10 min
geschrieben von Joshua Bucheli, Talent Community & Business Development Manager bei cyberunity AG
Mit einem Mangel von 4,8 Millionen Sicherheitsspezialisten bis zum Jahr 2024 stellt der ‘Cybersecurity Workforce Gap’ eine anhaltende und wachsende Herausforderung dar, die selbst die robustesten Sicherheitsstrategien zu untergraben droht. Diese Lücke, die durch seit langem unbesetzte kritische Sicherheitspositionen gekennzeichnet ist, stellt ein erhebliches Risiko für Unternehmen und Institutionen dar. Während diese sicherheitsrelevanten Risiken in Unternehmens-kreisen allmählich Anerkennung finden, werden die zugrundeliegenden finanziellen Kosten langfristiger Vakanzen noch allzu oft übersehen oder unterschätzt.
Diese Situation wirft kritische Fragen über das Bewusstsein und die Prioritäten der Unternehmen auf. Sind sie sich der umfassenden Kosten bewusst, die mit ihren Vakanzen im Allgemeinen und im Cybersicherheitsbereich im Besonderen verbunden sind? Sind ihnen die Kosten der Vakanzen (Cost of Vacancy – CoV) überhaupt als relevante Kennzahl bekannt? Die entscheidende Frage ist: Will man sich der Realität stellen? Oder führen die scheinbaren Einsparungen durch eine offene Stelle zu einem falschen Gefühl von Sicherheit, das die Kosten unterschätzt?
Cost of Vacancy (CoV) – Die unterschätzte Metrik
Die Personalkosten (Employer Branding, Stellenanzeigen, Vorstellungsgespräche, Active Sourcing und eventuelle Vermittlungsgebühren Dritter) sind nicht die einzigen Kosten, die bei der Suche nach einem neuen Mitarbeitenden berücksichtigt werden sollten. Diese stellen nur einen Bruchteil der tatsächlichen Kosten dar, die mit der Suche eines neues Teammitglieds verbunden sind.
Die Cost of Vacancy (CoV) ist eine entscheidende, aber oft unterschätzte Kennzahl, die die finanziellen Auswirkungen einer Vakanz quantifiziert. Sie umfasst sowohl direkte Kosten, wie Produktivitätsverluste und Einstellungskosten, als auch indirekte Kosten, wie eine verminderte Arbeitsmoral, Burnout der Mitarbeitenden, verpasste Geschäftschancen und kritische Sicherheitslücken.
Die CoV kann anhand der folgenden Formel berechnet werden: (Jahresgehalt ÷ Arbeitstage pro Jahr) × ein Multiplikator, der von den qualitativen Auswirkungen einer fehlenden Arbeitskraft auf die Geschäftsergebnisse abhängt × die Anzahl der (Arbeits-)Tage, die zur Besetzung der Stelle erforderlich sind (auch bekannt als TimeToFill). Wer den täglichen finanziellen Verlust einer offenen Stelle anhand belastbarer Zahlen kennt, versteht die Dringlichkeit, schneller und gezielter zu besetzen.
Die trügerische Ökonomie leerer Stühle
Aufgrund des cybersecurity workforce gaps, ist der Prozess der Stellenbesetzung immer langwieriger und komplexer geworden. Die Besetzung von Einstiegspositionen im Sicherheitsbereich dauert in der Regel drei bis sechs Monate, Fachpositionen bleiben oft mehr als ein halbes Jahr unbesetzt, und die Besetzung von Führungspositionen kann bis zu einem Jahr dauern.
Wenn Unternehmen mit schwer zu besetzenden Stellen konfrontiert sind, können sie versucht sein, nach einem Silberstreif am Horizont zu suchen und langfristige Vakanzen als eine vorübergehende Entlastung des Unternehmensbudgets zu betrachten. Letztendlich gibt es für jeden Monat, in dem eine Stelle unbesetzt bleibt, ein Gehalt, das nicht ausgezahlt werden muss. Auch wenn dies intuitiv plausibel ist, kann eine unbesetzte Stelle in der Realität zu erheblichen Einnahmeverlusten und betrieblichen Ineffizienzen führen.
Firmen schaffen Stellen bewusst, und sie stellen definitiv nicht aus Spass an der Sache ein. Wenn eine neue Stelle geschaffen wird, so geschieht dies in der Erwartung, dass der Beitrag des Mitarbeitenden seine Vergütung sowie die damit verbundenen Overheads deutlich übersteigt. Andernfalls würde es keinen wirtschaftlichen Sinn machen, die Stelle überhaupt zu schaffen. Eine unbesetzte Stelle kostet mehr als nur das eingesparte Gehalt, weil dem Unternehmen der Wertbeitrag fehlt. Deshalb berücksichtigt die Cost-of-Vacancy-Berechnung das Jahresgehalt.
