KRITIScher Fachkräftemangel
Vom Fachkräftemangel ist im Zusammenhang mit der Digitalisierung allerorten zu hören und zu lesen. Im Umfeld kritischer Infrastrukturen (KRITIS) ist die Situation aufgrund besonderer Anforderungen womöglich noch etwas schwieriger als in anderen Bereichen. Unser Autor nimmt die Situation unter die Lupe und gibt Tipps, wie man ihrer (nicht nur im KRITIS-Segment) kurz-, mittel- und langfristig begegnen könnte.
Lauscht man dem Klagelied des Fachkräftemangels, besteht derzeit irgendwie überall Mangel und Bedarf an Menschen, die auch nur zielsicher eine Maus schieben können und damit dann schon als digitalaffin gelten dürfen – eine:n der sagenumwobenen Digital Natives zu rekrutieren, gleicht scheinbar einem 6er im Lotto. Aber auch außerhalb der „reinen“ Digitalisierung sind Arbeitsplätze in Nischen und mit Besonderheiten nicht immer trivial be- und ersetzbar.
Betreiber kritischer Infrastrukturen (KRITIS) haben teilweise Mitarbeiter:innen, die schon seit Jahrzehnten ihren Dienst im Leitstand verrichten oder als Field-Service-Techniker:in in Produktionsumgebungen und beim Inspizieren von Baugruppen und Komponenten an Außenstandorten tätig sind – beispielsweise bei den unzähligen Wasserpumpen oder -aufbereitungsanlagen und innerhalb des Wasserverteilungsnetzes. Diese Mitarbeiter:innen kennen Systeme und Abläufe seit Jahrzehnten aus der gelebten Praxis und kennen allem voran auch die tatsächlichen Abläufe und Besonderheiten. Sie können also im Störfall schnell und sicher agieren und eine Störung umso schneller beheben. Auch ein klassischer „analoger“ Betrieb lässt sich durch solche Mitarbeiter:innen gut handhaben, falls einmal die tolle neue IT-Infrastruktur ausfallen sollte – wie es inzwischen leider immer öfter bei Sicherheitsvorfällen wie Ransomware-Lösegelderpressungen zu erleben ist.
Diese erfahrenen Mitarbeiter:innen fallen jedoch nach und nach durch (Früh-)Rente weg und mit ihnen geht ihre solide Erfahrung ins Nirwana. Überdies sorgt die – zwar langsam, aber stetig vorgenommene – Digitalisierung in der Automatisierung der Produktionsumgebungen gerade bei KRITIS-Betreibern dafür, dass sich nicht nur der analoge Notfallbetrieb noch in den Köpfen der Mitarbeiter:innen dauerhaft halten muss, sondern darüber hinaus auch die Automatisierung, also das Zusammenspiel von IT und OT (Operative Technology) verstanden und gelebt werden muss.
Alternativ werden solche Mitarbeiter:innen aber auch gerne mal (aktiv) abgeworben, denn viele Unternehmen bezirzen aktuell die wenigen Kräfte auf dem Arbeitsmarkt. Und dieses Wettrennen zu gewinnen, ist nicht trivial – erst recht nicht, wenn noch die „alte Denkweise“ in den Köpfen von Management und Personalabteilung vorherrscht, dass Bewerber:innen letztlich Bittsteller:innen für einen Arbeitsplatz sind oder als Mitarbeiter:innen nicht gesehen und geschätzt werden, weil diese ja unter den „ehda-Kosten“ laufen.
Nötige Einsichten
Wie kann man dieser Problematik begegnen? Das Rad neu erfinden, ist nicht sinnvoll, aber auch nicht wirklich erforderlich. Was banal klingt, ist es nicht unbedingt: Zunächst muss im Management klar sein, dass es sowohl einen Fachkräftemangel gibt als auch eine kontinuierlich stattfindende Digitalisierung, die Einzug in mehr oder minder alle Prozesse hält – auch in Produktionsprozesse.
Hat die Entscheider:innen:ebene das verinnerlicht, kann über Lösungen nachgedacht werden. Analoge Prozesse als Notfallbetrieb sind wichtig, um einen IT-unabhängigen Betrieb zu gewährleisten, sofern dies möglich ist – es sollte also immer vorweg geprüft werden, ob diese Option wirklich existiert. Selbstredend ist das im KRITIS-Sektor IT und TK eher unwahrscheinlich und auch Onlinebanking wird sich im KRITIS-Sektor Finanz- und Versicherungswesen eher unrealistisch analog betreiben lassen. Aber in vielen anderen KRITIS-Sektoren ist es eine gute Option, die man auf keinen Fall vernachlässigen sollte. Es gibt bei KRITIS eben kein „Silver Bullet“ und keine One-size-fits-all-Absicherung.
