Mit der fortschreitenden Digitalisierung werden IT-Infrastrukturen immer komplexer. Sie umfassen heute eine Vielzahl an Technologien, Geräten des Internet of Things (IoT) und verschiedene Clouds. Gleichzeitig wächst durch die zunehmende Vernetzung die Angriffsfläche, was die Absicherung zusätzlich erschwert. Deshalb ist es besonders wichtig, dass Unternehmen bei digitalen Innovationen die Security von Anfang an mitdenken. Wer hier nachlässig ist, geht hohe Risiken ein. Cyber-Kriminelle sind heute gut organisiert und professionell aufgestellt. Längst haben sie Erpressung und Datendiebstahl als lukratives Geschäftsmodell entdeckt. Während im Jahr 2000 der "I-love-you-Virus" noch vergleichsweise geringen Schaden anrichtete, kostet ein Sicherheitsvorfall ein Unternehmen heute im Durchschnitt 386 Millionen US-Dollar, so der aktuelle "Cost of a Data Breach Report" des Ponemon Instituts im Auftrag von IBM.

Vor diesem Hintergrund ist Cybersecurity-Expertise für Unternehmen wichtiger denn je. Doch viele Betriebe leiden unter dem anhaltenden Fachkräftemangel, von dem die Security-Branche besonders stark betroffen ist. Wie eine aktuelle ISC2-Studie zeigt, fehlen weltweit mehr als vier Millionen Experten für Cybersicherheit. Das Angebot an entsprechenden Fachkräften auf dem Arbeitsmarkt müsste pro Jahr um 145 Prozent steigen, um den wachsenden Bedarf zu decken. Zwar bieten unterdessen immer mehr Universitäten Studiengänge in Cybersecurity an, doch das ist nur ein Tropfen auf dem heißen Stein.

So ist es nicht verwunderlich, dass der Mangel an qualifizierten und erfahrenen Mitarbeitern die größte Sorge von Chief Information Security Officers (CISOs) ist - sogar noch größer als der Mangel an Ressourcen. 65 Prozent der Befragten gaben an, dass sie zu wenig Personal für Security-Aufgaben haben. Dadurch sehen 51 Prozent ihr Unternehmen einem mäßigen bis extremen Risiko ausgesetzt. An der Online-Umfrage nahmen rund 3200 Cybersecurity-Verantwortliche aus Nordamerika, Europa, Lateinamerika und dem asiatisch-pazifischen Wirtschaftsraum teil.

Was ein IT Security Director/Manager können muss

"Wir suchen Menschen, die nicht nur über die entsprechenden technischen Fähigkeiten verfügen, sondern auch wissbegierig sind, Probleme verstehen und risikobasiertes Denken auf sie anwenden können. Die Fähigkeit, dies bis auf die Vorstandsebene zu transportieren, ist uns ebenfalls wichtig", erklärt Mike Hart, VP Central and Eastern Europe bei dem IT-Sicherheitsanbieter FireEye die Recruiting-Strategie. Man lege auch großen Wert auf Diversität. Menschen mit unterschiedlichem Hintergrund und aus verschiedenen Kulturen bringen neue Perspektiven in das Team ein, so dass Gruppendenken und ein Verstricken in denselben alten Prozess vermieden werde.

Um zu ermitteln, welche Kompetenzen ein IT Security Director besitzen sollte, hat der IT-Sicherheitsanbieter Fortinet mithilfe von Natural Language Processing Stellenangebote und Bewerbungen analysiert. Die Studie zeigt, dass Arbeitgeber heute eine ausgewogene Vielfalt an fachlichen und sozialen Fähigkeiten erwarten. Wichtig sind vor allem folgende Kompetenzen:

• Informationssicherheit

• Compliance

• Menschenführung

• Verfahrensmanagement

• Urteilsvermögen

• Analysefähigkeit

• Standards

• Risikomanagement und

• Teamfähigkeit.

