Suchen

Unternehmen müssen mehr Cloud-Sicherheitsexperten schulen Sicherheit in der Cloud fängt bei den Mitarbeitern an

Autor / Redakteur: Dr. Adrian Davis* / Elke Witmer-Goßner

Europa ist in der Cloud-Thematik angekommen: Die EU plant in ihrer Digitalstrategie eine „Initiative für eine europäische Cloud“ und will diese bald vorstellen. Unternehmen sind einen Schritt weiter und Nutzen die Angebote von Amazon, Microsoft, Google und Co. schon längst.

Firma zum Thema

Die fortschreitende Digitalisierung eröffnet nicht nur den Unternehmen neue Wege in Produktion, Handel und Dienstleistung. Sie macht diese auch verwundbarer. Sicherheitsexperten sind daher gefragter denn je.
Die fortschreitende Digitalisierung eröffnet nicht nur den Unternehmen neue Wege in Produktion, Handel und Dienstleistung. Sie macht diese auch verwundbarer. Sicherheitsexperten sind daher gefragter denn je.
(Bild: Lassedesignen, Fotolia)

Cloud-Services haben den Nutzern die Vorteile der Rechnerwolken gezeigt und Unternehmen merken, wie sie ihre Kosten in der IT durch die Technologie reduzieren können. Durch OpenStack und weitere anpassbare Plattformen ist die Entwicklung soweit fortgeschritten, dass Unternehmen bereits eigene Clouds erstellen können.

Cloud Computing ist ein wachsender Zukunftsmarkt und wird einen immer höheren Stellenwert einnehmen. Dies zeigt eine aktuelle Studie von Frost & Sullivan, die im Auftrag von (ISC)2 durchgeführt wurde (Download-Möglichkeit am Ende dieses Artikels). 57 Prozent der fast 14.000 befragten IT-Sicherheitsexperten sehen Cloud Computing heute als eines der wichtigsten Zukunftsthemen. Egal, ob als Eigenbau oder als eingekaufter Service, Clouds werden den Datenaustausch und damit die IT-Welt verändern.

Der Trend zur eigenen Wolke birgt auch Risiken. Das neue Umfeld bietet Hackern neue Angriffsvektoren und Security-Experten können nicht auf Erfahrungen zu deren Schutz zurückgreifen. Die neue Technologie entwickelt sich nicht in einem Vakuum, sondern verbreitet sich in einer IT-Branche, die einen generellen Wandel der Gefahrenlandschaft erlebt. Durch die zunehmende Digitalisierung von gesellschaftlichen und wirtschaftlichen Prozessen steigt der Bedarf an IT-Sicherheitsspezialisten. Cyberkriminelle nutzen Advanced Persistant Threats (APT) und gezielte Spear-Phishing-Attacken, um in Netzwerke einzudringen. Malware und Schädlinge werden immer raffinierter und setzen Sicherheitsverantwortliche unter Druck.

Veränderungen nicht nur in der Technik

Unter diesen Umständen sind Sicherheitsexperten gefragter denn je zuvor. Die Bewegung hin zur Cloud lässt den Bedarf an Sicherheitsspezialisten gleich aus zwei Gründen weiter steigen: Einerseits gilt es neue Technologien, wie Clouds, in existierende Sicherheitskonzepte zu integrieren. Anderseits dürfen Unternehmen dabei das Heft nicht aus der Hand geben und müssen Schwachstellen vor den Hackern entdecken und schließen. Andernfalls werden Sicherheitsbeauftragte langfristig in Schwierigkeiten geraten und nur noch auf Angriffe reagieren können, anstatt sie effektiv zu bekämpfen.

Die Zahl der verfügbaren IT-Sicherheitsspezialisten schwindet und neue Mitarbeiter müssten erst in Unternehmensprozesse eingearbeitet werden, selbst wenn sie Know-how über Cloud-Technologie mitbringen. Die Best-Practice-Lösung ist daher eine Weiterbildung von eigenem Personal. Dadurch entstehen eine engere Bindung und ein gemeinsamer Mehrwert für Mitarbeiter und Unternehmen.

