Wenn die Arbeitsbelastung zum Sicherheitsrisiko wird 

Cybersecurity ist ein Stressjob. Die Fachleute stehen unter immensem Druck, um Angriffe abzuwehren und die Sicherheit des Unternehmens zu gewährleisten. Doch diese hohe Belastung kann ernste Folgen haben – für Mitarbeitende und die Sicherheit. Wie können Unternehmen dem entgegenwirken? 

April 2025, Text Andreas Heer           4 Min.

Cybersecurity ist in der heutigen Geschäftswelt unverzichtbar – und ein stressiger Job. Neue Regulatorien und Angriffsformen erhöhen die Anforderungen an die Cyberdefence laufend. Die Fachleute, die sich im Security Operations Center (SOC) um den Schutz kümmern, werden mit Warnmeldungen überhäuft. Und bei einem ernsthaften Angriff können die Verteidiger*innen auch nicht einfach um 17 Uhr das Notebook zuklappen und Feierabend machen wie in vielen anderen Bürojobs. Schliesslich steht die Sicherheit des Unternehmens auf dem Spiel und nicht nur die Fertigstellung einer PowerPoint-Präsentation.

Stressjob Cybersecurity

Es überrascht nicht, dass viele Fachleute aus diesem stressigen Umfeld ausbrechen wollen. In einer Umfrage von Bitdefender hat mehr als die Hälfte angegeben, einen anderen Job suchen zu wollen. Und in einer aktuellen Studie von Tines beklagten sich zwei Drittel der Teilnehmenden über ernsthaften Stress, Tendenz zunehmend. Die Belastung macht auch vor der Chefetage nicht halt: Über 90% der CISOs haben im CISO-Report von Nominet angegeben, unter mässigem oder hohem Stress zu leiden.

Die Gründe für diese Situation sind vielfältig:

  • Das permanente Monitoring Tausender von Security Alerts führt zu einer «Alert Fatigue» und einem kognitiven Overload. Dieser bezeichnet eine Situation, in der ein Mensch mit mehr Informationen oder Aufgaben überschüttet wird, als er verarbeiten kann.
  • Wenn Stellen nicht besetzt werden können, müssen die vorhandenen Mitarbeitenden die Arbeit unter sich aufteilen. Das führt, zusammen mit dem mentalen Druck, zu einer hohen Arbeitslast.
  • Beschränkte oder fehlende Ressourcen führen dazu, dass es an technischen Hilfsmitteln fehlt, um Teile der Arbeit zu automatisieren, die Cyberdefence zu verbessern und die Fachleute zu entlasten.
  • Die Veränderungen in der Bedrohungslandschaft(öffnet ein neues Fenster) führen dazu, dass sich die Fachleute permanent weiterbilden müssen – zusätzlich zur hohen Arbeitslast. Das trägt ebenfalls zur kognitiven Überlastung bei.

Arbeitsbelastung als Sicherheitsrisiko

Die Folgen dieser Arbeitssituation reichen von anhaltendem Stress bis hin zu einem Burnout. Die Gefährdung der psychischen Gesundheit stellt ein Risiko für die Menschen dar, aber auch fürs Unternehmen. Denn gestresste und überlastete Mitarbeitende sind anfälliger für Fehler. Das führt im schlimmsten Fall dazu, dass Security Alerts übersehen werden und ein Cyberangriff erfolgreich ist. Zudem nutzen Cyberkriminelle die Situation gezielt für Social Engineering, um an die Zugänge der meist mit weitreichenden Rechten ausgestatteten Fachleute zu gelangen.

Informieren Sie sich über aktuelle Trends in der Cybersecurity und über relevante Bedrohungen.

«Wenn die Organisation gestresst und müde ist, ist das ein Angriffsvektor.»

