:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Neue Organisationsstrukturen für die IT-Sicherheit So bauen Sie ein schlagkräftiges Cybersecurity-Team auf
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Da der Mangel an qualifizierten IT-Fachkräften in Deutschland weiter zunimmt und dieser sich laut einer Studie der Boston Consulting Group bis 2030 auf 1,1 Millionen fehlende Expert*innen in diesem Bereich belaufen wird, wird es immer wichtiger, alternative Lösungen für dieses Problem zu finden. Ein Ende dieser anhaltend herausfordernden Situation ist also nicht in Sicht.
Unternehmen, denen es nicht gelingt, ihre offenen Stellen zu besetzen, werden höchstwahrscheinlich auf Schwierigkeiten stoßen. Am Ende könnte es sogar sein, dass die Digitalisierung als Ganzes in Deutschland nicht in dem Maße voranschreitet, wie es theoretisch möglich wäre. Fest steht: IT-Spezialist*innen, wie Software Engineers, Entwickler*innen, Berater*innen und Sicherheitsspezialist*innen sind gefragter als je zuvor.
Für ein Unternehmen, das auf der Suche nach solchen Expert*innen ist, hat dies ganz konkrete Auswirkungen: Eine unbesetzte Stelle kostet durchschnittlich 29.000 Euro. Aber die Konsequenzen können noch weitreichender sein: Stehen Cyber-Security Abteilungen bspw. nicht das nötige Personal und Fachwissen zur Verfügung, um die ständig zunehmende Zahl von Cyber-Angriffen zu bewältigen, läuft die Organisation Gefahr, erheblichen Schaden zu erleiden, der möglicherweise zu Einschränkungen der Betriebsfähigkeit führen kann.
Doch welche Optionen haben Unternehmen nun, anstatt verzweifelt um die wenigen verfügbaren Talente zu konkurrieren und auf das Beste zu hoffen? Outsourcing oder der Einsatz von Zeitarbeitskräften zur Besetzung der offenen Stellen könnten zwar mögliche Strategien sein, lösen das Problem – wenn überhaupt – nur vorübergehend. Konkret empfehle ich Unternehmen, ihre Suchkriterien bei der Suche nach neuen Mitarbeiter*innen grundlegend anzupassen.
Als Director of Privacy and Security bei Vinted sammelte ich umfassende Erfahrung darin, ein vielfältiges Cyber Security Team von Grund auf aufzubauen. Nachfolgend erläutere ich, wie man erfolgreich ein gut funktionierendes Team innerhalb kurzer Zeit in einem stark skalierenden Umfeld etabliert, das sich an das kontinuierlich verändernde Feld von Security und Privacy optimal anpassen kann.
Aufbau einer soliden Teamstruktur
Innerhalb von zweieinhalb Jahren wuchs mein Team von einer einzigen Person auf 35 Mitarbeiter*innen. Dies erforderte in erster Linie Planung, Struktur und Engagement. Zunächst beschlossen wir, die Abteilung in zwei Bereiche aufzuteilen: Security Governance und Security Engineering. Das war bis dato keine übliche Taktik in diesem Bereich. Wir gingen allerdings davon aus, dass wir perspektivisch weiter wachsen würden; darauf wollten wir vorbereitet sein, bevor es zu spät war, die notwendigen strukturellen Anpassungen vorzunehmen. Zahlreiche neue Mitarbeiter*innen einzustellen, die sich hauptsächlich mit Richtlinien, Verfahren und Anforderungen befassen, bedeutet, dass Teammitglieder hinzukommen, deren Kompetenzen nicht zwangsläufig ein umfassendes Verständnis moderner Technologien beinhalten. Durch die zusätzliche Einstellung von Engineering Expert*innen, die sich hauptsächlich mit den technischen Lösungen befassen, konnten wir die unterschiedlichen Fähigkeiten unserer Mitarbeiter*innen entsprechend den differenzierten spezifischen Aufgaben einsetzen. Die gleiche Vorgehensweise haben wir auch im Bereich Datenschutz angewandt.
