In der Cybersicherheit geht es viel um Risiken, ihre Bewertung, Priorisierung und Minimierung. Wir messen den Reifegrad anhand von Frameworks, implementieren präzise Kontrollen und erwarten von allen Beteiligten, dass sie ihre Verantwortlichkeiten verstehen. Doch es gibt ein Risiko, das die meisten Organisationen immer noch als optional betrachten. Es steht nicht in ihren Registern, nicht in ihren Roadmaps und schon gar nicht in ihren Budgets. Dieses Risiko? Ausgrenzung. 

Die Unterrepräsentation von Frauen und anderen marginalisierten Gruppen in der Cybersicherheit wurde gut dokumentiert. Dennoch hat sich die Nadel nicht nennenswert bewegt. Tatsächlich deuten einige Indikatoren darauf hin, dass sie sich rückwärts bewegt. In Großbritannien ist der Anteil der Frauen in der Cybersicherheit von 22 % auf nur 17 % gesunken im vergangenen Jahr kam es zu einem erschütternden Rückgang in einem der wichtigsten und am schnellsten wachsenden Sektoren der Welt. 

Warum also hat Repräsentation das Problem nicht gelöst? Weil Repräsentation allein nicht die Lösung ist. Strukturelle, messbare und verankerte Inklusion fördert die Widerstandsfähigkeit von Unternehmen. Und in einer Branche, die von ständigem Wandel und Komplexität geprägt ist, ist Inklusion kein „nice to have“, sondern eine geschäftskritische Kontrolle. 

Der Mangel an Fachkräften im Bereich Cybersicherheit ist nicht nur ein Pipeline-Problem 

Weltweit ist die Im Bereich Cybersicherheit fehlen fast 4 Millionen Fachkräfte, heißt es im Bericht „Global Cybersecurity Outlook 2025“ des Weltwirtschaftsforums. In Großbritannien ist die Zahl der Cyber-Rollen in den letzten drei Jahren um 128 % gestiegenDie Nachfrage steigt rasant, doch die Talentakquise bleibt für Sicherheitsverantwortliche ein großes Hindernis. 

Traditionell wird dieser Mangel als „Pipeline-Problem“ dargestellt. Wenn doch nur mehr junge Frauen einen MINT-Abschluss anstreben würden. Wenn doch nur mehr Mädchen sich fürs Programmieren interessieren würden. Wenn wir doch nur mehr Vorbilder hätten. 

Diese Erzählungen ignorieren das eigentliche Problem: Frauen und Fachkräfte mit unterschiedlichem Hintergrund drängen in die Branche, bleiben aber nicht. Laut Microsoft, Frauen verlassen mit 45 % höherer Wahrscheinlichkeit technische Positionen als ihre männlichen Kollegen.. Die Branche verliert Talente bei der Bindung und Weiterentwicklung. 

Das ist kein Pipeline-Problem, sondern ein Problem am Arbeitsplatz. Und in der Cybersicherheit wird dieses Problem am Arbeitsplatz zu einem Risiko für die Widerstandsfähigkeit. 

Inklusion lenkt nicht vom Risiko ab, sondern stärkt das Risikomanagement 

Sicherheit ist naturgemäß multidisziplinär. Sie erfordert rechtliche, technische, verhaltensbezogene, strategische und operative Inputs. Das bedeutet, dass die besten Ergebnisse durch vielfältiges Denken und eine kollaborative Kultur erzielt werden. Homogene Teams, ob hinsichtlich Identität oder Disziplin, neigen eher zu blinden Flecken, Bestätigungsfehlern und Gruppendenken. 

Bedenken Sie: 

  • Einem McKinsey-Bericht zufolge erzielen Führungsteams mit Geschlechtervielfalt eine um 25 % höhere Wahrscheinlichkeit, eine überdurchschnittliche Rentabilität zu erzielen. 
  • Untersuchungen der Bayes Business School haben ergeben, dass eine zunehmende Vertretung von Frauen in den Vorständen von Finanzinstituten mit einer erheblichen Reduzierung der Bußgelder der Aufsichtsbehörden einhergeht, was in einigen Fällen einer jährlichen Einsparung von 6 Milliarden Pfund entspricht. 
  • In der Cybersicherheit sind heterogene Teams bei der Szenarioplanung und Bedrohungsmodellierung besonders erfolgreich. Sie können eher unkonventionelle Angriffsvektoren antizipieren und Annahmen hinterfragen, die die Sicherheitslage untergraben. 

Die Logik ist einfach: Unterschiedlich aufgestellte Teams erkennen unterschiedliche Risiken und entwickeln daher bessere Abwehrmaßnahmen. 

Wo die Branche Fehler gemacht hat 

Trotz zahlloser Aufklärungskampagnen, Veranstaltungen zum Internationalen Frauentag und MINT-Initiativen an Schulen besteht weiterhin ein Repräsentationsproblem. Warum? 

Weil die meisten Ansätze zur Diversität im Cyberspace performativ, bruchstückhaft und unterfinanziert sind. Sie setzen auf Leidenschaft, nicht auf politische Maßnahmen. Und sie wälzen die Last des Wandels oft auf die Menschen ab, die am stärksten ausgegrenzt sind. 

Lassen Sie uns die systemischen Mängel aufschlüsseln: 

  1. Oberflächliche DEI-Programme

Bemühungen um Vielfalt, Gleichberechtigung und Inklusion (DEI) sind oft vage und nicht messbar. „Bewusstsein schaffen“ ist keine Strategie. Wenn Sie Ihre Patch-Kadenz messen können, können Sie auch Ihre Werbegerechtigkeit messen. 

