Neurodiversität / Autisten: : Hidden Talents in der IT-Security

1–2% der Bevölkerung haben eine Autismus-Diagnose; Wissenschaftler und Mediziner gehen allerdings von einer hohen Dunkelziffer von nicht diagnostizierten Autisten aus. Autismus bewirkt, dass Reize und Informationen im Gehirn anders aufgenommen, priorisiert, gefiltert und gespeichert werden als bei der Mehrheit der Menschen: Autisten nehmen mehr und/oder andere Details wahr, sie denken und handeln anders, interagieren und kommunizieren anders und gehen an Problemstellungen anders heran.

Man geht heute davon aus, dass 60–75% der Autisten keine intellektuellen Schwächen haben [2] – im Gegenteil: Bestimmte Aufgaben können ihre Gehirne oft schneller und besser umsetzen als die von Nicht-Autisten. Um welche Aufgaben es sich dabei handelt, ist unterschiedlich: Autismus ist angeboren und unveränderbar, allerdings individuell ausgeprägt.

Wurden Autisten früher in Kategorien wie hochfunktionale, frühkindliche oder Asperger-Autisten eingeteilt, spricht man aufgrund der fließenden Grenzen zwischen diesen Syndromen heute ganz allgemein vom Autismus-Spektrum. Und was früher vor allem als Störung oder Behinderung abgewertet wurde, sieht man inzwischen vielfach positiv als natürliche und die Gesellschaft bereichernde Variante der Funktionalität des Gehirns. Die daraus entstehende neurologische Vielfalt wird unter dem Begriff „Neurodiversität“ zusammengefasst.

Neurodiversität in der IT-Security

Dass autistische Stärken und heterogene, neurodiverse Teams in der IT und dabei vor allem in der Cyber- und Information-Security von großem Wert sein können, ist schon länger bekannt. Laut einer Studie des IT-Security-Herstellers BitDefender aus dem Jahr 2020 [3] bestätigten schon damals fast 40% der befragten Sicherheitsverantwortlichen, dass aus ihrer Sicht „neurologisch gemischte“ Security-Teams den Schutz vor Cyberattacken stärken können: Unterschiedliche Blickwinkel und kognitiv Stärken neurodivergenter Teammitglieder ermöglichen es, Angriffstaktiken und -methoden von Cyberkriminellen besser zu antizipieren, mehr/andere Schwachstellen aufzuspüren und Attacken schneller zu entdecken.

Auch Bernd Bauer, Head of Protection and Consulting Services bei Siemens, setzt Autisten ein und ist von den Vorteilen neurodiverser Teams überzeugt: „Der bei uns eingesetzte Auticon-Consultant konnte sich aufgrund seiner autistischen Stärken sehr schnell in Themen einarbeiten und innerhalb kürzester Zeit die relevanten Informationen verarbeiten, wofür eine neurotypische Person deutlich länger bräuchte. Deshalb war seine Aufgabe, Interviews zu führen und auszuwerten, aus meiner Sicht perfekt für ihn. Grundsätzlich denke ich, dass autistische Personen in der IT und Cybersicherheit einen wertvollen Beitrag leisten können, eben weil sie komplexe Zusammenhänge gut erkennen können.“

Autistische Stärken im SOC

Anhand typischer Aufgaben in einem Security-Operations-Center (SOC) lässt sich die Vielzahl der Bereiche verdeutlichen, in denen Autisten besondere Stärken ausspielen können:

Analysen

Durch die Fähigkeiten, versteckte Muster und logische Zusammenhänge zu erkennen, sind Autisten hervorragend geeignet, beispielsweise große Datenmengen auszuwerten, SIEM-Ergebnisse zu verifizieren, wiederholte Sicherheitsvorfälle zu analysieren, Use-Cases für Security-Information-and-Event-Management-(SIEM)-Systeme zu entwickeln oder Prozesse wie Security-Orchestration-Automation-and-Response-(SOAR)-Workflows zu beurteilen oder zu optimieren.