Für IT-Sicherheits-Experten sind die Angebote zur Weiterbildung und die Finanzierung von Sicherheitszertifizierungen die wichtigsten Initiativen bei der Wahl des Arbeitgebers. 59 Prozent gaben an, dass ihnen die Bezahlung von Sicherheitszertifikaten sehr wichtig ist. Die Entwicklung hin zur Cloud spiegelt sich ebenfalls in der Art der Weiterbildung wieder: immer mehr Mitarbeiter fragen nach Training und Weiterbildung im Bereich Cloud Computing. Dieser Bereich wird von 57 Prozent der Befragten am Häufigsten genannt, wenn es um Weiterbildungsmöglichkeiten in den nächsten drei Jahren geht.

Die Studie lässt einen klaren Schluss zu: Durch Zertifizierung und Fortbildung im Bereich Cloud-Security steigern Unternehmen ihre Attraktivität für Bewerber und erhöhen die Zufriedenheit ihrer Mitarbeiter. Gleichzeitig sichern sie ihre IT-Infrastruktur und die Nutzung der Cloud. Zertifikate erhöhen die Wertigkeit eines Unternehmens samt seiner erbrachten Leistungen und zeigen Kunden, Service Providern und Partnern die Kompetenz, die in einer Organisation steckt.

Für den Bereich Cloud Computing gibt es seit April die CCSP-Zertifizierung von (ISC)2: Die internationale Non-Profit Organisation hat das Zertifikat zusammen mit der Cyber Security Alliance (CSA) entwickelt, um die Nachfrage zu bedienen. Sie trägt den hohen fachlichen Anforderungen Rechnung, die an die Absicherung von Cloud Computing gestellt werden, und etabliert gleichzeitig einen internationalen Standard für professionelle Kenntnisse im Design, der Implementierung und Verwaltung von Cloud-Umgebungen. Es muss gewährleistet werden, dass Fachkräfte für Cloud-Sicherheit wirklich die nötigen Kenntnisse und Fähigkeiten besitzen, um Cloud-Infrastrukturen überprüfen, bewerten und absichern zu können. Die CCSP-Zertifizierung wendet sich an Fachleute, die für den Schutz von Unternehmensarchitekturen verantwortlich sind und dabei viel mit Cloud-Sicherheit zu tun haben.

Fazit

Dr. Adrian Davis, (ISC)2.
Dr. Adrian Davis, (ISC)2.
(Bild: (ISC)2)
Cloud Computing fordert von Fachleuten für Informationssicherheit den Erwerb neuer Kenntnisse und der Schulungsbedarf auf dem Gebiet ist groß. Wenn man sich den angespannten Arbeitsmarkt, die veränderte Bedrohungslandschaft und die Bedürfnisse von IT-Sicherheitspersonal anschaut, dann macht es für Organisationen Sinn, in Zertifizierungen zu investieren. Rechenleistung aus der Wolke ist eine zukunftsweisende Errungenschaft, die schon vielfach genutzt wird und sich noch weiter verbreiten wird. Es gibt aber erhebliche Sicherheitsrisiken; Angst vor Abhängigkeit und Bedenken gehen soweit, dass sich die Politik in das Thema einschaltet. Für Unternehmen geht es darum, die Informationssicherheit zu gewährleisten. Der beste Weg dazu ist es, in das eigene Know-how zu investieren und Angestellte durch zertifizieren zu lassen.* Der Autor, Dr. Adrian Davis, CISSP, ist Managing Director EMEA CISSP bei (ISC)2. Das „International Information System Security Certifikation Consortium“ (ISC)2 vergibt anerkannte Qualifizierungszertifikate zum SSCP (Systems Security Certified Practitioner) bzw. CISSP (Certified Information Systems Security Professional).

Artikelfiles und Artikellinks

(ID:43539629)