Die Lage wird zunehmend ungemütlicher: Wie eine kürzlich durchgeführte Umfrage ergab, wurde fast die Hälfte der befragten Unternehmen in diesem Jahr mindestens einmal Opfer einer Cyberattacke. Und auch der Bitkom bestätigt, dass die Anzahl und Intensität der Attacken weiter zunehmen. Die Folge: Wollen Unternehmen vermeiden, schwerwiegenden Schaden zu erleiden, welcher mittel- bis langfristig in Umsatzeinbußen resultiert, müssen sie zwangsläufig ihre Cyber-Security-Teams optimieren und verstärken.
Doch dies ist einfacher gesagt als getan - gerade in Zeiten des anhaltenden Fachkräftemangels. Davon kann auch Tomas Martinkenas ein Liedchen singen. Der erst 29-jährige Litauer ist seit rund acht Jahren im Bereich Informationssicherheit und Datenschutz tätig - und das in zunehmend verantwortungsvoller Position, aktuell als Director of Security and Privacy bei Vinted, einer C2C-Plattform für Secondhand-Mode mit über 75 Millionen Nutzern. Unterhält man sich mit ihm, fällt sofort auf, dass ihn so schnell nichts aus der Ruhe bringt. Seine Aussagen sind auf den Punkt formuliert, er ist fokussiert und hat neben den notwendigen Details immer das große Ganze im Blick. Alles Eigenschaften, ohne die es unmöglich wäre, bei den Tag für Tag neu aufkommenden Gefahrenlagen einen ruhigen Kopf zu behalten und sein Team zu leiten und zu koordinieren.
Bevor Tomas Martinkenas einen Master in Computer Science absolvierte, studierte er Wirtschaft an der Universität in Vilnius. Seine berufliche Karriere startete er als Information Security Analyst bei DNB, einem Finanzdienstleister in Vilnius. Nachdem er bis zur Position des Information Security Officer aufgestiegen war, wechselte er zur Luminor Group, wo er als Chief Information Security Officer tätig war. Seit 2020 ist er bei Vinted, im ersten Jahr zunächst als Director of Information Security.
Innovation auf Knopfdruck, um die Herausforderungen zu meistern
Es ist vor allem ein zentrales Wesensmerkmal, das Tomas befähigte, nach so kurzer Zeit diese eminent wichtige Position bei einem der größten Tech-Unternehmen Europas einnehmen zu können: seine Kapazität von Grund auf innovativ zu sein und neue Wege zu beschreiten. Denn in so vielen Punkten - sei es der Umgang mit spezifischen Attacken oder auch die strukturelle und strategische Gestaltung der verschiedenen Teams innerhalb seines Fachbereiches - gibt es keine einheitlichen und gängigen Standards, die man im Copy-and-Paste-Verfahren einfach übertragen könnte.
Das Tempo, in dem Innovation in schnell skalierenden Tech-Unternehmen vonstattengehen muss, ist natürlich um ein Vielfaches höher als in traditionellen Einrichtungen, wie beispielsweise Banken oder Regierungen. Dort sind die damit verbundenen Prozesse äußerst langsam und iterativ - eine Vorgehensweise, die für Tomas nicht in Frage kommt. Um die notwendigen Entscheidungen treffen zu können, müssen Informationen umgehend vorliegen. Und um dies bewerkstelligen zu können, müssen bestehende Strukturen kontinuierlich überprüft, dabei zeitgleich neue Strukturen entwickelt, getestet und weiter optimiert werden, denn in den seltensten Fällen bringt der erste Ansatz auch den gewünschten Erfolg.
Fester Bestandteil des fortlaufenden Innovationsprozesses muss zudem der Blick nach vorne sein. So versucht Tomas anhand der Entwicklungen und Vorkommnisse der Vergangenheit sowie anhand des geplanten Wachstums des Unternehmens zu prognostizieren, welche Erfordernisse seine Unit höchstwahrscheinlich kurz- und mittelfristig erfüllen können muss.
Ein konkretes Beispiel dazu: In den letzten zwei Jahren schuf Tomas neue Strukturen und neue Funktionen, die es zuvor schlichtweg nicht gab: Die Security Abteilung unterteilte er zunächst in Security Governance und in Security Engineering. Das Governance-Team konzentriert sich auf die Verfahren, Richtlinien und Anforderungen und stellt sicher, dass diese Anforderungen innerhalb der Organisation umgesetzt werden. Das Engineering-Team hingegen konzentriert sich auf die technischen Lösungen, die es dafür benötigt. Da zudem deutlich wurde, dass der Bereich Datenschutz ein zentraler Baustein ist, mit dem sich das Business-Modell von den Wettbewerbern absetzen kann, führte er zudem eine Abteilung für Privacy Engineering ein.
All diese Teams und Funktionen müssen natürlich mit Leben befüllt werden, sprich mit Mitarbeitern, die sich um diese ausdifferenzierten und sehr spezifischen Aufgaben kümmern. Tomas' Team wuchs in nur zwei Jahren von ihm alleine auf 35 Mitarbeiter an. Und hier schließt sich nun wieder der Kreis zum am Anfang erwähnten Fachkräftemangel.
Denn insbesondere im Feld der Cyber Security hängt die universitäre Ausbildung derzeit in einigen Teilbereichen den auf dem Arbeitsmarkt benötigten Erfordernissen weiterhin einen Schritt hinterher oder anders ausgedrückt: In der Praxis verändern sich die Gegebenheiten sehr viel schneller als die Lehre darauf reagieren kann. Darunter fallen zum Beispiel die Abteilungen Risiko-Management und Business Continuity Management.
