SOC-Burnout

28 Jan 2019

Arbeitsbedingtes Burnout ist ein weitverbreitetes Problem. Wenn Menschen keine Lust mehr auf monotone Aufgaben haben, beginnen Geist und Gedanken abzuschweifen. Das Ergebnis? Sie sind weniger aufmerksam und fokussiert. In jedem Tätigkeitsbereich ist dies unerwünscht und führt zu einem Produktivitätsabfall. Im Bereich der Cybersicherheit können die Folgen jedoch verheerend sein – vor allem, wenn es sich bei der betreffenden Person um einen SOC-Mitarbeiter (Security Operations Center) handelt.

Beim Aufbau eines SOC, haben Unternehmen grundsätzlich zwei Möglichkeiten: entweder wird das Zentrum firmenintern eingerichtet oder es wird auf die Beschäftigung externer Fachkräfte zurückgegriffen. Wir bei Kaspersky Lab verfügen über umfassende Erfahrung in diesem Bereich und haben sowohl ein eigenes SOC als auch ein Servicecenter für unsere Kunden und Partner. Darüber hinaus bieten unsere Experten Dienste für Drittanbieter-SOCs an und können sich auf diese Weise häufig ein Bild davon machen, wie es in anderen Organisationen (ab)läuft. Mit unseren eigenen Methoden zur Aufrechterhaltung der Professionalität der Mitarbeiter in petto, haben wir uns dazu entschlossen, unsere Gedanken und Erfahrungen zum Thema Burnout mit Ihnen zu teilen.


Beginnen wir zunächst mit dem unangenehmen Teil: Die Arbeit eines SOC-Threat-Analysten ist im Grunde genommen ein direkter Weg zum arbeitsbedingten Burnout. Je besser sich die Sicherheitslage im Unternehmen gestaltet, desto kürzer ist der Weg zur völligen Erschöpfung. Im Wesentlichen impliziert der Job eines Threat-Analysten die Suche nach Anomalien in eingehenden Daten – und das Tag für Tag. Sobald eine Anomalie entdeckt wird, wird auch die Arbeit des Analysten interessanter – der Vorfall muss untersucht, Daten gesammelt und Risiko- sowie Schadensbewertungen durchgeführt werden. In Unternehmen mit hochmodernen Lösungen, die Server, Workstations und die gesamte Informationsinfrastruktur schützen, sind schwerwiegende Cybervorfälle allerdings eine Seltenheit.

Der Experte sitzt also vor seinem Rechner und starrt auf Datenströme; eine Tätigkeit, die der Suche nach einer Nadel im Heuhaufen ähnelt. In unserem Fall gehen wir immer davon aus, dass sich die Nadel irgendwo befindet, aber in der Praxis hilft das nicht, die Monotonie zu lindern. Trotzdem möchten wir anmerken, dass unser SOC ein weitaus bevorzugterer Arbeitsplatz ist als ein internes Zentrum innerhalb eines gewöhnlichen Unternehmens. Darüber hinaus verfügen wir über zahlreiche Kunden, sprich: irgendetwas passiert immer, um den Alltag unserer Mitarbeiter aufzupeppen.

Aber was passiert mit ausgebrannten Angestellten? Sie werden lethargisch, unaufmerksam und im Allgemeinen unzufrieden mit sich selbst und den Menschen in ihrer Umgebung. Wenn sie ihren Job ernst nehmen (was so gut wie alle SOC-Mitarbeiter tun), werden sie zusätzlich durch das Gefühl belastet, ihre Kollegen enttäuscht zu haben. Nachdem sie festgestellt haben, dass etwas nicht stimmt, suchen sie online nach Ratschlägen, um herauszufinden, was Psychologen zu dieser Angelegenheit zu sagen haben. Die Tipps sind allerdings immer dieselben: „Sie müssen sich eingestehen, dass Sie nicht mit Herzblut bei der Sache sind. Erinnern Sie sich daran, was Ihnen in Ihrer Kindheit besonders viel Spaß gemacht hat, und haben Sie keine Angst, Ihr Berufsfeld zu wechseln.“ Vielleicht finden einige Leute diese Klischees hilfreich. Eines ist jedoch klar: das SOC würde negativ beeinflusst werden, wenn alle Mitarbeiter diese Ratschläge befolgen würden.

So kann das Problem gelöst werden

Aus der Sicht des Unternehmens ist die hauptsächliche Folge eines ausgebrannten Mitarbeiters der Rückgang der allgemeinen Teamleistung. Es gibt viele Möglichkeiten, dieses Problem zu lösen, obwohl nicht alle von ihnen besonders menschenfreundlich und vor allem nicht in der Praxis anwendbar sind.

Wer die Hitze nicht erträgt, sollte nicht am Herd stehen

Einige Unternehmen glauben, dass Burnout ein persönliches Problem ist. Sie bieten den Angestellten deshalb zusätzliche Urlaubstage sowie medizinische Versicherungsleistungen an (sofern die Gesetze des entsprechenden Landes dies erlauben) und erwarten, dass die Mitarbeiter nach der Auszeit mit neuer Kraft an ihren Arbeitsplatz zurückkehren. Sollte ihre Leistung dann immer noch schwächeln, ist meist eine Kündigung der letzte Ausweg.