Darüber hinaus muss klar sein, dass IT-Security nur dann wirklich funktioniert, wenn sie via Prozesse in die Abläufe integriert ist und auch „gelebt“ wird. Dafür benötigt man nicht zuletzt ein Informationssicherheits-Managementsystem (ISMS) und Business-Continuity-Management (BCM), in denen auch analoge Fallbackmechanismen Berücksichtigung finden.
Erst jetzt lässt sich feststellen, was benötigt wird: Nicht nur „analoge“ Field-Service-Techniker wie bisher, sondern IT-affine Field-Service-Techniker sowie Operatoren, die sich auch mit den neuen digitalen Feldsensoren oder Leitständen auskennen – und darüber hinaus besonders auch IT-Security-affine Mitarbeiter:innen und Safety-Expert:inn:en, die verstanden haben, dass mit fortschreitender Digitalisierung immer mehr IT in die OT Einzug hält und somit schlussendlich auch die IT-Security in die Safety wirken wird. IT-Security wird also zukünftig nicht mehr nur eine Frage des Schutzes von Assets – also Unternehmenswerten – und Finanzen sein, sondern auch den Schutz von Menschen vor den Maschinen mitverantworten.
Gegenmaßnahmen
Wie sagt man so schön: Einen Elefanten isst man nicht am Stück, sondern scheibchenweise. Es ist daher sinnvoll, die Antwort auf das Problem in kurzfristige, längerfristige und gesellschaftliche Maßnahmen aufzuteilen.
Kurzfristige Maßnahmen
Zunächst kann das Halten von vorhandenem Personal am meisten helfen: Gehen Sie also auf die Bedürfnisse der Mitarbeiter:innen ein und haben sie ein Ohr für die Ärgernisse, die Ihre Mitarbeiter:innen umtreiben. Bieten Sie attraktive Optionen an – es muss nicht immer die Gehaltssteigerung sein, vielen reicht es schon, wenn Arbeitgeber etwa Kaffee und Wasser kostenfrei bereitstellen, die Diversität fördern oder aber auch etwas für die Nachhaltigkeit und den Klimaschutz tun. Manchmal hilft bereits der Einsatz von Technik, also die Ausstattung der Mitarbeiter:innen mit moderner IT und der Option, diese in Teilen auch privat nutzen zu dürfen. Befragen Sie – gegebenenfalls über die Personalabteilung – einfach mal die Mitarbeiter:innen, was ihnen fehlt, um wunschlos glücklich zu sein. Es ist oft sehr spannend und sehr erleuchtend, was da an Bedarf zutage tritt, das nicht erwartet worden wäre.
Längerfristige Maßnahmen
Bei den längerfristigen Maßnahmen ist es oft so, dass sich viele Mitarbeiter:innen auch über Aus- und Fortbildungen freuen würden, die sonst nicht möglich wären. Und gesteigertes Wissen ist bei Mitarbeiter:inne:n ja ebenfalls kein Nachteil für die KRITIS-Betreiber. Im Rahmen der Ausbildung können Umschulungen oder zusätzliche mehrtägige IT-Schulungen hilfreich sein. Es muss also ein Ausbildungs-Konzept her, das den Bedarf der nächsten Jahre erkennt und den Mitarbeiter:inne:n ange-deihen lässt. Idealerweise ist das für die Mitarbeiter:innen möglichst pragmatisch und unkompliziert zu beantragen, sodass Hemmschwellen niedrig bleiben und die Sache mit Spaß und Motivation statt Frust und Elend angegangen werden kann.
Eine geeignete Personalplanung – besonders beim IT-Security-Know-how – ist unerlässlich: Wo ein Mangel schon vorhanden ist, muss dieser Bedarf frühzeitig auf die Agenda der Personalplanung gesetzt werden, damit überhaupt die Chance besteht, gegensteuern zu können. Wer zu spät feststellt, dass „alles“ fehlt, dem wird dann sicher noch eine ganze Weile zumindest vieles fehlen.
Auch sehr wirksam für das Wohlbefinden der Mitarbeiter:innen ist eine gute und gesunde Organisationskultur, eine freundliche und wertschätzende Kommunikationskultur und eine offene Fehlerkultur im Hause. Heutzutage hat der patriarchale und autoritäre Chef ausgedient (siehe auch S. 67) und Mitarbeiter:innen „fliehen“ scharenweise in eine offenere und wertschätzende Umgebung. Eine gute Kultur festigt und bindet hingegen nicht nur die Mitarbeiter:inne:n, sondern bringt neues Potenzial ins Haus, da sich solche Strukturwandel schnell per Mund-zu-Mund-Propaganda verbreiten.
