Suchen

Probleme in der Sicherheitsbranche Automatisierung löst den Security-Fachkräftemangel

Autor / Redakteur: Rainer Rehm / Peter Schmitz

Die Sicherheitsbranche hat seit Jahren damit zu kämpfen, dass einerseits immer mehr und immer komplexere Aufgaben zu bewältigen sind, weil die Bedrohungslage sich stetig verändert und andererseits die Personaldecke nicht mitwächst. Ein möglicher Lösungsweg ist die Automatisierung von alltäglichen Routine- und zeitintensiven Aufgaben.

Firmen zum Thema

IT-Sicherheits­verant­wort­liche können durch die Automatisierung von alltäglichen Routine- und zeitintensiven Aufgaben für Entlastung bei den Security-Teams sorgen.
IT-Sicherheits­verant­wort­liche können durch die Automatisierung von alltäglichen Routine- und zeitintensiven Aufgaben für Entlastung bei den Security-Teams sorgen.
(Bild: gemeinfrei)

Fast drei Millionen Fachleute im Bereich IT-Security werden den Unternehmen weltweit in den nächsten Jahren fehlen. In der Region Europa, Naher Osten und Afrika umfasst diese Lücke momentan 142.000 Experten, die meisten werden in Asien gesucht. Diese Zahlen sind das Ergebnis einer Umfrage unter 1.500 Mitgliedern der (ISC)2, der weltweit größten Zertifizierungsorganisation für Informationssicherheit. Die Cybersecurity Workforce Study von 2018 zeigt außerdem, dass weltweit 59 Prozent der Unternehmen vergeblich nach neuen Kollegen suchen. Gefragt sind vor allem Experten für die Bereiche Security Awareness (58 Prozent), Risiko Assessment, Analysis und Management (58 Prozent), Security Administration (53 Prozent), Network Monitoring (52 Prozent) und Incident Investigation & Response (52 Prozent). Zukünftig erwarten die Befragten darüber hinaus, dass die Aufgaben im Bereich Cloud Security, Penetration Testing, Threat Intelligence Analysis und Forensik an Bedeutung gewinnen werden und dementsprechend auch viel Arbeitszeit darauf entfallen wird. Andere eher administrative Tätigkeiten, die im Fokus stehen, sind GRC (Governance Risk und Compliance Management), das Risiko Assessment und deren Analyse.

Außerdem muss das Konzept „Security by Design“ bereits bei der ersten Produktidee der Dienste/Produkte berücksichtigt werden. Das in der Vergangenheit praktizierte nachträgliche Hinzufügen von Security-Maßnahmen ist bekanntermaßen nicht ausreichend erfolgreich gewesen. Nicht nur beim späteren Einsatz im Unternehmen, sondern bereits bei der Entwicklung von Soft- und Hardware müssen Security-Maßnahmen, unter anderem sicheres Coding, Verschlüsselung der Daten und Zugriffskontrollen (Rollen- & Rechtekonzept) in die Prozesse und Produkte implementiert werden.

Verschärfung des Fachkräftemangels

Die Sicherheitsbranche hat seit Jahren damit zu kämpfen, dass einerseits immer mehr Aufgaben auf sie zukommt, weil die Bedrohungslage sich stetig verändert und andererseits die Personaldecke nicht mitwächst. Die prekäre Situation verschärft sich dadurch, dass zusätzlich die Ausgaben für IT seit Jahren wachsen. Gartner prognostiziert in seiner neuesten Studie, dass sie sich dieses Jahr weltweit auf 3,7 Billionen US-Dollar belaufen werden, dass sind 4,5 Prozent mehr als im Vorjahr. Dies wirft noch ein weiteres Problem auf, denn die zusätzliche IT muss natürlich auch abgesichert werden.

