Arbeitsbericht Wirtschaftsinformatik Berufsbilder und Kompetenzen zum Management der Informationssicherheit Ergebnisse einer explorativen Stellenanzeigenanalyse Frank Bensberg Gandalf Buscher Hochschule Osnabrück Fakultät Wirtschafts- und Sozialwissenschaften Prof. Dr. Frank Bensberg Caprivistr. 30a 49076 Osnabrück Tel. 49 (0)541 969 3264 Email: F.Bensberg@hs-osnabrueck.de http://www.hs-osnabrueck.de/de/prof-dr-frank-bensberg/ Januar 2017
Inhalt 1 Problemstellung und Zielsetzung 1 2 Methodik der Untersuchung 1 3 Ergebnisse der Stellenanzeigenanalyse 2 3.1 Berufsbilder im Überblick 2 3.2 Kompetenzprofil für das Berufsbild Security Analyst 3 4 Nutzenpotenziale der gewonnenen Ergebnisse 5 5 Literatur 6
Berufsbilder und Kompetenzen zum Management der Informationssicherheit 1 1 Problemstellung und Zielsetzung Die anhaltende Digitalisierung von Wirtschaft und Gesellschaft führt dazu, dass der Informationssicherheit eine steigende Bedeutung als IT-Zukunftsthema zukommt. Unternehmensinvestitionen in die Informationssicherheit setzen allerdings adäquate Fachkräfte voraus, die über die notwendigen technischen und organisatorischen Kompetenzen verfügen. Diese Kompetenzen sind in Unternehmen durch die Personalwirtschaft (Human-Resource- Management, HR-Management) über Maßnahmen der Personalbeschaffung am Arbeitsmarkt oder die Personalentwicklung bereitzustellen. Für das HR-Management entsteht daher die Herausforderung, relevante Berufsbilder und Kompetenzen in der fachlichen Domäne der Informationssicherheit zu identifizieren, sodass eine Informationsgrundlage für die rationale Personalplanung und Personalbereitstellung entsteht. In praxi ist jedoch festzustellen, dass im HR-Bereich von Unternehmen diesbezüglich häufig Informationsdefizite bestehen. Dedizierte Berufsbilder und Kompetenzen im Umfeld der Informationssicherheit sind noch relativ neuartig und in den einschlägigen Berufs- und Tätigkeitsverzeichnissen nur cursorisch dokumentiert (siehe z. B. Bundesagentur für Arbeit 2011). Zum Abbau dieses Informationsdefizits liefert dieser Beitrag die Ergebnisse einer großzahligen, explorativen Stellenanzeigenanalyse (Sailer 2009, Harper 2012), mit der n=132.330 englischsprachige Stellenanzeigen aus dem Bereich der Informationssicherheit untersucht worden sind. Im Folgenden werden zunächst die Methodik der Studie erörtert und ausgewählte Ergebnisse präsentiert. Abschließend wird das Nutzenpotenzial der gewonnenen Ergebnisse diskutiert. 2 Methodik der Untersuchung Die empirische Basis für die Stellenanzeigenanalyse stammt aus einem Rohdatenpool mit 5,2 Mio. Stellenanzeigen für IT-Fachkräfte, die von Juni 2014 bis Juli 2016 aus mehr als 50 Jobportalen per Web Crawling gesammelt worden sind. Hierzu zählen sowohl öffentliche Jobportale (z. B. Jobserve, LinkedIn, Monster) als auch unternehmensspezifische Jobportale (z. B. IBM, Microsoft, Cisco). Aus diesem Pool wurden Vakanzen selektiert, die einen der Begriffe IT Security, Cyber Security oder Information Security in der Stellenbeschreibung aufweisen oder in deren Stellenbezeichnung (Jobtitle) der Begriff Security vorhanden ist. Hieraus resultierten 266.144 Vakanzen, die anschließend um Duplikate (Duplikatquote 47,4 %) und nicht-englischsprachige Vakanzen bereinigt wurden. Als Ergebnis lagen 132.330 Stellenanzeigen vor, die mithilfe eines lexikometrischen, korpusgetriebenen Forschungsansatzes untersucht wurden (vgl. Bensberg und Buscher 2016). Die wesentlichen Schritte dieses Ansatzes sind kurz zu erörtern:
Berufsbilder und Kompetenzen zum Management der Informationssicherheit 2 1. Durch Frequenz- und Kookkurrenzanalyse der Stellenbezeichnung auf Feldebene sind zunächst elf zentrale Berufsbilder abgeleitet worden, welche die Fachkräftenachfrage in der Domäne der Informationssicherheit prägen. 2. Durch inhaltliche Analyse der Nominalphrasen (z. B. Substantive, Substantivfolgen) aus den Stellenbeschreibungen sind anschließend acht Kompetenzfelder identifiziert worden, die die Qualifikationsanforderungen an potenzielle Bewerber dokumentieren. Dabei ist das Konzept der induktiven Kategorienbildung (Mayring 2002) zugrunde gelegt worden. 3. Für jedes der elf Berufsbilder wurde schließlich ein detailliertes Kompetenzprofil abgeleitet, das die führenden Kompetenzen nach den zuvor gewonnenen Kompetenzfeldern dokumentiert. Die Analysen wurden mithilfe des Text Mining-Systems IBM Watson Content Analytics (Zhu et al. 2014) und des Korpusanalyseprogramms AntConc realisiert. 3 Ergebnisse der Stellenanzeigenanalyse 3.1 Berufsbilder im Überblick Abb. 1 zeigt die identifizierten Berufsbilder und die Anzahl der Stellenanzeigen der empirischen Basis, die aufgrund ihrer Stellenbezeichnung dem jeweiligen Berufsbild entsprechen. Abb. 1: Berufsbilder zum Management der Informationssicherheit Dabei wird deutlich, dass wesentliche Anteile der Stellenanzeigen auf die Berufsbilder des Security Analyst/Architect/Engineer/Manager/Officer entfallen. In deutlich geringerem Umfang sind hingegen solche Berufsbilder vertreten, die sich mit der Sicherheit im Cyber-Raum
Berufsbilder und Kompetenzen zum Management der Informationssicherheit 3 beschäftigen (Cyber Security Analyst/Architect/Engineer). Schließlich sind auch spezielle Berufsbilder identifizierbar, wie die des IT Auditor und des Penetration Tester, die allerdings nur von einer geringen Anzahl von Stellenanzeigen repräsentiert werden. Im Folgenden wird das Berufsbild des Security Analyst detailliert. 3.2 Kompetenzprofil für das Berufsbild Security Analyst Abb. 2 zeigt die führenden Stellenbezeichnungen, unter denen das Berufsbild des Security Analyst ausgeschrieben wird (Top 10, mit abs. Häufigkeiten). Dabei wird deutlich, dass weitere fachliche Spezialisierungsmöglichkeiten bestehen (z. B. Network Security Analyst, SAP Security Analyst). Darüber hinaus werden in Abb. 2 auch die führenden Institutionen angeführt, die dieses Berufsbild in den Jobportalen suchen (Top 10, mit abs. Häufigkeiten). Abb. 2: Stellenbezeichnungen und suchende Institutionen (Berufsbild Security Analyst) In Abb. 3 werden nun die einzelnen Kompetenzfelder des Security Analyst mit den wichtigsten Kompetenzen (Top 10) dargestellt.
Berufsbilder und Kompetenzen zum Management der Informationssicherheit 4 Abb. 3: Kompetenzfelder des Berufsbilds Security Analyst Das erste Kompetenzfeld wird durch die Konzepte der IT-Sicherheit gebildet und identifiziert wichtige Arbeitsgegenstände, Aufgaben sowie Werkzeuge des Security Analyst. So kann dem Diagramm entnommen werden, dass in über 30 % der Stellenanzeigen Kompetenzen bezüglich Vulnerability, Monitoring, Firewall und Risk Identification gesucht werden. Das zweite Kompetenzfeld umfasst hingegen etablierte Frameworks und Standards, wobei für das Berufsfeld des Security Analyst insbesondere PCI (Payment Card Industry) von Bedeutung ist.