Bewerber betonen in ihren Unterlagen aber vorwiegend ihre fachlichen Fähigkeiten - hier bringen sie im Durchschnitt zehn Qualifikationen mehr mit, als für die Stelle erwartet werden. Zwischenmenschliche und strategische Kompetenzen erwähnen die Kandidaten dagegen kaum. Dabei sind diese gleichermaßen wichtig. Denn ein IT Security Director/Manager ist zunehmend auf strategischer Seite gefragt. Er darf sich nicht nur als Taktiker und Dienstleister verstehen, sondern muss an der Entwicklung von Sicherheitskonzepten mitwirken und dazu beitragen, Sicherheitsaktivitäten effizienter zu gestalten.

Weiterbildung als Schlüssel zu mehr Sicherheit

Um die nötigen Kompetenzen aufzubauen, spielen Aus- und Weiterbildung eine zentrale Rolle. Das fängt bereits im universitären Umfeld an. Fortinet hat dafür zum Beispiel die Fortinet Network Security Academy (FNSA) ins Leben gerufen. Sie bietet Hands-on-Trainings für Studenten und Professoren, um Nachwuchskräfte in Sachen Security gezielt auf die kommenden Anforderungen im Berufsleben vorzubereiten. Die FNSA ist Teil des Network-Security-Experts-Programms (NSE), mit dem sich Security-Fachkräfte auf insgesamt acht Ebenen weiterbilden und zertifizieren lassen können. Jede dieser acht Ausbildungsstufen befasst sich mit Sicherheitsgebieten, die von der Bedrohungslandschaft bis zur Planung, Konfiguration, Einrichtung und Fehlerbehebung im Bereich der Netzwerksicherheit reichen. Die Trainings bestehen sowohl aus von Trainern geführten Kursen als auch Einheiten zum Selbstlernen. Am Ende jedes Levels findet ein umfassendes Zertifikatsexamen statt, um die erworbenen Fähigkeiten nachzuweisen.

Programme wie NSE sind wichtig, um qualifizierte Security-Teams aufzubauen und den wachsenden Anforderungen zu begegnen. Dabei sollten sich Unternehmen nicht nur auf die Nachwuchskräfte fokussieren, sondern auch die bestehende Belegschaft weiterbilden. Auch lernwillige Mitarbeiter aus anderen Bereichen sollten zudem die Chance erhalten, entsprechende Kompetenzen zu erwerben und ins Security-Team zu wechseln. Das ist sinnvoll, weil es bei dem anhaltenden Fachkräftemangel nicht möglich sein wird, sich alle erforderlichen Kompetenzen über neue Mitarbeiter ins Haus zu holen.

Christian Vogt, Vice President DACH bei Fortinet ist überzeugt: "Mit entsprechenden Trainings und Mentorenprogrammen kann es gelingen, starke Sicherheitsteams aufzubauen." Es lohne sich, in die eigenen Mitarbeiter zu investieren. CISOs bereichern dadurch ihr Unternehmen und machen sich ein Stück weit unabhängig von der Suche nach neuen Talenten. Zudem gewinnen Mitarbeiter nicht nur neue Fähigkeiten, sondern auch mehr Selbstvertrauen. Nicht zuletzt tragen Weiterbildungsmaßnahmen dazu bei, dass Mitarbeiter zufriedener seien und sich geschätzt fühlen. Das, so Vogt weiter, sei nicht zu vernachlässigen. Denn wie die Studie zeige, nehme auch bei Security-Experten die Tendenz zum Jobhopping zu. Zufriedene Mitarbeiter bleiben eher bei ihrem Arbeitgeber.

Mit Automatisierung Mitarbeiter entlasten

Auch wenn Weiterbildung eine wichtige Rolle spielt, reicht sie allein nicht aus, um das Sicherheitsdefizit auszugleichen, das durch den Personalmangel entsteht. Denn in unterbesetzten Security-Abteilungen fehlt es häufig nicht nur an Spezialwissen. Mitarbeiter arbeiten auch kontinuierlich an ihrer Belastungsgrenze, während sie sich mit wachsenden Anforderungen konfrontiert sehen. So steigt zum einen das Risiko für menschliche Fehler sowie eines Burnout. "Es besteht die Gefahr, hochqualifizierte Ressourcen aufgrund des Fachkräftemangels zu verbrennen. Deshalb stellen wir sicher, dass sie nicht überlastet werden", erklärt Hart. Sicherheitsteams seien mit ihrem routinemäßigen Tagesgeschäft bereits mehr als ausgelastet. Für dringend erforderliche strategische Aufgaben bleibe häufig keine Zeit mehr.