In diesen sehen sich die Unternehmen bei ihrer täglichen Arbeit sowohl mit bekannten Unbekannten als auch mit unbekannten Unbekannten konfrontiert. Erstere sind die Fälle, bei denen bestimmte Voraussagen getroffen werden können, man aber nicht sicher sein kann, ob diese am Ende auch so eintreffen. Zweitere sind jene Fälle, die nicht einmal grob vorhergesagt werden können, für die aber dennoch Lösungen gefunden werden müssen. Um sich diesen herausfordernden Aufgaben stellen zu können, benötigt man eine Bandbreite an speziellen Fähigkeiten.
Fachkräftemangel? Wie man aus der Not eine Tugend macht
Wie ist es Tomas also gelungen, unter diesen schwierigen Bedingungen und einem ausgedünnten Fachkräftemarkt die passenden kompetenten Kollegen zu finden, um das enorme Wachstum seiner Abteilung bewerkstelligen zu können? Nun werden bei der Zusammenstellung von Cyber Security Teams die wenigsten als erstes an Psychologen, Lehrer, Designer, Marketing- und Wirtschaftsexperten denken. Aber genau aus diesen Bereichen rekrutierte Tomas zahlreiche Mitarbeiter, da er nach kurzer Zeit den Radius seiner Suche erweiterte und ganz bewusst fachfremde Berufsfelder mit einbezog.
Beispielhaft sind hier die Awareness-Experten genannt, die dafür verantwortlich sind, Sicherheits- und Datenschutz-Themen nachhaltig in der Kultur, in der DNA des Unternehmens - also bei jedem einzelnen Mitarbeiter - zu etablieren. Dieses Team besteht größtenteils aus ehemaligen Psycholigen oder Lehrer, da diese in der Lage sind, derlei Themen, die von Natur aus eher trocken sind, auf verständliche und motivierende Weise zu vermitteln.
Natürlich verfügen sie gerade zu Beginn ihrer Tätigkeit über keine umfassende Expertise, was die Themen selbst betrifft; deswegen arbeiten sie eng mit der Abteilung der Security Engineers zusammen, die wiederum ein umfassendes Verständnis für die Materie haben. Gerade durch diese Kombination von unterschiedlichen Backgrounds in der Teamzusammenstellung gelingt es, fachfremde Mitarbeiter schnell zu integrieren und sie sukzessive auch zu Experten im Bereich Cyber Security und Privacy weiterzubilden.
Ein weiteres Beispiel ist der Einsatz von Marketing-Fachleuten und Designern. Denn eine weitere zentrale Herausforderung für mein Team ist es, sehr nah am tatsächlichen Business dran zu sein und entsprechend auch in der gängigen Business-Sprache zu kommunizieren; damit meine ich Punkte wie Metriken, KPIs, Business Cases, Return on Investment. Wenn nun das Security Team das Business Team wirklich versteht und umgekehrt, dann sind wir an einem Punkt angelangt, an dem nochmals ein großes zusätzliches Potenzial freigesetzt wird. Sind die Ziele beider Bereiche nämlich miteinander verknüpft, kann der Wert dieser Zusammenarbeit in ganz klaren Metriken abgelesen werden. Und genau da kommen die Marketing-Experten und Designer ins Spiel - sie können diese Kluft am besten überbrücken und beide "Welten" miteinander verbinden.
Auf fachfremde Experten zurückzugreifen, beziehungsweise diese von Anfang als elementaren Bestandteil des Mixes zu betrachten, lässt sich auch auf Tomas' eigenen Werdegang zurückführen. So war er zunächst Ökonom, erarbeitete sich dann durch den Master zwar eine Grundlage in der Informatik, doch betrachtet er sich nach wie vor nicht als Tech-Experten. Auch aus diesem Grund ist er absolut davon überzeugt, dass Cyber Security der perfekte Bereich ist, um in die technologische Berufswelt einzusteigen, ohne über einen technologischen Hintergrund zu verfügen.
Der Erfolg, den er bislang mit diesem Ansatz erzielen konnte, gibt ihm recht, denn seine Abteilung trug und trägt maßgeblich zur Zufriedenheit auf Nutzerseite und zum Wachstum des Unternehmens bei. Als eines der wichtigsten Merkmale, die den Innovationsmotor Tag für Tag zum Laufen bringen, hat Tomas die Vielfalt seines Teams identifiziert. Was von außen betrachtet vorschnell als Notlösung für den Aufbau der Abteilung abgestempelt werden könnte, ist also vielmehr Fundament der hervorragenden Ergebnisse.
Aber nicht nur innerhalb seines eigenen Unternehmens, sondern auch darüber hinaus setzt sich Tomas in verschiedenen Projekten und Mentoring-Programmen dafür ein, dass Fachfremde - und vor allem auch Frauen - auf die Möglichkeiten und Chancen aufmerksam gemacht werden, die dieser Bereich zu bieten hat. Verfügt man über analytisches Denken, eine pragmatische Problemlösungsmentalität, gute Kommunikationsskills, agiert kooperativ im Team, und ist man zudem in der Lage, in Drucksituationen einen kühlen Kopf zu bewahren und wichtige Entscheidungen zu treffen, sind aus seiner Sicht die Grundvoraussetzungen für eine erfolgreiche Karriere gegeben.
Mehr zum Thema Fachkräftemangel:
Quereinsteiger als Ausweg
Höhere Produktivität der Service-Mitarbeiter
Digitalkompetenz ausweiten
Mit Modern Workplace Mitarbeiter binden
Digitalierung macht viele Berufe überflüssig