Berufsbilder und Kompetenzen zum Management der Informationssicherheit 5 In den Stellenanzeigen werden bisweilen detaillierte Qualifikationsanforderungen aus dem informationstechnischen Umfeld artikuliert, die einerseits in den Kompetenzfeldern Networking/Protokolle (z. B. TCP/IP) sowie Programmiersprachen (z. B. C) abgebildet werden. Andererseits werden auch Fertigkeiten zum Umgang mit konkreten Softwareprodukten formuliert. Bei der Gestaltung der Kompetenzfelder wurde dabei zwischen sicherheitsspezifischen und allgemeinen Softwareprodukten bzw. Herstellern differenziert (Kompetenzfelder IT- Security Hersteller/Produkte vs. IT-Hersteller/Produkte). Eine Besonderheit von Stellenanzeigen aus der Domäne der IT-Sicherheit ist, dass von potenziellen Bewerbern häufig konkrete Zertifikate verlangt werden (Kompetenzfeld Zertifizierungen). Wie Abb. 3 zeigt, dominiert im Berufsfeld des Security Analyst offenbar das CISSP- Zertifikat (Certified Information Systems Security Professional) des (ISC) 2, das in ca. 40 % der Vakanzen gefordert wird. Das letzte Kompetenzfeld IT-Managementkonzepte umfasst solche Fachbegriffe, die der Organisationsebene des Informationsmanagements zuzurechnen sind, wie etwa Governance oder SOC (Security Operations Center). 4 Nutzenpotenziale der gewonnenen Ergebnisse Der Nutzen der gewonnenen Ergebnisse ist darin zu sehen, dass das HR-Management ein neues Informationsangebot erhält, das arbeitsmarktrelevante Kompetenzen spezifischer Berufsbilder auf einem hohen Detaillierungsniveau dokumentiert und damit potenziell den Reifegrad des HR-Managements in Bezug auf die Domäne der Informationssicherheit steigert. Wie mit dem exemplarischen Kompetenzprofil des Security Analyst gezeigt wurde, besteht auch die Möglichkeit, Berufsbilder weiter zu spezialisieren (z. B. SAP Security Analyst) und somit auf konkrete betriebliche Anforderungen auszurichten. Die gewonnenen Profile können dann in operativen Arbeitsprozessen des Kompetenzmanagements eingesetzt werden, um die bestehenden Jobfamilien und das unternehmensspezifische Kompetenzmodell kritisch zu prüfen und ggf. zu modifzieren. In Praxisprojekten kann das Informationsangebot beispielsweise als Grundlage zur innerbetrieblichen Bedarfserhebung sicherheitsrelevanter Stellen und Kompetenzen im Rahmen der qualitativen Personalbedarfsplanung eingesetzt werden. Darüber hinaus entsteht auch das Potenzial, spezifische Anforderungen (z. B. Zertifizierungen) in die Prozesse der Personalbeschaffung (z. B. Recruiting) und der Personalentwicklung (z. B. Weiterbildungsmanagement) einfließen zu lassen. Vor dem Hintergrund, dass in der HR-Praxis häufig nur ungenaue Informationen über Qualifikationsbedarfe vorliegen und zeitliche Ressourcen fehlen, die für eine intensive Beschäftigung mit dem Thema der Qualifizierung notwendig sind (Stracke et al. 2016), können die erzielten Ergebnisse eine intensivere Berücksichtigung der Informationssicherheit in der Personalwirtschaft fördern.
Berufsbilder und Kompetenzen zum Management der Informationssicherheit 6 5 Literatur Bensberg F, Buscher G (2016) Job Mining als Analyseinstrument für das Human-Resource- Management. In: HMD (2016) 53: 815. doi:10.1365/s40702-016-0256-3 Bundesagentur für Arbeit (Hrsg) (2011) Systematik und Verzeichnisse der KldB 2010. http://statistik.arbeitsagentur.de/nn_10414/statischer-content/grundlagen/klassifikationder-berufe/kldb2010/systematik-verzeichnisse/systematik-verzeichnisse.html (01.08.2016) Harper R (2012) The Collection and Analysis of Job Advertisements: a Review of Research Methodology. Library and Information Research 36:29 54 Mayring P (2002) Einführung in die qualitative Sozialforschung. Beltz, Weinheim Sailer M (2009) Anforderungsprofile und akademischer Arbeitsmarkt: Die Stellenanzeigenanalyse als Methode der empirischen Bildungs- und Qualifikationsforschung. Waxmann, Münster Stracke S, Drews U, Drews J (2016) Wissen, wo Unternehmen und Beschäftigte stehen: Analyse der Ausgangssituation. In: Nerdinger F et al. (Hrsg) Innovation und Personalarbeit im demografischen Wandel Ein Handbuch für Unternehmen. Springer Gabler, Wiesbaden, S 109-133 Zhu W, Foyle B, Gagné D, Gupta V, Magdalen J, Mundi A, Nasukawa T, Paulis M, Singer J, Triska M (2014) IBM Watson Content Analytics: Discovering Actionable Insight from Your Content. IBM Corp., 3. Aufl.