  1. Der blinde Fleck der Führung

Zu viele CISOs und Führungskräfte auf Vorstandsebene betrachten Inklusion als etwas, das von der Personalabteilung unabhängig vom „echten“ Risiko wahrgenommen wird. Inklusion ist jedoch direkt verbunden mit: 

  • Stabilität der Belegschaft 
  • Kulturelle Übernahme von Sicherheitspraktiken 
  • Ethische Entscheidungsfindung in Krisen 

Wenn es nicht Teil Ihrer Governance-Strategie ist, fehlt Ihnen ein wichtiger Teil Ihres Sicherheitsrahmens. 

  1. Versteckte Feindseligkeit

Vorurteile sind nicht verschwunden, sie sind nur schwerer zu erkennen. Frauen in der Cyber-Branche berichten immer noch von Ausschluss von Führungspositionen, unverhältnismäßiger Kontrolle und einer Arbeitskultur, in der Erfolg auf Widerstand statt auf Unterstützung stößt. Ohne strukturelle Veränderungen untergraben diese Bedingungen still und leise die Vielfalt. 

  1. Abgehängte Verbündete

In der Cyber-Branche besetzen Männer nach wie vor die überwiegende Mehrheit der Führungspositionen. Dennoch sind viele unsicher, wie sie helfen können, oder haben Angst, das Falsche zu sagen. Andere betrachten Inklusion fälschlicherweise als Nullsummenspiel. Dieser Stillstand führt dazu, dass zu wenige sinnvolle Maßnahmen ergreifen. 

Inklusion als Geschäftskontrolle 

Wie sieht also eine effektive und belastbare Einbeziehung in die Cybersicherheit tatsächlich aus? Sie ähnelt stark anderen ausgereiften Kontrollen: strategisch, überprüfbar und an Geschäftsergebnisse gekoppelt. 

Datengesteuerte Entscheidungsfindung 

Verfolgen Sie die wichtigen Kennzahlen: 

  • Wer bewirbt sich? 
  • Wer wird befördert? 
  • Wer geht und warum? 

Verwenden Sie diese Daten wie die Erkennung von Sicherheitsverletzungen: um Muster aufzudecken, die eine Untersuchung und Reaktion erfordern. 

Verantwortliche Führung 

Inklusion sollte Teil der Führungs-KPIs sein, genau wie operative Risiken oder die Einhaltung gesetzlicher Vorschriften. Es handelt sich nicht um eine optionale Initiative, sondern um eine Governance-Verantwortung. 

Strukturwandel statt Symbolik 

Gremien und Mentoring sind zwar hilfreich, aber sie reparieren keine kaputten Systeme. Inklusion bedeutet, Rekrutierungsprozesse neu zu gestalten, flexible Karrierewege anzubieten und psychologische Sicherheit in allen Rollen zu gewährleisten. 

Intersektionalität in der Praxis 

Geschlecht ist nur eine Linse. Echte Inklusion bedeutet zu untersuchen, wie Identität, Hintergrund, Fähigkeiten, Neurodivergenz, Betreuungsstatus und mehr zusammenwirken und Chancengleichheit bewirken. Das Ziel ist nicht Repräsentation aus optischen Gründen, sondern Chancengleichheit. 

Warum das heute wichtiger ist als je zuvor 

Cybersicherheit war noch nie so geschäftskritisch. Angesichts zunehmender Ransomware-Angriffe, KI-generierter Bedrohungen und immer komplexerer Vorschriften wie NIS 2 und DORA brauchen wir Menschen, die anders denken, schnell handeln und fachübergreifend zusammenarbeiten können. 

Inklusion ist keine soziale Kampagne. Es ist eine Resilienzstrategie. 

Wenn wir eine funktionierende Sicherheitskultur aufbauen wollen – eine Kultur, in der Mitarbeiter Vorfälle melden, Richtlinien befolgen und sich um den Schutz ihrer Mitarbeiter kümmern –, brauchen wir ein integratives Umfeld, in dem die Menschen gerne mitarbeiten. Ein Umfeld, in dem Stimmen gehört, Beiträge anerkannt und die Führung vielfältig in Denken und Erfahrung ist. 

Denn die Wahrheit ist: Inklusion ist Infrastruktur. Ohne sie steht alles, was wir aufbauen, auf wackeligen Beinen. 

Reparieren Sie das System, nicht die Menschen 

Wir haben Frauen und andere marginalisierte Berufsgruppen gebeten, sich an die Cybersicherheit anzupassen und sich in Systeme einzufügen, die nie für sie konzipiert wurden. Es hat nicht funktioniert. Die Zahlen beweisen es. Die Geschichten untermauern es. Und die Talentlücke vergrößert sich dadurch. 

Es ist Zeit, die Perspektive zu ändern. Unternehmen müssen sich an die Talente anpassen, die sie halten wollen. Das bedeutet: 

  • Integration in jede Phase des Mitarbeiterlebenszyklus 
  • Führungskräfte für gerechte Ergebnisse zur Verantwortung ziehen 
  • In echten Strukturwandel investieren, nicht nur in Sensibilisierungskampagnen 

Wenn Inklusion nicht Teil Ihrer Risikostrategie ist, ist Ihre Risikostrategie unvollständig. Und in einer Branche, in der sich die Bedrohungen minütlich weiterentwickeln, ist das nicht nur ein schlechtes Bild, sondern auch ein Zeichen mangelnder Sicherheit. 

Möchten Sie mehr erfahren? 

  • Entdecken Sie, wie ISO 27001-Klauseln 6.3 und 5.2 kann inklusive Praktiken in Ihrem ISMS unterstützen. 
  • Entdecken Sie die kommenden Leitlinien zum Aufbau sicherer, integrativer Teams für NIS 2 und DORA Beachtung.