Den oft beschworenen Fachkräftemangel hält McKerchar für real, aber falsch beschrieben — sowohl in der Zahl als auch in der Wirkung. Die Branche wachse schneller als die meisten anderen, und die Ausbildung reagiere mit mehr Schulungen in Sicherheitsgrundlagen. Gesucht würden jedoch nicht Hochschulabsolventen ohne Erfahrung, sondern Fachleute mit Erfahrung sowie emotionaler und geschäftlicher Intelligenz. Der Mangel bestehe also auf der Senior-Ebene, nicht bei Berufseinsteigern. Verschärft werde das dadurch, dass viele Unternehmen ihre Sicherheit erst nach einem Angriff aufstocken und dann rasch erfahrene Profis suchen.
Für CISOs ergebe sich daraus ein doppeltes Problem: Die offenen Stellen passten nicht zu den vielen Suchenden, sondern reizten eher die bereits beschäftigten Mitarbeiter. Entsprechend wichtig sei es, das bestehende Team zu halten. McKerchars Ansatz: kluge Leute einstellen und ihnen die Hindernisse aus dem Weg räumen, statt ihnen Vorgaben zu machen — bei leichter Hand am Steuer, damit die Richtung zu den Geschäftszielen passt.
Beim Thema künstliche Intelligenz bleibt er zurückhaltend. Die öffentliche Erzählung über KI-bedingten Stellenabbau unterscheide sich deutlich von dem, was er von CISO-Kollegen höre. Große Sprachmodelle würden mit öffentlichen Daten trainiert, doch beim Einordnen von Alarmen komme es auf organisationsspezifischen Kontext an. Seine menschlichen Analysten verstünden das Geschäft und hätten fast einen sechsten Sinn dafür, wie ernst ein Alarm sei — dahin werde KI kommen, aber noch sei sie nicht so weit.
Beim gegnerischen Einsatz von KI sieht McKerchar derzeit vor allem bessere Phishing-Köder und eine deutlich gestiegene Menge an Angriffen, nicht aber die Qualität versierter Angreifer. Mehr Sorge bereitet ihm die Fähigkeit von KI, neue Schwachstellen zu finden. Sinke der Preis für Zero-Days und steige ihre Zahl, würden sie zunehmend auch gegen kleinere Firmen mit schwächeren Abwehrmechanismen eingesetzt, die bislang keine typischen Ziele seien.
Burnout bezeichnet McKerchar als reales Problem der Branche. Er selbst sei seit 18 Jahren durchgehend in Rufbereitschaft. Die Organisation Cybermindz behandle Burnout mit der Methode I-Rest, die auch das Militär zur Behandlung von posttraumatischen Belastungsstörungen einsetze. Vorbeugung sei besser als Heilung: Grundstress senken, stressfreie Phasen sichern, bei großen Vorfällen Schichtwechsel und Übergaben festlegen und verhindern, dass Einzelne sich überarbeiten.
Ein eigenes Kapitel ist das von Sophos „Pacific Rim" genannte Projekt. Dabei entdeckte das Unternehmen chinesische Angreifer, die Sophos-Firewalls attackierten, baute Beobachtung und Telemetrie aus und fand schließlich ein kompromittiertes Gerät, auf dem die Angreifer Exploits entwickelten. Sophos platzierte ein eigenes Kernel-Implantat auf dem Gerät, um deren Aktivitäten zu überwachen. McKerchar nennt das ausdrücklich kein „Hack-Back": Das Unternehmen holte Rechtsberatung ein und stimmte sich mit der US-amerikanischen NSA und dem britischen NCSC ab, um Datenschutzvorgaben und Rechtmäßigkeit über die Lizenzbedingungen des Geräts zu wahren.
Als größte Bedrohung der kommenden Jahre nennt McKerchar nicht KI, sondern Vertrauen — speziell innerhalb der Sicherheitsbranche. Diese habe ein wachsendes Vertrauensproblem, weil Sicherheitsprodukte zunehmend selbst Ursache von Sicherheitsverletzungen seien. Als Beispiele führt er F5, SonicWall, Okta, Barracuda ESG, Codecov, MOVEit, Kaseya, 3CX und SolarWinds an. Die Branche müsse besser darin werden, eigene Produkte zu entwickeln — wie das gelingen solle, sei offen, da die Marktanreize Anbieter meist nicht in diese Richtung drängten.
