:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
CISOs und ihr Security-Team Wie findet und bindet man Security-Experten?
Wenn man die größten Risiken für die IT-Security auflistet, sollte man den Fachkräftemangel nicht vergessen. CISOs müssen es schaffen, mehr Mitarbeiterinnen und Mitarbeiter zu finden und dann das eigene Security-Team an das Unternehmen zu binden. Damit das gelingt, muss man verstehen, dass sich der Security-Fachkräftemangel von dem allgemeinen IT-Fachkräftemangel unterscheidet.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/55/62559fd04668d/delltech-logo-prm-blue-rgb.png "delltech-logo-prm-blue-rgb (Dell Technologies)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Zugegeben, es hilft nicht viel, wenn man sich immer wieder die Zahlen der offenen Stellen in der IT und insbesondere in der Security ansieht, alleine davon werden die Lücken im Security-Team nicht geschlossen. Aber es ist wichtig, sich die Gründe für diese Lücken im IT-Sicherheitspersonal anzusehen. Tatsächlich ist der Fachkräftemangel in der Security eines der größten Risiken überhaupt, trotz aller Automatisierung und Künstlichen Intelligenz. Genau wie bei anderen kritischen Sicherheitslücken auch, muss man sich als CISO fragen, wie man die Lücken im Security-Team schließen und in Zukunft besser vermeiden kann. Leider gibt es kein Patchmanagement dafür, wie man es gerne hätte.
Stattdessen sollte man sich klarmachen, dass die Maßnahmen gegen den IT-Fachkräftemangel nicht reichen, um den Security-Fachkräftemangel zu beheben. Es müssen weitere, spezielle Maßnahmen getroffen werden, nicht nur, weil die Security-Fachkräfte spezielles Wissen benötigen, sondern weil sie im gewissen Maße anders sind oder anders im Unternehmen behandelt werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1570700/1570709/original.jpg "Die Probleme in der IT-Sicherheit werden nicht weniger und die Belastungen für Security-Verantwortliche werden immer größer. (gemeinfrei)")
CISOs sind hohen Belastungen ausgesetzt
Die größten Belastungen für Security-Verantwortliche
Beispiel Künstliche Intelligenz
Bekanntlich wird Künstliche Intelligenz (KI) in der Security immer wichtiger, auch als Hilfe gegen den Fachkräftemangel. Damit erlangen aber auch KI-Kenntnisse und -Fähigkeiten bei den Security-Experten eine größere Bedeutung.
KI-Experten sind auch in anderen IT- und Unternehmensbereichen gefragt. Auf KI-Konferenzen wie der CyberSec & AI 2019 in Prag wird sehr deutlich, dass die meisten Experten, die KI-Wissen haben, lieber in anderen Bereichen arbeiten, wo KI benötigt wird. Ein Grund wird darin gesehen, dass KI in der Security nicht zum Beispiel das schönste Gesicht simuliert, das in der Werbung genutzt werden sollte, sondern versucht, Angreifer aufzuspüren, ähnlich wie in der Medizin, wo es zum Beispiel gilt, Hautkrebs zu erkennen.
Gespräche auf KI-Konferenzen zeigen, dass viele KI-Experten die Security-Themen weniger spannend finden. Als CISO ist man dann erstaunt, aber man muss damit rechnen und umgehen, dass andere die Begeisterung für Security nicht teilen. Damit hängt ein anderes Problem zusammen, das sowohl das Finden von Mitarbeiterinnen und Mitarbeitern erschwert als auch die Bindung der Security-Experten.
:quality(80)/images.vogel.de/vogelonline/bdb/1548100/1548118/original.jpg "IT-Sicherheitsverantwortliche können durch die Automatisierung von alltäglichen Routine- und zeitintensiven Aufgaben für Entlastung bei den Security-Teams sorgen. (gemeinfrei)")
Probleme in der Sicherheitsbranche
Automatisierung löst den Security-Fachkräftemangel
Security-Erfolge lassen sich nicht direkt sehen
Sowohl mögliche, neue Beschäftigte als auch die bestehenden Team-Mitglieder wollen lieber in einer erfolgreichen Abteilung arbeiten. Während man in vielen anderen Bereichen sofort Erfolge positiv sehen kann, sind es bei Security oftmals Erfolge, dass man nichts Negatives erkennt.
Zudem werden die Erfolge der Security nicht oder nicht richtig gemessen. Das Messen und Sichtbarmachen der Erfolge ihrer Arbeit stellt CISOs und Security-Verantwortliche vor große Herausforderungen, wie eine aktuelle Befragung des PAM-Anbieters Thycotic zeigt. Obwohl fast 90 Prozent der IT-Sicherheitsexperten eine Reihe von Key Performance Indicators (KPIs) verfolgen, fällt es mehr als der Hälfte von ihnen (52%) nach wie vor schwer, ihre Sicherheitsinitiativen an den Gesamtzielen des Unternehmens auszurichten. Das liegt unter anderem daran, dass rund zwei Fünftel der Befragten die Geschäftsziele nicht kennen (43%) bzw. nicht gänzlich verstehen (36%).
Wer also seine Security-Metriken optimiert, tut auch gleich etwas für die Mitarbeiterbindung und Mitarbeitersuche, denn Security-Erfolge lassen sich so sichtbarer machen.