Fehleridentifizierung

Fehler und Schwachstellen bemerken, Muster und Strukturen erkennen, die anderen verborgen bleiben – hierbei haben sehr viele Autisten gegenüber Nicht-Autisten die „Nase vorn“. Bei der neurotypischen Mehrheit der Menschen hat das Gehirn eine Art „Auto-Korrekturfunktion“, durch die zum Beispiel kleinen Tippfehler beim Lesen, Zahlendreher oder Leerzeichen zwischen Buchstaben oder Zahlen unterbewusst richtiggestellt und dadurch einfach übersehen werden.

Dieser kognitive Kompensationsprozess funktioniert in autistischen Gehirnen, die Reize und Informationen weniger oder anders filtern und priorisieren, nicht oder nicht so gut. Dadurch nehmen Autisten Normabweichungen besser wahr und erkennen Sicherheitslücken, die aus fehlerhaften Daten, unsauberem Code oder lückenhaften Prozessen resultieren, schneller und zuverlässiger.

Qualitätsanspruch und Gründlichkeit

Das beschriebene Wahrnehmen von Fehlern, Lücken oder Mängeln geht einher mit einem hohen Qualitätsanspruch, fast schon Perfektionismus, den viele Autisten zeigen.

Viele Cyber-Angriffe sind nur erfolgreich, weil Regeln nicht konsequent eingehalten werden oder bei Aufgaben im und auch außerhalb des SOC „geschludert“ wird. Autisten arbeiten besonders sorgfältig, halten sich korrekt an Vorgaben und berücksichtigen in ihrer Arbeit wichtige Qualitätsmerkmale, obwohl diese vielleicht gar nicht ausdrücklich vorgegeben sind.

Ein autistischer Entwickler wird zum Beispiel automatisch darauf achten, beim Application-Development von Anfang an auch Sicherheitsfeatures zu berücksichtigen. Ein autistischer Software- oder Unit-Tester prüft ganz selbstverständlich auch auf Sicherheitslücken – DevSecOps, ein Bereich mit stark wachsender Relevanz, ist ein hervorragendes „Spielfeld“ für Autisten.

Konzentration

Autisten können häufig lange und mit hoher Konzentration an repetitiven, für Nicht-Autisten ermüdenden Aufgaben arbeiten – etwa große Datenbestände auf Fehler prüfen oder Incident-Reviews verifizieren. Sie arbeiten auch nach Stunden immer noch detailgenau und sorgfältig.

Problemlösung

Manche Autisten verfügen über eine ausgeprägt „fluide“ Intelligenz: Anders als Nicht-Autisten greifen sie weniger auf Erfahrungen und einmal Erlerntes zurück. Sie gehen jede Aufgabe neu an und bringen mit unvoreingenommenem Blick, unkonventionellen Ideen und sehr sachlichen, analytischen Herangehensweisen auch festgefahrene Projekte wieder zum Laufen.

Einarbeitung und Weiterbildung

Auch das von Bernd Bauer bereits beschriebene schnelle Einarbeiten in einen neuen Themenbereich ist eine häufige autistische Stärke: Wenn Informationen im Gehirn weniger oder anders gefiltert und priorisiert werden, bleibt eben einfach mehr „hängen“. Speed-Reader sind unter Autisten keine Seltenheit – und sie haben oft auch eine beeindruckend große Fachkenntnis.

Viele Autisten sind regelrecht wissensdurstig und zudem leidenschaftlich interessiert an ihrem Spezialthema, bilden sich konstant weiter und bleiben bezüglich der neuesten Trends und Tools immer auf dem Laufenden – auch das passt hervorragend in das schnelllebige Umfeld der Cyber-Security.

Kommunikation und Dokumentation

Autisten brauchen klare Briefings, Aufgabenstellungen sowie Zielvorgaben und sind selbst sehr direkt und konkret in ihrer Kommunikation. Seien wir ehrlich: Das tut jedem Team gut!

Wer strukturiert denkt, klar kommuniziert und ein umfangreiches Know-how hat, ist prädestiniert dafür, Wissen festzuhalten und weiterzugeben. Ob Use-Cases oder andere Vorlagen für Informationssicherheits-Managementsysteme (ISMS), Reports oder Schulungsmaterialien: Von Autisten erstellt sind diese logisch aufgebaut, detailgenau und vollständig.

