Infrastruktursicherheit
Das Problem der sicheren Arbeitskräfte: tiefgreifende Probleme, die durch Rekrutierung nicht gelöst werden können.
Nach der Einführung von KI-Automatisierung in Sicherheitsteams führt die Beibehaltung der alten Organisationsstruktur zu einer Effizienzsteigerung, aber einem Rückgang der Resilienz, was zu „Expertise-Schulden“ führt. Dieser Artikel analysiert drei verschiedene Arten von Sicherheitsarbeit und gibt Unternehmen entsprechende Handlungsempfehlungen.
Einleitung
Die meisten Sicherheitsverantwortlichen haben das Naheliegende getan: KI in die Sicherheitsoperationen eingeführt, Warnmeldungen automatisiert, maschinelles Lernen in die Schwachstellenverwaltung integriert und KI in SIEM-Systeme eingebunden. Die unmittelbaren Vorteile sind deutlich – verkürzte Reaktionszeiten, beschleunigte Routineaufgaben, und Analysten können sich stärker auf Aufgaben konzentrieren, die tiefgehendes Denken erfordern. Dennoch bleiben die Teamstrukturen oft unverändert. Diese Diskrepanz schafft ein Problem für die Sicherheitsbelegschaft, das durch Einstellungen nicht gelöst werden kann: Organisationen überlagern häufig Automatisierung auf bestehenden Teamstrukturen, anstatt die Architektur rund um eine neue Arbeitsteilung zwischen Mensch und Maschine neu zu gestalten. Das Ergebnis kann eine verbesserte Effizienz, aber nicht unbedingt mehr Resilienz sein, sowie eine erhöhte Kapazität bei gleichzeitig unklaren Entwicklungspfaden für Experten.
Ereignisüberblick
Im Jahr 2025, als KI-Sicherheitstools bereits ausgereift sind, wies Maruf Ahmed, CEO von Dexian, in einem Artikel auf Cybersecurity Insiders darauf hin, dass die Betriebsmodelle vieler Sicherheitsteams noch aus der Zeit vor der Automatisierung stammen. Sicherheitsverantwortliche sehen verbesserte Dashboard-Daten und eine höhere Anzahl bearbeiteter Aufgaben, spüren aber keine wesentliche Stärkung der Gesamtfähigkeiten des Teams. Erfahrene Analysten verbringen viel Zeit mit der Überprüfung maschinell generierter Ergebnisse, anstatt tiefgehende Untersuchungen durchzuführen, für die ihre Erfahrung eigentlich vorgesehen ist; Junior-Analysten durchlaufen schnell automatisierte Workflows, erhalten aber nicht genügend praktischen Kontext, um Mustererkennung und unabhängige Urteilsfähigkeit zu entwickeln.
Technische und Risikoanalyse
Der Artikel unterscheidet drei Arten von Aufgaben, die allgemein als "Analystenarbeit" bezeichnet werden:
1. Aufgaben, die von Automatisierung dominiert werden können: Routineanreicherung, wiederholte Korrelation, anfängliche Priorisierung. Die Technologie kann diese schneller und konsistenter erledigen als Menschen. 2. Aufgaben, die eine menschliche Überprüfung maschineller Ergebnisse erfordern: Überprüfung automatischer Klassifizierungsentscheidungen, Prüfung, ob Schweregradbewertungen mit dem breiteren geschäftlichen Kontext übereinstimmen, Beurteilung, ob Empfehlungen auf der Grundlage verfügbarer Fakten vernünftig sind. 3. Aufgaben, die tiefgehende menschliche Führung erfordern: Komplexe Untersuchungen, Bedrohungsmodellierung, adversary Reasoning, Entscheidungen zur Incident-Response, geschäftskritische Urteile. Diese Aufgaben basieren auf Erfahrung, Kontext, kritischem Denken und der Fähigkeit zu erkennen, dass vertraute Signale eine andere Bedeutung haben könnten.
Diese drei Arbeitsarten sind grundlegend unterschiedlich und erfordern unterschiedliche Fähigkeiten, Erfahrungsstufen und Karrierewege. Dennoch lassen viele Teams dieselben Personen zwischen allen drei hin- und herwechseln, je nachdem, was als Nächstes in der Warteschlange steht. Dieser Ansatz zwingt erfahrene Analysten dazu, viel Zeit mit der Überprüfung von Routineausgaben zu verbringen, die eigentlich von niedrigeren Ebenen bearbeitet werden könnten, während Junior-Analysten ohne ausreichenden Kontext schnell durch automatisierte Prozesse laufen und so die Unangemessenheit von Systemempfehlungen nicht erkennen können.
Analyse der Unternehmensauswirkungen
Aus Unternehmensperspektive bringt diese Fehlanpassung mehrere Risiken mit sich:
- Ineffiziente Nutzung von Talenten: Hochbezahlte, erfahrene Mitarbeiter führen wertschöpfungsarme Arbeiten aus, was Ressourcenverschwendung darstellt.- Ineffiziente Nutzung von Talenten: Hochbezahlte Führungskräfte verrichten geringwertige Arbeiten, was Ressourcen verschwendet.
