräfte. So bot das englische Schatzamt seinem künftigen Head of Cybersecurity unlängst eine jährliche Vergütung von 55.000 Pfund an (www.civilservicejobs.service.gov.uk/csr/jobs.cgi?jcode=1846199) – in London, wo laut auswandern-info.com die Mietkosten circa 80 % höher als in Berlin sind! So entsteht ein Ungleichgewicht zwischen Angebot und Nachfrage. Laut einer Studie von (ISC)² aus dem Jahr 2022 gibt es in Deutschland knapp eine halbe Million Cybersecurity-Experten – doch es fehlen noch über 100 000 weitere [4].
Quereinsteiger sind oft günstiger als Experten
Da ein Quereinsteiger ja kein „Vollexperte“ ist, sehen viele Arbeitgeber darin eine Möglichkeit, dieser Gruppe in sonst hoch dotierten Jobs, wie der IT-Security, weniger zu zahlen als dem „ausgebildeten Experten“. Da viele Manager die IT-Security eh als ein „teures Hobby“ ansehen, versucht man oft, an dieser Stelle zu sparen. Dem Autor ist ein Fall aus seiner persönlichen Umgebung bekannt, in der eine große Firma mit einem Umsatz von hunderten Millionen Euro vor einigen Jahren einer Führungskraft, die vorher noch nie das Wort „IT-Security“ gehört hatte, zusätzlich als zweites Team die IT-Security-Abteilung zuordnete, um so eine Führungskraft einsparen zu können. Laut einer Studie der Bertelsmann Stiftung [5] verdienen Quereinsteiger im Schnitt 10 % weniger als ihre Kollegen mit einem in der Fachrichtung abgeschlossenen Studium.
Andere Blickwinkel bringen andere – und vielleicht bessere – Ergebnisse
Ein Fachexperte kann durchaus „betriebsblind“ sein – er ist es gewohnt, die Welt durch seine spezifische Brille zu sehen und übersieht dabei vielleicht bestimmte Dinge, womöglich soziologische Aspekte. So ist zum Beispiel die Ehefrau des Autors eine Quereinsteigerin in der Steuerfachangestelltenwelt, kann aber oft sowohl bei menschlichen Faktoren im Umgang mit Kunden oder bei handwerklichen Aufgaben, welche die Kollegen überfordern würden, im Büroalltag helfen.
Unternehmen verstehen zunehmend, dass ein anderer Blickwinkel auf ein Thema durchaus eine Bereicherung sein kann. So findet man in einer Stellenausschreibung für einen wissenschaftlichen Mitarbeiter für KI-Ethik in Dessau die Beschreibung, dass ein abgeschlossenes Studium in einem der folgenden Fächer erwartet wird: Politikwissenschaft, Soziologie, Psychologie, Philosophie, Rechtswissenschaften oder Wirtschaftsinformatik – auch hier zeigt sich also wieder eine recht große Bandbreite an möglichen Voraussetzungen für den Job, wie schon im eingangs erwähnten Beispiel.
Potenzielle Probleme
Die genannten Vorteile erklären, warum Quereinsteiger häufig gesucht werden – doch: Wo Licht ist, ist auch Schatten.
Unwissen über das Unwissen
In der Regel sind ein Zertifikat oder ein Lebenslauf allein nicht unbedingt aussagefähig – gerade bei Quereinsteigern kann der Arbeitgeber oft nicht wirklich wissen, was sein Gegenüber konkret weiß oder nicht. Der Autor hatte vor Jahren mal einen älteren Kollegen, der irgendwann völlig neue Aufgaben bekam („hausinterner Quereinsteiger“). Auf seinem Fachgebiet verfasste er „trittsicher“ Managementreports, beim Prozentrechnen bat er jedoch vertrauenswürdige Kollegen um Rat. Da dieses Problem ihm peinlich war, war es ein Geheimnis, das er mit nur wenigen Vertrauten teilte – und für das er daher auch nie eine Schulung oder ein Training bekam.