Das Konzept lässt sich am einfachsten im Verkaufsbereich veranschaulichen: Bei einem Gehalt von CHF 100’000 und einem Overhead von CHF 30’000 könnte man theoretisch CHF 130’000 an Lohnkosten pro Jahr einsparen, wenn eine Stelle unbesetzt bleibt. Wenn man jedoch davon ausgeht, dass der besagte Mitarbeitende ein Umsatzziel von CHF 250’000 pro Jahr erreichen soll, dann wäre es angebracht zu sagen, dass dem Arbeitgebenden CHF 120’000 (250’000-130’000) an erwarteten Einnahmen entgangen sind – 10’000 CHF für jeden Monat, in dem die Stelle unbesetzt bleibt!
Derselbe Grundsatz gilt (wenn auch weniger intuitiv) für Vakanzen, die indirekt zum Geschäftserfolg beitragen: Unternehmen sind letztlich auf ihr Ergebnis bedacht – was auch richtig ist – und sie können es sich nicht leisten, Mitarbeitende für mehr Geld einzustellen, als sie an erwartetem Wert gewinnen wollen. Im Vertrieb zeigt sich dieser Wert direkt in Form von Umsatz, in der Rechtsabteilung in der Einhaltung von Vorschriften und der Vermeidung von Sanktionen, in der IT- & Cyber-Security in der operativen Kontinuität und in der Personalabteilung in der Fähigkeit, Talente zu gewinnen, einzustellen und zu halten, die den erfolgreichen Fortbestand des Unternehmens sicherstellen.
Verborgene Kosten – Produktivität und Opportunität
Eine unbesetzte Stelle verursacht weit mehr als nur Personalkosten. Verdeckte Verluste in Produktivität und Geschäftschancen führen oft zu Belastungen, die Unternehmen weder vollständig erkennen noch rechtzeitig gegensteuern.
Zunächst einmal leidet die Produktivität, wenn Aufgaben nicht erledigt werden oder wenn die vorhandenen Teammitglieder sich bemühen, die Aufgaben der unbesetzten Stellen zu übernehmen (eine der Hauptursachen für Burnout). Darunter leidet die Gesamteffizienz, und es kann sogar zu weiteren Vakanzen kommen, die das Problem weiter verschärfen.
Relevant ist auch die Beachtung der Opportunitätskosten – Chancen für Innovation, Wachstum und neue Geschäfte, die ohne die Fachkompetenz und Einblicke, die neue Mitarbeitende einbringen würden, verpasst werden könnten. Entscheidende Markttrends können unbemerkt bleiben, warme Leads können erkalten, aufkommende Technologien können ungenutzt bleiben und Marktanteile können an agilere Wettbewerber verloren gehen. Darüber hinaus kann das Fehlen frischer Perspektiven und vielfältiger Fähigkeiten die Kreativität und Problemlösung in den Teams ersticken, was die Anpassungsfähigkeit und den Erfolg eines Unternehmens weiter beeinträchtigt.
Schwachstellen und Risiken
Alles, was bisher gesagt wurde, gilt für jede Vakanz. Im Cybersicherheitssektor enden die Kosten jedoch nicht dort. Neben dem unausgeschöpften Personalwert, den Personalkosten, den Opportunitäts- und Produktivitätskosten bringen unbesetzte Stellen im Sicherheitssektor auch zusätzliche Risikofaktoren mit sich. Jeder Tag, an dem kein angemessenes Sicherheitskontingent zur Verfügung steht, ist ein Tag, an dem die Abwehrkräfte eines Unternehmens kompromittiert sind.
Mit der Zunahme des Potenzials für Cybervorfälle steigt auch die Wahrscheinlichkeit, dass solche Vorfälle schwerwiegendere und weitreichendere Folgen haben. Angesichts der Tatsache, dass Datenschutzverletzungen Unternehmen im Durchschnitt 4,88 Millionen Dollar kosten und Ransomware-Forderungen im Durchschnitt 115.000 Dollar betragen, spricht das Risiko einer offenen Position in der Cybersicherheit für sich selbst.
Honesty is the Best Policy – Der Multiplikator
Während das Gehalt bei CoV-Berechnungen als Proxy für den erwarteten Wert eines Mitarbeiters verwendet wird, lassen sich die Kosten im Zusammenhang mit potenziellen Incidents, Opportunitäts- und Produktivitätskosten weniger leicht quantifizieren.