Als der Kern der Abteilung eingerichtet wurde, führten wir neue Funktionen wie Assurance, Risk Management und Business Continuity ein – Disziplinen, die es vorher in dieser Form nicht gab. Wir sahen, dass der Bereich der Sicherheit und des Datenschutzes drastisch an Bedeutung gewann und dadurch die Notwendigkeit, aussagekräftige und nachvollziehbare Entscheidungen zu treffen, wichtiger denn je wurde. Als das Unternehmen weiter expandierte, etablierten wir eine noch umfassendere Organisationsstruktur, um unser Ziel zu erreichen, eine grundlegend innovative Abteilung für Sicherheit und Datenschutz im Segment der Online-Marktplätze zu schaffen. Vor allem möchten wir aber sicherstellen, dass unsere Nutzer*innen sich keine Sorgen über etwaige Risiken machen müssen, wenn sie uns ihre Daten anvertrauen.
Diversität am Arbeitsplatz fördert Innovation
Bei der Suche nach neuen Mitarbeiter*innen kann es sein, dass der ausschließliche Fokus auf hochqualifizierte IT-Spezialist*innen nicht den gewünschten Erfolg bringt. Im Folgenden gehe ich auf zwei Beispiele ein, die deutlich machen, wann anderweitige Fähigkeiten von entscheidendem Wert sind:
Das erste Beispiel bezieht sich auf den Bereich Risk Management, bei dem sich die Teammitglieder mit sogenannten “bekannten Unbekannten” und “unbekannten Unbekannten” auseinandersetzen müssen. Bei einer bekannten Unbekannten hat man es mit Ereignissen zu tun, die man so oder so ähnlich schon mal gesehen hat und deren Verlauf man bis zu einem gewissen Grad vorhersagen kann; jedoch weiß man nicht mit absoluter Sicherheit, ob sie tatsächlich genau so eintreten. Eine unbekannte Unbekannte ist etwas, das man nicht einmal annähernd vorhersehen kann, mit dem man sich aber trotzdem zwangsläufig auseinandersetzen muss.
Hier kommen die Methoden des Risk Managements ins Spiel. Die verantwortlichen Teammitglieder sollten in der Lage sein, stichhaltige Vorhersagen zu treffen, logische Schlussfolgerungen zu ziehen und dabei fortwährend die potenziellen Risiken im Auge zu behalten. Für diese herausfordernde Aufgabe ist ein breites Spektrum an Fähigkeiten erforderlich. Die universitäre Lehre fokussiert sich jetzt mehr und mehr auf diesen Bereich und bildet zunehmend mehr Absolvent*innen aus, die fähig sind, solche Aufgaben zu bewältigen. Da die Absolvent*innen jedoch neu in diesem Bereich sind, verfügen sie noch nicht über ausreichende praktische Erfahrungen, sondern hauptsächlich über theoretisches Wissen. Deshalb arbeiten wir mit verschiedenen Universitäten zusammen, um den Ausbildungsprozess so weit wie möglich zu unterstützen und die Kompetenzen für dieses wachsende Fachgebiet mitzugestalten. In der Zwischenzeit haben wir festgestellt, dass insbesondere nicht spezialisierte Expert*innen, zum Beispiel Psycholog*innen, Pädagog*innen, Designer*innen, Marketing- oder Wirtschaftsfachkräfte, meine Abteilung auf vielen verschiedenen Ebenen enorm bereichern. Designer*innen und Marketingexpert*innen spielen beispielsweise eine wichtige Rolle dabei, die Kluft zwischen dem Bereich Security und den betriebswirtschaftlichen Abteilungen zu überbrücken, weil sie in der Lage sind, in der notwendigen Fachsprache zu kommunizieren, die unter anderem Punkte wie Metriken, KPIs, Business Cases und Return on Investment beinhaltet. Der Hauptgrund für diesen Ansatz: Wenn das Security Team das Business Team versteht und umgekehrt, erreichen wir einen Punkt, an dem ein großes Potenzial freigesetzt wird.