Schulungs- und Betreuungsbedarf
Quereinsteiger zeigen oft ein hohes Engagement in ihrem neuen Job. Das führt leicht auch dazu, dass Führungskräfte glauben, nur wenige oder keine Schulungen seien nötig. Dabei ist es eher umgekehrt: Quereinsteiger brauchen besonders viele, regelmäßige und intensive Schulungen und Betreuung. Hierbei sind drei Aspekte zu bedenken: Der oder die Neue braucht einerseits sowohl Fachwissen (z. B. über Netzwerksicherheit) als auch firmenspezifische Informationen (Abläufe, Ansprechpartner, Bearbeitungszeiten usw.). Andererseits kommt noch hinzu, dass Quereinsteiger viele Dinge aus einer anderen Sicht – ihrer andersgearteten Erfahrung – sehen und ein eventuell benötigtes abweichendes Denken erst lernen müssen.
Ein einfaches, aber prägnantes Beispiel ist hier die Diplomatie: Als „direkt“ denkender Naturwissenschaftler musste der Autor als junger Mann zunächst schmerzhaft erfahren, dass man im Meeting nicht einfach sagt, wenn etwas klar ersichtlich völliger Unsinn ist, sondern man eher zu Formulierungen neigen sollte, wie: „Ich bin noch nicht ganz überzeugt – vielleicht könnten Sie mir die hochgerechneten Zahlen dazu sagen?!“
Leider wird das große Engagement eines Quereinsteigers oft so interpretiert, dass er schon „alles kann“, denn er/sie kommt ja klar. Gerade wenn die Firma den bereits angesprochenen Einspareffekt nutzen möchte, werden teure Schulungen oft nicht durchgeführt. Im Bestfall gibt es vielleicht ein Angebot hausinterner Fortbildungen, die meist nicht so tiefgreifend sind. So schlug der Autor früher öfters (bei verschiedenen Arbeitgebern) vor, dass neue Mitarbeiter erst einmal mehrere SANS-Schulungen in IT-Security bekommen sollten – doch die finden häufig im Ausland statt (hohe Reisekosten) und sind eher hochpreisig. Stattdessen bekamen die Neuen aber oft nur hausinterne „IT-Kurse“ verordnet, wie „Excel für Anfänger“. Nicht selten dauert es auch sehr lange, bis ein Quereinsteiger die nötigen Kurse absolvieren kann: Bei einem Unternehmen mit einem sehr spezifischen Arbeitsgebiet, das viele besondere rechtliche und technische Aspekte umfasste, dauerte es geschlagene 1,5 Jahre bis aus organisatorischen Gründen der Einführungskurs für den Neuen (in diesem Fall der Autor) stattfand.
Nicht-erwartete Ergebnisse und Qualitätsmängel
Beauftragt eine Führungskraft jemanden, der völlig andere Erfahrungen als der „Standardmitarbeiter“ gemacht hat, mit einer Aufgabe, so sollte er damit rechnen (was leider nicht immer der Fall ist), dass auch etwas völlig Unerwartetes dabei herauskommt. Daraus entsteht jedoch die Frage, wie man damit umgehen sollte: Ist das Ergebnis „erfrischend anders“ und vielleicht eine Bereicherung für das Unternehmen? Kann man Teilaspekte davon nutzen? Oder ist es gänzlich unzureichend, weil bestimmte Aspekte total vernachlässigt wurden?
Vor vielen Jahren sah der Autor, wie man einer studentischen (völlig fachfremden) Praktikantin, die irgendwie in der Security-Abteilung gelandet war, die Aufgabe übertrug, ein firmenspezifisches Sicherheitskonzept zu schreiben. Leider war das Ergebnis, optimistisch betrachtet, nur als amüsant zu bezeichnen. Die Führungskraft hatte zuvor aufgrund einer Mischung aus Personalmangel und „Vorgabe vom Management“ beschlossen, die unerfahrene Quereinsteigerin mit dieser anspruchsvollen Angelegenheit zu beauftragen. Erstaunlicherweise hatte diese Führungskraft nicht mit einem Misserfolg gerechnet.