Stratos Komotoglou, Microsoft

„Ich bin positiv überrascht darüber, dass Künstliche Intelligenz Einzug bei fast drei Viertel der befragten Unternehmen hält. Ohne KI ist die Vielzahl der täglichen Angriffe auf Mailboxen und Infrastrukturen nicht zu beherrschen und so müssen Künstliche Intelligenz, Automatisierungen und natürlich der Mensch in Zukunft noch enger zusammenarbeiten.“ Michael von der Horst, Cisco

“Gerade jetzt, wo sich die Auswirkungen von Covid-19 auf die Arbeitsumgebungen noch länger zeigen werden, gilt es die Maßnahmen der ersten Monate in eine langfristig tragfähig Architektur zu überführen. Dabei gilt es vor allem auf, die Etablierung von Multi-Faktor-Authentifizierung (MFA), Absicherung des Rückkanals (DNS-Schutz), Visibilität und Anomalie-Erkennung zu achten.” Anton Kreuzer, DriveLock

„Die Einschätzung der Befragten, Cyber-Attacken als das wichtigste Unternehmensrisiko anzusehen, hat mich positiv überrascht und stimmt mich hoffnungsvoll. Denn wir von DriveLock predigen seit geraumer Zeit, dass Unternehmen in der digitalen Welt auch immer mehr digital angegriffen, erpresst und geschädigt werden können - mit immensen Folgen.<br /> Wenn ich mir allerdings anschaue, ob die Maßnahmen dagegen ausreichend sind, wundere ich mich, warum Security Outsourcing ein Tabuthema zu sein scheint. Woher sollen die Spezialisten in den Unternehmen denn kommen? Fachkräfte sind rar. Die Angriffstaktiken werden auch immer ausgefeilter. Security Outsourcing an einen Provider mit einer breiten Lösungspalette und Security-Experten ist nicht unsicher und sollte kein No-Go sein, sondern gerade für kleinere Unternehmen eine ernstzunehmende Option.“ Rüdiger Trost, F-Secure

„Die Ergebnisse der Studie belegen, dass Cyber-Attacken und Cyber Crime als größte Geschäftsrisiken gesehen werden. Das deckt sich auch mit unserer Erfahrung. Etwas überraschend ist allerdings die Tatsache, dass nur jedes zweite Unternehmen angab, Schaden durch Cyberattacken genommen zu haben. Das wiederum macht uns nachdenklich. Denn in dieser Gleichung ist die Dunkelziffer nicht mit eingerechnet. Also der Anteil der Unternehmen, die tatsächlich angegriffen worden sind, es aber nicht wissen oder es vielleicht auch nur vermuten, aber keine handfesten Belege dafür haben.<br />Erschwerend kommt hinzu, dass Angreifer ihre Taktiken permanent ändern und immer wieder andere Wege gehen, um an die Werte eines Unternehmens zu gelangen. Dafür müssen Unternehmen gewappnet sein und ihre Cyberverteidigung entsprechend anpassen. Threat Hunting heißt hier das Schlüsselwort in den kommenden Jahren, welches vermehrt in Unternehmen eingesetzt werden muss, um nicht nur die gesamte Infrastruktur auf Schwachstellen zu testen, sondern fortlaufend zu analysieren, ob es eine Angriffsfläche für potenzielle Angreifer bietet und diese dann zu beheben.“ Hans-Peter Bauer, McAfee

„Heute gibt es ein derart großes Volumen an Cyber-Bedrohungen, dass einzeln agierende Silolösungen und die oftmals unterbesetzten IT-Sicherheitsteams schlichtweg überfordert sind. Hier kommt Künstliche Intelligenz ins Spiel. KI kann die Komplexität von Bedrohungen effizient erfassen und die menschliche Intelligenz muss nur dort eingesetzt werden, wo sie wirklich gebraucht wird. Diese Kombination von KI und menschlicher Intelligenz wird Human Machine Teaming genannt. Zusammen mit integrierten Security-Lösungen wird dieses Konzept in den nächsten Jahren einer der wichtigsten Ansätze für ein hohes Sicherheitsniveau sein.“ Sarah Trunk, Micro Focus