Eine Sache sollte an dieser Stelle klar sein: Risk Management, Assurance und Business Continuity sind Bereiche, die aufgrund der sich ständig ändernden Herausforderungen, mit denen diese Teams konfrontiert sind, eine Vielzahl von Kenntnissen und Fähigkeiten erfordern. Der Schlüssel zum Erfolg liegt im Recruiting von Mitarbeiter*innen, die über ein breites Spektrum an Erfahrungen und Fachkenntnissen verfügen.
Ein weiteres Beispiel sind unsere Awareness-Expert*innen: Sie sind zumeist ehemalige Lehrer*innen und Psycholog*innen und deshalb in der Lage, komplexe Informationen präzise und verständlich zu vermitteln. Diese Qualifikationen sind elementar, um intern ein ausreichendes Bewusstsein für die ständigen Bedrohungen und Herausforderungen durch externe Attacken zu schaffen. Diese hochqualifizierten Kommunikator*innen arbeiten dabei eng mit den Security Engineers zusammen, die ihrerseits ein tiefes Verständnis für die technischen Aspekte der Materie haben.
Ein drittes wichtiges Beispiel ist das Vulnerability Management, d. h. das Erkennen und Managen von Software-Schwachstellen. Für diese Aufgabe sind Personen mit guten Kenntnissen im Stakeholder-Management gefragt. Idealerweise verfügt das dafür zuständige Personal über die Fähigkeit, ein funktionierendes System zu schaffen, das diese Schwachstellen effizient strukturiert und nach Prioritäten ordnet. Jemand mit einem betriebswirtschaftlichen Hintergrund weiß, wie solch ein System funktioniert und wäre zum Beispiel optimal für diese Aufgabe. Beim Vulnerability Management arbeiten wir nicht individuell, sondern meist in Gruppen daran, jene Schwachstellen zu bekämpfen, die uns von den Teams übermittelt wurden, die die Sicherheitstests durchführen. Dabei spielen kaum messbare Faktoren eine bedeutende Rolle, die wir aber dennoch brauchen, um aussagekräftige Entscheidungen treffen zu können. Je vielfältiger die Expertise in der verantwortlichen Gruppe ist, desto besser.
Fazit
Der Fachkräftemangel macht es zwar notwendig, nach alternativen Quellen zu suchen, aus denen man kompetente neue Mitarbeiter*innen rekrutieren kann, aber ein vielfältiges Team anzustreben ist etwas, das ich generell empfehle. Meiner Meinung nach entsteht wahre Innovation erst dann, wenn man eine Gruppe von Menschen mit unterschiedlichen Fähigkeiten und voneinander abweichenden beruflichen Hintergründen zusammenbringt. Die Teamstruktur entscheidet schlussendlich, ob ein Projekt erfolgreich wird. Dabei sollten die vielfältigen Fähigkeiten und Talente der Angestellten so fusioniert werden, dass sich die technischen Kompetenzen mit vermeintlichen Soft Skills ergänzen.
Das Ziel von Führungskräften von Security und Privacy Teams sollte sein, ein Team aufzubauen, das in der Lage ist, das Unternehmen umgehend zu unterstützen und gleichzeitig mittel- bis langfristig innovative Konzepte zu realisieren. Dabei darf eines nicht vergessen werden: Es kommt eben nicht einzig und allein auf die technischen Aspekte an, sondern vor allem auf ein breites Verständnis für den Bereich der Sicherheit sowie die Effekte auf und die Verknüpfungen mit den anderen Abteilungen des Unternehmens.
Über den Autor: Tomas Martinkenas ist Director of Security and Privacy bei Vinted, dem größten C2C Marktplatz für secondhand Mode in Europa. Er verfügt über langjährige Erfahrung, Cyber Security Teams strategisch aufzubauen und zu managen.
(ID:49219638)
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/b6/d6b6d8ae294bb8b8833be00b155b3fe1/0109366079.jpeg "CISOs jonglieren nicht nur mit technischen Herausforderungen, sondern auch mit geschäftlichen Verantwortlichkeiten. (Bild: olly - stock.adobe.com)")