In zwei Jahrzehnten IT-Sicherheit erlebte es der Autor zudem einmal, dass eine Psychologin in der Security-Abteilung ein längeres Praktikum machte: Man beauftragte sie, eine Umfrage zur IT-Security-Awareness durchzuführen. Prinzipiell waren ihre Fragen gut und mit psychologischem Hintergrund versehen. Leider war ihr Statistikwissen aber nicht so gut: So glaubte sie (und leider auch die Führungskraft), dass eine Befragung von 30 Personen, die statistisch nicht repräsentativ ausgewählt waren (also z. B. nicht die Altersstruktur im Unternehmen widerspiegelten), ausreichen würde, um für tausende Mitarbeiter eine Analyse des Awarenesswissens hochzurechnen.
Über- oder Unterforderung von Quereinsteigern
Sind die Anforderungen in der neuen Umgebung an einen Quereinsteiger zu hoch oder zu niedrig, kommt es schnell zu Enttäuschung. Da Quereinsteiger nicht selten aus Unzufriedenheit (Bezahlung, Arbeitszeiten, Marktlage, drohende Arbeitslosigkeit usw.) mit dem alten Job oder dem Wunsch, sich weiterzuentwickeln, ihre neue Stelle antreten, sind sie vom Wesen her oft eher bereit, ihr Glück erneut woanders zu suchen. Sowohl zu hohe Anforderungen („Ich bin dem nicht gewachsen!“) als auch Unterforderung führen sehr schnell zu Frustration.
Vor Kurzem lernte der Autor einen jungen Mann kennen, der erst ein technisches Studium angefangen hatte und dann stattdessen eine Ausbildung als Mechatroniker machte. Dieser junge Mann hatte vorher an der Hochschule zum Beispiel mit komplexen Zahlen gerechnet und musste sich nun in der verpflichtenden Berufsschule mit trivialen Dingen herumquälen, wie dem Umrechnen von Zentimetern in Meter, was ihn sehr unterfordert und frustriert hat.
Quereinstieg als Sprungbrett
Überdies ist nicht selten zu beobachten, dass Quereinsteiger von vornherein oder aufgrund sich entwickelnder Unzufriedenheit den neuen Job nur als Sprungbrett in eine Karriere ansehen. Der/Die Neue bekommt im Idealfall mehrere den Lebenslauf deutlich verbessernde Schulungen sowie praktische Erfahrung im neuen Einsatzgebiet. Nach einiger Zeit, meist 1–2 Jahren, lässt sich diese Kombination dann nutzen, um sich andernorts zu bewerben und in der Karriere- oder Gehaltsleiter aufzsteigen. Das ist menschlich und nicht verwerflich – es ist jedoch ein Aspekt, den Führungskräfte bei der Personalplanung berücksichtigen sollten.
Teamkonflikte
Was häufig bei der Einstellung von Quereinsteigern übersehen wird, ist das Konfliktpotenzial, das ihr Einsatz mit sich bringen kann. Das beginnt bei der Bezahlung: Wie bereits angemerkt, verdienen Quereinsteiger oft 10 % weniger als Fachexperten – wohlgemerkt für dieselbe Tätigkeit. Was ist, wenn ein Quereinsteiger nach der Probezeit mehr Geld verlangt, weil er schließlich dieselbe Arbeit verrichtet oder genauso erfolgreich ist wie der Fachexperte?
Doch auch im Tagesgeschäft können Probleme auftreten: Ist im Meeting die Meinung des Quereinsteigers genauso viel wert wie die des Fachexperten? Der Autor erinnert sich an einen Konflikt, der über Jahre schwelte, weil er einst einen jungen und unerfahrenen Kollegen in einer Besprechung etwas uncharmant als „Security-Küken“ bezeichnet hatte.
Und was ist mit der Verteilung von Schulungen? Verstehen die Kollegen, dass der/die Neue in der Anfangszeit womöglich gleich mehrere hochpreisige Fachschulungen, vielleicht sogar im Ausland, benötigt, die sie selbst nicht zugebilligt bekamen, weil sie ja das entsprechende Fachwissen schon mitgebracht haben?