„Die aktuelle Cyber-Security-Studie hat die Erfahrungen, die wir mit unseren Kunden im Bereich Datensicherheit und Verschlüsselung tagtäglich machen, 100-prozentig wieder gespiegelt. Die größte Aufmerksamkeit gehört den Daten, denn die sind die eigentliche Cash Cow eines jeden Unternehmens und bedürfen darum auch besonderer Aufmerksamkeit und Schutz.<br /> Die Zahl von IoT-Angriffen explodiert und macht vor keinem Unternehmen halt, aus diesem Grund ist auch nur ein ganzheitliches Security-Konzept wirkungsvoll und effizient.<br /> Allgemein gilt: Je früher ein Sicherheitsrisiko erkannt wird und ein Unternehmen firmenkritische Daten und Applikationen entsprechend schützt, desto geringer fällt ein möglicher Verlust bei einer Cyber-Attacke aus.“ Richard Werner, Trend Micro

„Zukünftig muss noch stärker in die Bereiche Angriffserkennung und Schadensbegrenzung - Detection and Response - investiert werden. IT-Umgebungen werden immer umfangreicher und komplexer. Deshalb ist es wichtig, Reaktionsmöglichkeiten zu haben, falls doch einmal ein Angriff die initiale Verteidigung durchdringt. Wie gut diese Lösungen mit der Abwehr- bzw. Schutztechnologie abgestimmt sind, entscheidet, wie schnell und effektiv Unternehmen auf moderne Angriffe reagieren können. Deshalb wird dieser Bereich in den nächsten Jahren zunehmend strategische Bedeutung erlangen.“ Roman Hugelshofer, Airlock

"Die Ergebnisse der Studie zeigen, dass die IT-Security-Themen auf Geschäftsleitungsebene angekommen sind. Das empfinden wir auch in Gesprächen mit unseren Kunden so. Mit 75 Prozent der Unternehmen, die eine Erhöhung des Security-Budgets planen, sollte auch eine Reduktion der Schäden durch Cyber-Angriffe möglich sein. Nun gilt es die Budgets richtig einzusetzen.<br />Es ist ein sehr positives Signal, dass Zero Trust bei 90 Prozent der Unternehmen ein Thema ist. Wichtig ist hier, dass der Zero Trust Gedanke auch auf neue Technologien wie Microservices angewendet werden muss."

Was aber tun, wenn selbst die großen DAX-Konzerne nicht genügend Security-Experten finden? Verstärkt Security-Spezialisten aus dem Ausland anzuwerben oder gar eine Neuauflage der Greencard würde die Lage nicht entspannen. Schließlich ist der Mangel an Experten für Cybersecurity ein weltweites Problem. Hart empfiehlt deshalb einen pragmatischen Ansatz: "Security-Abteilungen müssen ihre verfügbaren Ressourcen besser nutzen. Dies gelingt mit modernen Sicherheitstechnologien und Automatisierung." Indem solche Lösungen zum Beispiel das digitale Threat Monitoring stark vereinfachen, automatisieren und Abwehrmaßnahmen einleiten, entlasten sie die Mitarbeiter. Kein Mensch, so Hart, könne aus 2000 Sicherheitswarnungen pro Stunde die tatsächlichen Bedrohungen herausfiltern. Moderne Security-Systeme hingegen schaffen das. So behalten Security-Teams den Überblick und gewinnen Zeit, sich auf wichtige Aufgaben zu konzentrieren."

Fazit

Cybersecurity darf bei der digitalen Transformation - auch unter den erschwerten Bedingungen des Fachkräftemangels - nicht zu kurz kommen. Daher brauchen Unternehmen Strategien, wie sie mit ihren bestehenden Teams der wachsenden Bedrohungslage die Stirn bieten können. Weiterbildung ist eine wichtige Maßnahme, um Kompetenzen aufzubauen. Zusätzlich benötigen Security-Mitarbeiter Unterstützung durch intelligente Tools und Automatisierung. Wenn moderne Technologien, Security Best Practices und gesunder Menschenverstand zusammenwirken, lässt sich die Sicherheitslücke schließen, die durch den Fachkräftemangel entstanden ist.