Hier kommt der in der CoV-Formel erwähnte Multiplikator ins Spiel: Wenn die erwarteten Auswirkungen eines fehlenden Mitarbeitenden gering sind, kann der Faktor auf 1 oder 2 gesetzt werden; wenn sie hoch sind, ist möglicherweise ein Faktor von 3, 4 oder mehr angemessener (die meisten CoV-Rechner empfehlen einen Faktor-Multiplikator von 3).
Streng genommen ist ein Multiplikator von 1 nur dann angebracht, wenn ein Unternehmen nur erwartet, dass sich seine Investition durch die Einstellung eines neuen Mitarbeiters amortisiert, und nichts weiter – ein Szenario, das wirtschaftlich wenig Sinn macht und nur selten vorkommen sollte.
Abbildung 1: CoV für einen Mid-Career Security Engineer unter Annahme eines Multiplikators von 1
Wie in Abbildung 1 zu sehen ist, ist der CoV für eine Position eines Mid-Career-Sicherheitsingenieurs bereits beträchtlich, wenn man nur den Faktor 1 nimmt. Berücksichtigt man die Rolle der Sicherheit für die Geschäftskontinuität, die finanziellen Auswirkungen potenzieller Vorfälle, die Opportunitäts- und Produktivitätskosten einer unbesetzten Stelle im Sicherheitsbereich, wird „beträchtlich“ schnell zur Untertreibung:
Abbildung 2: CoV für einen Mid-Career Security Engineer unter Annahme von Multiplikatoren von 2, 3 und 4
Eine ehrliche und umfassende Herangehensweise an den Multiplikator ermöglicht es den Firmen, die Dringlichkeit der Besetzung ihrer Stellen besser zu veranschaulichen und die für eine effektive Personalbeschaffung erforderlichen Ressourcen besser zu rechtfertigen. Letzten Endes muss jedes Unternehmen seine individuellen Prioritäten und Umstände abwägen, um zu bestimmen, wie stark eine Cybersicherheitsvakanz in seine Kalkulation einfliessen sollte. In Anbetracht der potenziellen Auswirkungen kann man jedoch mit Sicherheit sagen, dass ein Faktor von 1 das Ziel verfehlt.
Der Mindset Shift – von der Gelassenheit zur Bewusstheit
Dr. Annabella Bassler, CFO bei Ringier, fasst zusammen: «Offene Stellen im Cybersicherheitsbereich hinterlassen nicht nur Lücken in den Teams, sondern erzeugen Risse im gesamten Fundament eines Unternehmens. Die versteckten Kosten unbesetzter Stellen gehen weit über die Gehälter hinaus und beeinträchtigen die Sicherheit, die Produktivität und sogar das Unternehmenswachstum. Die wahren Kosten einer Vakanz zu erkennen, ist nicht nur ein Anliegen der Personalabteilung, sondern ein strategischer Imperativ.»
Letztlich erfordert jede Vakanz dringende Aufmerksamkeit und Massnahmen, und es ist an der Zeit, dass Unternehmen ihre Denkweise ändern und erkennen, dass ein leerer Stuhl mehr als nur ein nicht ausgezahltes Gehalt darstellt (unabhängig davon, wie intuitiv diese Sichtweise auch sein mag).
Positionen, die lange unbesetzt bleiben führen zu markanten Kosten, binden Ressourcen und erhöhen das Risiko – besonders im Bereich Cybersicherheit. Das CoV-Modell schafft Transparenz über die Folgen unbesetzter Stellen auf Betrieb, Sicherheit und Profitabilität. Angesichts der wachsenden Besetzungszeiten wird es riskant, Vakanzen auf die leichte Schulter zu nehmen. Unternehmen sind gut beraten, sich der wahren Kosten der Untätigkeit bewusst zu werden.
Bei diesem Mentalitätswandel geht es nicht darum, einfach nur Stühle zu besetzen – es ist ein Aufruf an die Unternehmensführung, die Personalgewinnung im Bereich der Cybersicherheit als kritische geschäftliche Notwendigkeit zu betrachten und die Cybersicherheit als aktiven Bestandteil für ein sicheres und nachhaltiges Unternehmenswachstum anzuerkennen. Im Idealfall kann Cyber-Security sogar einen Wettbewerbsvorteil darstellen – ein zunehmend relevantes Thema, das wir in zukünftigen Diskussionen vertiefen werden. Für diejenigen, die schon jetzt tiefer eintauchen möchten, empfehlen wir unseren Artikel über Cybersicherheit als USP sowie die NTNU-Veröffentlichung über geschäftsorientierte Cybersicherheit.