Soziale Kompetenz

Die genannten autistischen Stärken und Fähigkeiten sind zu einem großen Teil bekannt und anerkannt. Es gibt jedoch weitere Aspekte, die nicht so häufig genannt werden, wie das Entdecken von Bugs oder fehlerhaften Daten, die aber gerade in der IT-Security wertvoll sind: Autisten agieren regelkonform, objektiv und unbeeinflusst, sind zuverlässig, loyal, ehrlich und korrekt. In vielen Situationen sind sie dadurch sogar sozial kompetenter und agieren gerechter als Nicht-Autisten.

Marcel L. wurde bei seinem Projektkunden in der Cyber-Threat-Intelligence (CTI) eingesetzt – konkret ging es um die Optimierung von Feedback-Prozessen, einem wichtigen Teil des Schwachstellenmanagementsystems, mit dem sein international operierender Kunde zeitnah Bedrohungslage und Exposition ermittelt. Die businesskritischen Abläufe waren jedoch – wie so oft in gewachsenen Umgebungen – umständlich, fehleranfällig und nicht einheitlich, zudem nicht mehr ausreichend dokumentiert und damit nicht verwendbar für eine Beweiskette (Chain of Custody, CoC).

Schließlich sollte ein komplett neues FeedbackSystem konzipiert und implementiert werden, das Ersteller und User berücksichtigt, um Use-Cases zu entwickeln. Marcel L. brachte nicht nur das nötige Fachwissen mit, um diesen Prozess zu unterstützen – er konnte das Projekt auch aufgrund seiner geschilderten emotionalen Unabhängigkeit vorantreiben: Wo Nicht-Autisten oft Skrupel oder Ängste haben, Fehlverhalten von Kollegen anzusprechen, agiert er rein auf sachlich-analytischer Ebene.

Viele Autisten analysieren die individuelle Auslegung und das unterschiedliche Verständnis von Worten, beobachten die Reaktionen von Usern und können menschliches Verhalten und auf die Human-Machine Interaction (HMI) bezogene Prozesse neutral – und damit „gerecht“ – beurteilen. Risk-Management, alle Arten von Audits sowie Compliance-bezogene Prüfungen profitieren von dieser Neutralität, der Unempfindlichkeit gegenüber sozialem oder hierarchischem Druck sowie einer typisch autistischen Regelkonformität.

Wie Zusammenarbeit bei Neuro-Inklusion funktionieren kann

Trotz der beschriebenen Stärken, über die inzwischen viel bekannt ist, sind einer wissenschaftlichen Studie [4] zufolge fünfmal mehr Autisten arbeitslos als Nicht-Autisten – bei gleicher oder höherer Qualifikation.

Die autistische Art der Wahrnehmung, Informations- und Reizverarbeitung hat auch negative Seiten und bringt Herausforderungen an einem Arbeitsplatz mit sich, der für Nicht-Autisten gemacht ist. Mit Verständnis und (oft nur kleinen) Anpassungen können Arbeitgeber und Führungskräfte die Konditionen, Umgebungen und Prozesse jedoch so gestalten, dass sie den Bedürfnissen von Autisten entsprechen.

Die allerwichtigste Regel dabei ist: Offenheit schaffen, miteinander sprechen und auch Empfindungen respektieren, die man selbst nicht hat. Häufig sind Autisten reizempfindlich zum Beispiel gegenüber Geräuschen, Licht, Gerüchen oder Berührungen, weil die Filterfunktion für diese Reize fehlt oder geringer ausgeprägt ist. Es kommen zu viele Informationen gleichzeitig im Gehirn an, die mit gleicher Priorität verarbeitet werden sollen – da ist ein Overflow vorprogrammiert.

Die Reizüberflutung ist dabei häufig viel intensiver, als Nicht-Autisten sie erleben. Schon der Weg zur Arbeit kann als sehr stressig und energieraubend empfunden werden – und auch Arbeitsplätze lassen sich nicht immer so umgestalten, dass sich autistische Kollegen wohlfühlen. Viele Autisten bevorzugen deshalb eine Tätigkeit im Home-Office, die ihnen auch zugestanden werden sollte, wo immer es möglich ist.