In manchen Branchen mag dieser Ansatz gerechtfertigt sein, aber in einer Cybersicherheits-Überwachungszentrale ist das definitiv nicht der Fall. Der SOC-Analyst muss von einem anderen Spezialisten ersetzt und angelernt werden, und selbst dann wird es sehr wahrscheinlich einige Zeit dauern, bis die Leistung des Neuankömmlings mit der, des vorherigen Mitarbeiters, übereinstimmt. Manchmal stellen Unternehmen auch Bewerber ein, die keine einschlägige Berufserfahrung vorweisen können, aber das Potenzial haben, sich zu erstklassigen Experten zu entwickeln. Sie dann wegen Burnout abzuservieren, wäre reine Zeit-, Energie- und Ressourcenverschwendung.

Interne Versetzung

Aber auch außerhalb der Informationssicherheitsbranche gibt es Arbeitsstellen für erfahrene Analysten; beispielsweise in Rapid-Response-Teams. Die Versetzung innerhalb des Unternehmens selbst könnte also auch eine Lösung sein. Auf diese Weise bricht der Analyst aus seiner alltäglichen Routine aus und das Unternehmen kann einer Fachkräfteabwanderung effektiv entgegenwirken.

In Bezug auf die SOC-Leistung ist es jedoch irrelevant, ob der Mitarbeiter intern versetzt oder eiskalt abserviert wird; denn so oder so fehlt ein Mitarbeiter im SOC-Team. Erwähnenswert ist auch, dass dies bei Kaspersky Lab etwas anders abläuft – bevor es überhaupt zum Burnout kommen kann, werden SOC-Mitarbeiter von Kollegen anderer Abteilungen gehijackt; schließlich haben sie gelernt, wie Angriffe stattfinden, und wissen, wie sie ihnen entgegenwirken können.

Monotone Arbeit automatisieren

Durch die Weiterentwicklung und Verbesserung der Tools zur Erkennung und Untersuchung von Vorfällen, verändern sich zwangsläufig auch die Aufgaben der Angestellten, und der SOC-Analyst von gestern wird zum Qualitätskontrolleur von heute, der die Arbeit des Analyseroboters überwacht, der niemals müde wird, niemals ausbrennt und sich nie beschwert. Diese neuen Kontrollfunktionen sind für den Analysten zumindest erstmals eine völlig neue Erfahrung, zwingen ihn dazu, seine Komfortzone zu verlassen, und stimulieren neues Interesse an der Aufgabenlösung und seiner Arbeit im Allgemeinen.

Über maschinelles Lernen (ML) wurde bereits viel gesagt, daher ist es schwierig, diesbezüglich weltbewegende Enthüllungen zu machen. Es reicht völlig aus zu sagen, dass ML-basierte Assistenten ziemlich gut darin sind, begrenzte Aufgaben mit klaren Qualitätskriterien zu bewältigen. Sie können zwar keine Frontline-Mitarbeiter ersetzen, aber erhöhen die Durchsatzleistung und ermöglichen die Umgruppierung der Personalressourcen zum Robotertrainer, Controller oder Entwickler. ML mag zwar immer noch ein Hype sein, ist aber für uns bereits ein fester Bestandteil unserer täglichen Operationen.

Interne Rotation

Es ist unmöglich und vor allem unerwünscht, alle Menschen durch Roboter zu ersetzen. Aus diesem Grund betreiben wir in unserem SOC ein Rotationssystem. Schließlich ist die Analyse von Endpunktdatenströmen in unserem SOC kaum die einzige Aufgabe.
Zum einen gibt es die Systematisierung von Bedrohungsdaten; das praktische Wissen, das ein Analyst vor dem Hintergrund von Vorfällen erworben hat, kann und muss verwendet werden, um eine mögliche Wiederholung dieser zu verhindern. Das wiederum führt zu einer weiteren Aufgabe: die Verbesserung der SOC-Tools. Unser SOC umfasst beispielsweise eine Forschungsgruppe sowie Spezialisten für die Infrastrukturunterstützung und -entwicklung. Eventuell denken Sie jetzt, dass es sich dabei um nicht vollständig ersetz- oder austauschbare Stellen handelt, aber unsere gesamte Entwicklungsaktivität zielt auf die Vorgangsautomatisierung ab. Aus diesem Grund ist die praktische Erfahrung des Analysten absolut unerlässlich. Durch den regelmäßigen Wechsel der Aufgaben unserer Mitarbeiter, minimieren wir nicht nur das Burnout-Risiko, sondern verbessern zudem das SOC-Toolkit und helfen anderen Kollegen. Gleichzeitig kann sich die Geschäftsleitung einen Einblick darüber verschaffen, welche Arbeitsbereiche tatsächlich das Interesse der Mitarbeiter wecken. Und eben dieses Interesse ist der Grundstein für eine hohe Effizienz und somit auch für die Leistung des gesamten Teams.

Dennoch ist diese Methode nicht universell. Wenn in Ihrem SOC lediglich 2 bis 3 Personen beschäftigt sind, sind die Rotationmöglichkeiten deutlich begrenzt. Dies ist übrigens ein weiterer Grund, die Beschäftigung externer Datenüberwachungsexperten in Betracht zu ziehen. Wir würden dennoch empfehlen, darüber nachzudenken, wie Sie Aufgaben vielfältiger gestalten können, um auch andere möglicherweise bereits bestehende Probleme zu lösen.

Kurz gesagt: Wenn Sie sich dazu entschließen, Ihre eigenen SOC-Analysten auszubilden, empfehlen wir Ihnen dringend, diese auch langfristig zu halten. Es ist schließlich nicht nur die Liebe, die schwer zu finden, leicht zu verlieren und verdammt schwer zu vergessen ist!