Aus der Beobachtung des Autors in einem langen Berufsleben ist im Nachhinein viel Konfliktpotenzial im Team durch den unüberlegten (!) Einsatz von Quereinsteigern entstanden: Viele Führungskräfte sehen nur kurzfristige Vorteile, wie das Finden einer Arbeitskraft oder eine Geldersparnis gegenüber einer „echten“ Fachkraft, bedenken aber nicht die möglichen Probleme: Fühlt sich irgendjemand im Team benachteiligt? Wie gehe ich mit der anderen Art zu denken um? Was erwarte ich als Führungskraft von dem Quereinsteiger?
Fazit
Heutzutage sind berufliche Wechsel und Umorientierungen alltäglich. In vielen Berufen herrscht ein Mangel an Fachkräften, der nur durch Quereinsteiger befriedigt werden kann. Oft bringen diese „Neuen“ auch eine neue Art Probleme zu lösen und viel Elan mit sich, was durchaus konstruktiv und effizient sein kann. Daraus ergibt sich in der Regel eine Win-win-Situation für den Arbeitgeber und die Quereinsteiger.
Dies kann jedoch nur gelingen, wenn die jeweilige Führungskraft – aber auch der Quereinsteiger selbst – sich vorher ausreichend viele und tiefe Gedanken gemacht hat. Ein unüberlegtes Vorgehen kann hingegen viele Probleme schaffen: Dazu gehören Konflikte im Team (z.B. wegen Bezahlung oder Schulungen), der Umgang mit anderen Arbeits- und Denkweisen, unbefriedigte Erwartungshaltungen, Über- oder Unterforderungen des neuen Mitarbeiters, aber auch strategische Fragen, wie eine Neigung des neuen Mitarbeiters, zu neuen Arbeitgebern weiterzuziehen.
Daher ist es wichtig, dass sich beide Seiten vorher über ein paar Fragen im Klaren und einig sind: Warum stellt der Arbeitgeber einen Quereinsteiger ein (z. B. leerer Arbeitsmarkt)? Wie wird der/die Neue geschult und betreut? Was weiß man wirklich über sein Wissen? Wie geht das Team damit um? Ist die Meinung eines Neuen gleichwertig mit der von alteingesessenen Expert:innen? Wie gehen auch bestehende Kräfte damit um, wenn jemand zu ganz anderen Ergebnissen kommt, als sie es gewohnt sind? Wie kann man Quereinsteiger langfristig an das Unternehmen binden?
Es ist wichtig, sich vorher Gedanken zu machen. Sonst kann es leicht zu einer Erwartungshaltung kommen, die der Journalist Wolfgang Mocker wie folgt beschrieb: „Gegen Andersdenkende ist im Prinzip nichts einzuwenden, Hauptsache sie handeln wie alle.“ – und dann sind Konflikte und Unzufriedenheit vorprogrammiert.
Dr. Sebastian Broecker war lange Jahre als CISO tätig und arbeitet derzeit als freiberuflicher Autor und Referent.
Literatur
- gotoITcareer, Die Top 10 Quereinsteiger Jobs, Januar 2023, www.gotoitcareer.com/artikel/die-top-10-quereinsteiger-jobs
- Max Luber, Studium Securitatis, <kes>2015#6, S. 60 [3] Norbert Pohlmann, Ex schola pro vita, Studien- und Fortbildungsangebote zur Cybersicherheit, <kes> 2021#3, S. 32
- (ISC)², 2022 Cybersecurity Workforce Study, Oktober 2022, www.isc2.org/Research/Workforce-Study
- Bertelsmann Stiftung, Jeder zweite Arbeitnehmer ohne Ausbildungsabschluss arbeitet als Fachkraft, Januar 2018, www.bertelsmann-stiftung.de/de/themen/aktuelle-meldungen/2018/januar/jeder-zweite-arbeitnehmer-ohne-ausbildungsabschluss-arbeitet-als-fachkraft