- Expertise Debt: Organisationen wirken im Tagesgeschäft zwar entlastet, vernachlässigen jedoch zunehmend die Entwicklung zukünftig benötigter Urteilsfähigkeit. Langfristig entstehen Erfahrungslücken in Schlüsselpositionen.
- Nachlassende Betriebsresistenz: Wenn automatisierte Systeme Fehlalarme melden oder neuartige Angriffe auftreten, fällt es Teams ohne tiefgehende Erfahrung schwer, angemessen zu reagieren.
- Compliance- und Markenrisiken: Verzögerungen durch Fehlentscheidungen bei der Reaktion auf Sicherheitsvorfälle können Compliance-Kosten erhöhen und den Ruf schädigen.
Beobachtung von Branchentrends
Ahmeds Ansichten spiegeln breitere Branchentrends wider. Der Mangel an Sicherheitsfachkräften besteht schon lange, doch viele Organisationen reagieren mit „mehr Einstellungen + mehr Automatisierung“, anstatt die Arbeitsstrukturen neu zu überdenken. Mit der zunehmenden Durchdringung von KI in Sicherheitsoperationen (Gartner prognostiziert, dass bis 2027 fast 60 % der Alarme automatisch bearbeitet werden), reicht die bloße Aufstockung der Belegschaft nicht mehr aus, um das Kompetenzproblem zu lösen. Die Branche bewegt sich von der Phase der „Automatisierung als Fassade“ hin zu einer „Neugestaltung der Mensch-Maschine-Zusammenarbeit“ – was CISO dazu zwingt, die Rollen der Analysten, ihre Fähigkeitsanforderungen und Karrierewege neu zu definieren.
Maßnahmen zur Abwehr und Empfehlungen
Unternehmen können folgende Schritte unternehmen, um dieses strukturelle Arbeitskräfteproblem zu lösen:
1. Teamstruktur neu gestalten: Aufgaben nach den drei Arbeitstypen trennen, klare Hierarchien und Eskalationsstufen festlegen. Zum Beispiel Routineprüfungen an Junior-Analysten oder Automatisierung delegieren, während Senior-Analysten sich auf tiefgehende Untersuchungen konzentrieren. 2. Mechanismen zur Kompetenzentwicklung aufbauen: Schulungsprogramme entwerfen, die es Junior-Analysten ermöglichen, trotz Automatisierung mit echten Bedrohungsszenarien in Kontakt zu kommen und schrittweise Urteilsfähigkeit aufzubauen. Jobrotation, Simulationsübungen und Red-Team-Erfahrungen können helfen. 3. Leistungskennzahlen anpassen: Nicht nur die Bearbeitungsmenge messen (z. B. Anzahl geschlossener Alarme), sondern auch langfristige Indikatoren wie Teamfähigkeitssteigerung, Entscheidungsgenauigkeit und Innovationsbeiträge. 4. In erklärbare KI investieren: Sicherstellen, dass automatisierte Systeme ihre Schlussfolgerungen für Menschen nachvollziehbar darlegen können, um Überprüfung und Lernen zu ermöglichen. 5. Mensch-Maschine-Aufteilung regelmäßig prüfen: Vierteljährlich bewerten, welche Aufgaben weiter automatisiert und welche manuell bleiben sollten, und Anpassungen an die sich ändernde Bedrohungslandschaft vornehmen.
SecurityPost EinblickDie Diskussion über die Arbeitskräfte in der Sicherheitsbranche steckt seit langem in oberflächlichen Erzählungen über „Fachkräftemangel“ und „mangelnde Zertifizierung“ fest. Der Artikel von Dexian CEO Maruf Ahmed erinnert uns daran, dass das tiefere Problem im Organisationsdesign liegt – wenn KI und Automatisierung immer mehr operative Aufgaben übernehmen, haben wir die Rolle des Menschen nicht synchron neu gestaltet. Dies ist nicht nur eine Frage der Effizienz, sondern auch der Kompetenzweitergabe. Wenn Unternehmen weiterhin neue Tools mit alten Strukturen betreiben, sammeln sie unbemerkt eine Expertise-Schuld an. In Zukunft wird die wahre Wettbewerbsfähigkeit nicht davon abhängen, wie viele Sicherheitstools man besitzt, sondern davon, wie Unternehmen die Arbeit im Zusammenspiel von Mensch und Maschine neu definieren, Urteilsvermögen fördern und menschliche Intelligenz mit maschineller Geschwindigkeit kombinieren. CISOs sollten das Design der Arbeitskräftearchitektur auf die gleiche strategische Ebene heben wie die Sicherheitsarchitektur.
*Quelle: Maruf Ahmed, „The Security Workforce Problem That Hiring Won’t Fix,“ Cybersecurity Insiders. Original-Link*
Belegroute · securitypost
securitypost stellt diesen Hinweis in Security Post veröffentlicht defensive Cybersecurity-Intelligence für Sicherheitsverantwortliche in Unterne.... Bedrohungsbriefing / Unternehmenssicherheit / KI & Cybersecurity erklärt den lokalen redaktionellen Blick: die Quellenlinks sollten vor jeder Wiederverwendung der Zusammenfassung geöffnet werden. Daten, Namen und Statuswechsel bleiben zu prüfen.