Marcus Beyer, Security-Awareness-Experte bei Swisscom

Marcus Beyer, Security-Awareness-Experte bei Swisscom, betont deshalb die Notwendigkeit von Achtsamkeit und psychologischer Sicherheit gerade auch bei den Security-Fachleuten: «Es ist uns allen klar, dass Stress die Fehleranfälligkeit erhöht.» Denn die Verantwortung und die Folgen von Fehlern sind in der Cybersecurity gravierender als in vielen anderen Rollen: «Der Druck, der auf den Fachleuten lastet, ist enorm», sagt Beyer. «Es gibt eine Erwartungshaltung des Managements, das Unternehmen zu schützen. Und dann haben wir noch die Cyberkriminellen, die nicht schlafen und laufend neue Angriffsvektoren suchen.»

Resilienz als Ziel

Diese Herausforderungen müssen Unternehmen angehen. Denn, gute Arbeitsbedingungen und motivierte und gesunde Fachleute sind ein wichtiges Puzzleteil, um die Cyberdefence hochzuhalten und um Abgänge zu vermeiden. Beyer schlägt deshalb vor, gezielte Achtsamkeitsprogramme und psychologische Sicherheitsmassnahmen für Mitarbeitende in der Cybersecurity zu entwickeln: «Wenn die Organisation gestresst und müde ist, ist das ein Angriffsvektor.»

Doch Achtsamkeit alleine löst die Probleme nicht. Führungskräfte und HR-Verantwortliche müssen eine psychologisch sichere Umgebung schaffen, in der sich Mitarbeitende trauen, Fehler, Überlastung und Stress anzusprechen. Das bedingt ein Klima des Vertrauens. «Psychologische Sicherheit fördert zudem den Zusammenhalt und ermutigt zu Innovationen», sagt dazu Beyer. «Das ist in der Cybersecurity, die von einem steten Wandel geprägt ist, besonders wichtig.»

«In der physischen und der Arbeitssicherheit sind entsprechende Methoden und Massnahmen längst bekannt», so Beyer weiter. «Aber diese müssen wir übertragen auf die Cybersecurity, wo es um psychische, nicht um physische Risiken geht.» Wo die Gefahren liegen und welches die Ansprüche der Cybersecurity-Fachleute an die berufliche Gesundheitsvorsorge sind, muss zuerst verstanden sein.

Ein Schlüsselbegriff ist dabei Resilienz, und zwar auf mehreren Ebenen. Organisatorische Resilienz bezieht sich auf die Fähigkeit einer Organisation, sich an Veränderungen und Störungen anzupassen. Psychologische Resilienz bezeichnet hingegen die Fähigkeit eines Menschen, sich erfolgreich an das (Arbeits-)Leben anzupassen.

Beyer betont, dass Resilienz sowohl von Individuen als auch von Organisationen erlernt werden kann. «Für mich ist die fragile Arbeitsorganisation ein Resultat fehlender psychologischer Sicherheit und Achtsamkeit», erklärt er. «Achtsamkeit kann dazu beitragen, Stress zu reduzieren und damit die Fehleranfälligkeit zu verringern.»

Cyberresilienz beginnt bei den Fachleuten

Die psychische Gesundheit von Cybersecurity-Fachleuten ist ein entscheidender Faktor für die Sicherheit der digitalen Infrastruktur einer Organisation. Es ist deshalb wichtig, gezielte Massnahmen zu ergreifen, um die psychische Gesundheit der Mitarbeitenden zu unterstützen. Achtsamkeit und psychologische Sicherheit spielen dabei eine zentrale Rolle. Wie Marcus Beyer betont: «Wir müssen viel stärker in einer achtsamen Arbeitsorganisation arbeiten, um die Belastungen in der Cybersicherheit zu bewältigen. Das ist der Schlüssel, um eine fragile Workforce zu vermeiden.»

Eine entsprechende Arbeitsorganisation integriert Achtsamkeits-Praktiken in den Arbeitsalltag. Dabei geht es um Themen wie geistiges Wohlbefinden, fokussiertes, aufmerksames Arbeiten und eine bewusste Entscheidungsfindung. Das sind alles Methoden, die auch ausserhalb der Cybersecurity-Welt ihre Berechtigung haben und dort oftmals auch angewandt werden. Diese Methoden gilt es nun auch auf die Cybersecurity-Fachleute zu übertragen.

Weitere interessante Artikel