Fachkräfte kämpfen demnach nicht nur gegen den unbekannten Angreifer von außen, sondern oft auch mit dem Verwaltungsaufwand dieses stetigen IT-Wachstums im Inneren. Von der natürlichen Entwicklung von Schatten-IT ganz zu Schweigen, entsteht ein immer größerer Berg an zu administrierender Soft- und Hardware. Darüber hinaus müssen Unternehmen einen Wildwuchs an darauf zugreifenden Geräten Herr werden und Konzepte von BYOD bis zur Consumerization of IT aus Security Sicht aufsetzen und gegen alle Widerstände auch durchsetzen. Die Felder DevSecOps und MicroServices treten außerdem noch hinzu und müssen ebenfalls in bestehende Security-Strategien eingebunden werden.

Hierfür bedarf es jedoch nicht nur der teuren Expertise externer Berater, sondern auch interner Ressourcen. Beispielsweise sind Spezialisten aus dem Mobile Security-, Cloud Security- oder aber Kryptographie-Umfeld nötig, um die Anforderungen zu bewältigen. Dieses Fachwissen muss in Fort- und Weiterbildungen erlangt werden, jedoch fehlen die Experten dem Unternehmen, während sie auf dem Lehrgang sind. Der hohe Grad an Spezialisierung macht es den Unternehmen im Kampf um die besten Köpfe auf einem praktisch leer gefegten Markt ebenfalls nicht einfacher, die richtigen Mitarbeiter zu engagieren.

Lösungsansatz Automatisierung

Viele der täglichen Aufgaben der IT-Sicherheit lassen sich automatisieren und genau darin liegt eine Chance, um eine Milderung des Fachkräftemangels zu erreichen. Patch-Management, die Verwaltung von digitalen Maschinenidentitäten, Richtlinien-Management oder Passwort-Manager sind nur einige Beispiele dafür. Doch nicht nur die Gesamtheit der IT im Allgemeinen und die Administration der IT-Sicherheitslösungen im Speziellen sind Aufgaben, bei denen Automatisierung die IT-Sicherheitsexperten unterstützen kann. Auch die Vielzahl der Security-Anbieter vergrößert den Fortbildungs- und Administrationsaufwand. Oft ist Handarbeit erforderlich die aufgrund des zeitlichen Versatzes kritische Sicherheitslücken öffnet, beispielsweise um die unterschiedlichen Protokolle und Betriebssysteme, auf denen die Security-Lösungen implementiert sind, zu warten und die dortigen Informationen miteinander in Einklang zu bringen. Automatisierung sollte darüber hinaus mit Echtzeit-Informationen über die Sicherheitslage des Unternehmens einhergehen.

Damit die verschiedenen Systeme intelligent zusammenspielen und die Automatisierung gelingt, müssen sich verschiedene Security-Lösungen herstellerübergreifend miteinander kommunizieren. Ein Beispiel: Eine Security-Lösung, die den Internet-Zugang überwacht, stellt fest, dass ein Client mit einem Botnet infiziert ist. Im Idealfall wird diese Information an die Client-Software weitergegeben, die dann automatisch die Beseitigung des Schadcodes anstößt. Durch ein solches Zusammenwirken kann der manuelle Aufwand für IT-Sicherheit reduziert werden und die Security-Abteilung erfährt dadurch die Entlastung. Damit können sich die IT-Experten auf Aufgaben konzentrieren, die notwendig sind um den Schutz der Unternehmens-Assets angesichts der modernen Bedrohungslandschaft zu steigern, wie beispielsweise Forensik, Ursachenforschung oder das Threat Hunting.

Fazit

Der Fachkräftemangel ist ein kritisches Element der zunehmend komplizierter werdenden IT-Welt. IT-Sicherheitsverantwortliche müssen an mehreren Baustellen schrauben, um Unternehmen gegen aktuelle Cyber-Bedrohungen zu schützen. Eine Möglichkeit hier zumindest für Entlastung zu sorgen, ist die Automatisierung von alltäglichen Routine- und zeitintensiven Aufgaben.

Über den Autor: Rainer Rehm ist Data Privacy Officer EMEA bei Zscaler und Präsident des (ISC)2 Chapter Germany e.V.

(ID:45857754)