Werden kulturelle Werte und Errungenschaften in die Kommunikationspolitik integriert und beispielsweise auf den eigenen Webseiten und Social-Media-Kanälen ehrlich präsentiert, wirkt sich das entsprechend positiv aus – nicht nur beim Halten und Gewinnen von Mitarbeiter:inne:n, sondern auch beim Melden von (potenziellen) Sicherheitsvorfällen und bei Hinweisen zu ineffizienten Prozessschritten. Intrinsisch motivierte Mitarbeiter:innen sind nun einmal die ideale Voraussetzung, um gegen Mängel vorzugehen.
Gesellschaftliche Maßnahmen
Der schwierigste Teil sind gesellschaftliche Maßnahmen: Denn sie sind sehr weit weg von konkreten Entscheidungsmöglichkeiten im Hause und sehr abstrakt. Aber gerade sie sind der wirklich langfristige Schlüssel zum Erfolg, weil (nur) diese Maßnahmen übergeordnet und großflächig wirken können. Und wenn der Fachkräftemangel für alle Wettbewerber:innen ebenfalls mitgelöst wird, ist die Konkurrenz beim Abwerben von Mitarbeiter:inne:n auch deutlich entspannter. Gibt es überall digitalkompetent ausgebildete Menschen, entspannt sich die Sachlage für alle gleichermaßen.
Wege zum Ziel
Die Bildungspolitik hat jahrzehntelang geprägt, dass der Industriestandort Deutschland anerkannt war. „Made in Germany“ war eine international anerkannte Marke und im Ausland wurde weltweit gerne betont, dass man „German Grundlishkeit“ einkauft und diese wertschätzt. Trotz der enormen Verschleppung im Breitbandausbau, der vorhandenen funkfreien Areale in großen Teilen Deutschlands selbst noch im Jahre 2022 (das sind eben nicht mehr nur noch Funklöcher) und der aktiven – ja fast schon vorsätzlichen – Verhinderung von Digitalisierung hat Deutschland den Wandel von einer Industrienation in eine Informationsgesellschaft dennoch vollziehen müssen. Denn die Digitalisierung macht nicht an geopolitischen Grenzen halt und Datenpakete wandern weltweit durchs Netz, da es eben nur einen einzigen gemeinsamen Cyberraum gibt.
Wie sieht die Bildungspolitik heute aus? Leider bilden „wir“ immer noch Fabrikarbeiter:innen aus, statt digital souveräne und kompetente Bürger:innen aus den Schulen zu entlassen. Digitalisierung ist in deutschen Schulen nicht nur in der Ausstattung und Anwendung Fehlanzeige – es fehlt auch ein landesweites Pflichtfach „Informatik“, es fehlt an IT-Security-Ausbildung, es fehlt an Programmierung (zumindest in den Grundlagen) in der schulischen Ausbildung.
Zudem sollten Medienkompetenz sowie Algorithmen und Datenstrukturen überall gelehrt werden. Denn die Zukunft wird sowohl autonomen Fahrzeugen und Maschinen als auch (dann endlich mal echter?) künstlicher Intelligenz (KI) zugesprochen – Social-Media-Plattformen diktieren heute schon durch Algorithmen, wer welche Informationen warum in seiner Timeline erhält und was sie/er nicht angezeigt bekommt.
All diese Technologie und Vorgehensweisen werden künftig auch Prozessabläufe in KRITIS-Umgebungen betreffen. Und wenn deren Mitarbeiter:innen nicht bereits grundsätzlich (schulisch) passend ausgebildet sind, kann man das nur schwerlich alles im Beruf kompensieren und als Arbeitgeber:in selbst übernehmen.
Lobbyarbeit in der Bildungspolitik ist also langfristig essenziell – und hier sollten wirklich alle an einem Strang ziehen, denn es betrifft schlicht alle! Idealerweise könnte das über einschlägige Verbände geschehen, wo ja bereits die geeigneten Interessensstrukturen vorhanden sind. Nehmen aber auch Sie selbst das Thema dringend mit ihren Mitstreiter:inne:n auf die Agenda und entlassen Sie die Politik erst, wenn es konkrete Lösungen gibt, wie die Bildungspolitik das Thema schon in der Schule – oder noch besser bereits im Kindergarten – adressiert.
Es wird natürlich 10–15 Jahre dauern, bis die ersten Mitarbeiter:innen dann durch diese Ausbildung gegangen sind. Aber kritische Infrastrukturen laufen ja auch nicht nur 5 Jahre, sondern planen und arbeiten teilweise in Zeiträumen von 40–70 Jahren und in einigen Fällen sogar darüber hinaus. Letztlich ist es ohnehin nicht nur eine Frage der Zeit, wie lange die Ausbildung dauert, sondern zunächst eine Frage der Zeit, wann KRITIS-Betreiber und Politik diesen Schritt endlich gemeinsam angehen, anstatt fortwährend gebetsmühlenartig das Klagelied fehlender Fachkräfte herunterzuleiern.
Manuel Atug ist Head of Business Development bei der Hi-Solutions AG.