Die Mehrheit der Unternehmen erkennt mittlerweile die wachsende Bedrohung durch Cyber-Attacken, Informationssicherheit ist ein stabiler und wachsender Berufszweig, aber sichere Softwareentwicklung hat in den meisten Unternehmen noch keine Priorität. Zu diesen Ergebnissen kommt die sechste Global Information Security Workforce Study, für die der Fachverband (ISC)² und die Beratung Booz Allen Hamilton weltweit mehr als 12.000 IT-Sicherheitsexperten zu ihrem Beruf befragten.
Sicherheit muss in SLAs berücksichtigt werden
So ist die Mehrheit der Befragten ihrem Arbeitgeber im vergangenen Jahr treu geblieben, und 58 Prozent haben eine Gehaltserhöhung erhalten. Die Zahl der IT-Sicherheitskräfte soll im Lauf der nächsten fünf Jahre voraussichtlich um elf Prozent pro Jahr steigen. Doch das Angebot an geschultem Personal ist begrenzt, insbesondere Softwareentwickler, die IT-Sicherheit im Blick haben, sind rar. Obwohl zwei Drittel der befragten Security-Profis Sicherheitslücken in Anwendungen als größte Sorge bezeichnen, sind fast die Hälfte der Sicherheitsabteilungen nicht an der Softwareentwicklung beteiligt. Auch bei der Beurteilung von Outsourcing-Anbietern gehört die Sicherheit nicht zu den vorrangigen Kriterien. Das müsste aber nach Ansicht der Befragten der Fall sein.
Foto: Hemker
Auch neue Trends wie Cloud Computing erfordern es, IT-Sicherheitsexperten früher hinzuzuziehen. Dazu Thomas Hemker, Vorstandsvorsitzender für Öffentlichkeitsarbeit des (ISC)² Chapter Germany: "Wer ein Sicherheits-Management-System aufbaut, muss auch die Sicherheit des Servers, der beim Cloud-Anbieter steht, garantieren können. Datenschutz und die Überprüfung des Systems müssen in die Service-Level-Agreements (SLAs) einziehen." Hemker plädiert darum dafür, "die Sicherheitsexperten schon bei der Erstellung der SLAs frühzeitig einzubinden". Auch die Cloud-Anbieter müssten sich mehr um die Informationssicherheit kümmern, so Hemker weiter: "Wer Cloud-Dienste bereitstellt, muss nachweisen, dass er alles tut, um die in der Cloud bearbeiteten Daten zu schützen. Das ist bislang aber noch nicht oft der Fall."
Um die Risiken in Zusammenhang mit Cloud Computing abzufedern, brauchen die Sicherheitsprofis auch neue Fähigkeiten. Dazu Hemker: "Ein Training für Sicherheitsverantwortliche muss die Unterschiede zwischen einer herkömmlichen und einer Cloud-Infrastruktur aufzeigen. Es sollte beantworten, wie Risiken in einer Cloud-Umgebung bewertet werden können, wie Sicherheit überprüft und zum Beispiel gemäß den ISO-Sicherheitsstandards 27001 angepasst werden kann."
- Cloud-Security
Sicherheit ist einer der Schlüsselfaktoren, der über die Akzeptanz von Cloud-Diensten entscheidet. Doch um eine Cloud-Umgebung wirkungsvoll zu schützen, - Angriffsziele von Cyber-Kriminellen
Laut einer Studie von Alert Logic sind vor allem Web-Anwendungen in Cloud- Computing-Umgebungen das Ziel von Angreifern. Mit Brute-Force-Attacken versuchen Cyber-Kriminelle, Passwörter von Anwendern und Systemverwaltern zu knacken. - Angriffspunkte im Netz
Unternehmen sollten mit den Angriffen von Cyber-Kriminellen an den unterschiedlichsten Stellen rechnen und nicht nur die Cloud im Auge haben. - Risikozuwachs in der Cloud
Den Gewinn an Flexibilität und Agilität, der mit Public Clouds verbunden ist, erkaufen sich Nutzer mit geringeren Kontrollmöglichkeiten. - Sicherheitsfunktionen in der Cloud
Was IaaS leisten sollte - Sicherheitsfunktionen in der Cloud
Was PaaS leisten sollte - Sicherheitsfunktionen in der Cloud
Was SaaS leisten sollte - Sicherheit in der Public Cloud
IT-Sicherheitsfirmen wie McAfee, Symantec, Trend Micro und Safenet bringen Komplettpakete für Cloud-Security auf den Markt. Alle Lösungen decken jedoch nur einen Teil der Anforderungen ab und müssen durch weitere Produkte ergänzt werden.