Viele Autisten bevorzugen außerdem Teilzeitmodelle, arbeiten zu unüblichen Zeiten oder machen längere Pausen zwischen Phasen hochkonzentrierter Arbeit. Unternehmen sollten hier größtmögliche Flexibilität zeigen und Projektteams die Anforderungen aller Teammitglieder bei Kommunikationsprozessen und Abläufen in Einklang bringen. Oft profitieren tatsächlich alle davon, wenn man starre Regeln aufweicht. Inklusion ist keine Einbahnstraße – jeder sollte sich damit wohlfühlen, damit sie als positiv und bereichernd erlebt wird.

Trotz des Fachkräftemangels und über Monate hinweg unbesetzten Stellen fehlt auch im Recruiting oft noch das Verständnis dafür, dass Autisten anders sozial interagieren – etwa Augenkontakt meiden, Mimik nicht deuten können oder Schwierigkeiten mit unklarer Kommunikation haben. Ihre Lebensläufe sind häufig „krumm“ oder lückenhaft, zum Teil haben sie eine Ausbildung oder ein Studium, aber keinen Abschluss, und sie können sich in Gesprächen häufig nicht gut „verkaufen“.

Nun weiß man ja nicht unbedingt vorab, ob ein Bewerber im Autismus-Spektrum angesiedelt ist – hier gilt es deshalb ebenfalls, sich prinzipiell von starren, eingefahrenen Prozessen zu verabschieden. Personaler, die Stellenangebote klar formulieren und strukturieren, bei Bewerbungsgesprächen eindeutig kommunizieren und „Fangfragen“ vermeiden, vorab detaillierte Informationen zur Vorbereitung schicken und bei der Auswahl den Fokus auf die Fähigkeiten und Fertigkeiten der Bewerber legen statt auf soziale und gesellschaftliche Normen, können eher wertvolle (nicht nur autistische) Fachkräfte gewinnen, die Vorzüge und Stärken „abseits der Norm“ besitzen.

Fazit

Nach Schätzungen der internationalen Vereinigung ISC2 [5] werden weltweit knapp fünf Millionen zusätzliche Experten in der Cyber-Security benötigt, um Unternehmen ausreichend abzusichern.

Wer sich für neurodivergente Fachkräfte öffnet, sie unterstützt und stärkenbasiert arbeiten lässt, kann letztlich nicht nur offene Stellen besetzen, sondern die „Schlagkraft“ von Cyber-Security-Teams durch neue Perspektiven, eine andere Art der Problemlösung und besonders ausgeprägte kognitive Fähigkeiten vergrößern.

Neurodiversität und Inklusion sind gerade in der IT-Security weit mehr als nur ein soziales oder Nachhaltigkeitsthema: Sie generieren einen messbaren Return of Invest (RoI).

Ursula Schemm ist Marketing Manager bei der auticon Deutschland GmbH (https://auticon.com/de/).

Literatur

^{[1] Jörg Schindler, IT-Fachkräftemangel bezieht sich zu 71% auf den Bereich Cybersecurity, Sophos-Umfrage, Dezember 2023, https://news.sophos.com/de-de/2023/12/05/umfrage-it-fachkraeftemangel-bezieht-sich-zu-71-auf-den-bereich-cybersecurity/} 

 ^{[2] Linus Müller, Autismus & Intelligenz: Manche IQTests unterschätzen Autisten, Blogbeitrag, April 2023, https://autismus-kultur.de/autismus-intelligenz/}

^{[3] Bitdefender, 10 in 10, Umfrage-Ergebnisse, September 2020, www.bitdefender.com/files/News/CaseStudies/study/368/Bitdefender-10-in-10-Report.pdf} 

^{[4] Julia Espelöer,· Julia Proft, Christine M. FalterWagner, Kai Vogeley, Alarmingly large unemployment gap despite of above-average education in adults with Autism Spectrum Disorder (ASD) without intellectual disability in Germany: a cross-sectional study, European Archives of Psychiatry and Clinical Neuroscience (2023) 273, S. 731, Springer Nature, Mai 2022, Open Access via https://doi.org/10.1007/s00406-022-01424-6}

^{[5] ISC2, Global Cybersecurity Workforce Prepares for an AI-Driven World, ISC2 Cybersecurity Workforce Study, Oktober 2024, www.isc2.org/Insights/2024/10/ISC2-2024-Cybersecurity-Workforce-Study}