:quality(80)/images.vogel.de/vogelonline/bdb/1557500/1557531/original.jpg "Cyber-Bedrohungen und Compliance-Anforderungen setzen Security-Entscheider zunehmend unter hohen Stress. (gemeinfrei)")
Symantec Seurity-Studie
IT-Sicherheit überfordert Security-Entscheider
Security-Experten müssen entlastet werden
Gerade für die Mitarbeiterbindung ist es wichtig, den (teilweise unnötigen) Druck auf die Security-Experten zu verringern. Aktuelle Symantec-Umfragen zeigen: Jeder zweite Security-Experte in Deutschland gibt an, dass seine Teams zu viele Tagesaufgaben übernehmen müssen, um wichtige Kompetenzen weiter auszubauen (51 Prozent).
Interessanterweise führt sogar ein erlebter IT-Sicherheitsvorfall zu einem Stressabbau: Die Studie „Alarmstufe Rot“ von Symantec besagt, dass Erfahrungen mit Cyber-Security-Vorfällen positive Auswirkungen auf Cyber-Security-Experten haben. Langfristig bedeutet diese „gelebte Erfahrung“ weniger Stress und eine höhere Bereitschaft, das Wissen über erfolgreich angewendete Angriffsmethoden der Cyberkriminellen mit dem Team zu teilen.
Bei Cyber-Security-Experten, die bereits einen vermeidbaren Sicherheitsvorfall erlebt haben, ist es:
- 24 Prozent weniger wahrscheinlich, dass sie das Gefühl haben, "ausgebrannt" zu sein.
- 20 Prozent weniger wahrscheinlich, dass sie gegenüber ihrer Arbeit Gleichgültigkeit empfinden.
- 15 Prozent weniger wahrscheinlich, dass sie sich persönlich für einen Vorfall verantwortlich fühlen, der hätte vermieden werden können.
- 14 Prozent weniger wahrscheinlich, dass sie sich ständig "zum Scheitern verurteilt" fühlen.
- 14 Prozent eher wahrscheinlich, dass sie ihre Lernerfolge teilen.
- 14 Prozent weniger wahrscheinlich, dass sie darüber nachdenken, ihren Job zu kündigen.
Junge Fachleute ticken anders
Wer neue Mitarbeiterinnen und Mitarbeiter an Bord holt, muss auch damit rechnen, dass sie eine andere Vorstellung von Security haben und entsprechend anders sensibilisiert werden müssen, als dies früher der Fall war. Der Risk:Value 2019 Report von NTT ergab zum Beispiel:
Unter 30-Jährige sind eher bereit, Lösegeld nach einer Ransomware-Attacke an einen Hacker zu zahlen (39 Prozent) als über 30-Jährige (30 Prozent).
Jüngere Arbeitnehmer sind aufgeschlossener hinsichtlich der Nutzung privater Geräte am Arbeitsplatz und betrachten sie weniger als ein Sicherheitsrisiko (71 Prozent) als ältere Arbeitnehmer (79 Prozent)
81 Prozent der unter 30-Jährigen glauben, dass Cybersicherheit als Thema auf der Agenda des Management-Boards stehen sollte, verglichen mit 85 Prozent bei den über 30-Jährigen.
Bei den Schulungen für Security sollte also auch an das Alter der Zielgruppe gedacht werden, damit diese die Security „ernster“ nehmen.
:quality(80)/images.vogel.de/vogelonline/bdb/1364800/1364800/original.jpg "Die Nachfrage nach Cybersecurity-Experten steigt schneller steigt als das interne Personalangebot in Unternehmen diese erfüllen kann. (Capgemini)")
Capgemini-Studie
Fachkräftemangel bei Security-Experten am größten
Security fordert bestimmte Persönlichkeitsmerkmale
Bei der Suche nach neuen Mitarbeitern sollte man als CISO zudem daran denken, dass Wissen alleine für Security nicht reicht. Man könnte fast sagen, man muss dafür geboren sein, um damit glücklich (und erfolgreich) zu werden.
Hogan Assessments, ein Anbieter von Persönlichkeitstests, hat IT- und Cybersicherheitsfirmen bei der Einstellung von Mitarbeitern unterstützt. Die Tests von Hogan konnten mehrere Persönlichkeitsmerkmale identifizieren, die für eine erfolgreiche Karriere im Bereich Cybersecurity von Vorteil sind. Einige Beispiele:
Bescheiden sein: Diejenigen, die dazu neigen, sich in Sachen Cybersicherheit hervorzuheben, vermeiden in der Regel das Rampenlicht. Ein erfolgreicher Mitarbeiter im Bereich Cybersecurity ist nicht egoistisch oder ruhmsüchtig, sondern bevorzugt einen zurückhaltenden Lebensstil.
Gelassen sein: Die Unternehmenssysteme, die sie vor Angriffen schützen sollen, sind ständig Bedrohungen ausgesetzt. Mitarbeiter im Bereich Cybersecurity sollten ein Dringlichkeitsbewusstsein haben, während es gleichzeitig wichtig ist, dass sie im Falle von Cyberbedrohungen ruhig bleiben können. Unnötige Gefühlsausbrüche unter erhöhtem Druck können kontraproduktiv sein und von wirklich wichtigen Dingen ablenken.
Empfänglich sein: In der Cybersecurity kann schnell etwas schieflaufen und möglicherweise wird man für Verstöße verantwortlich gemacht, an denen man nicht schuld war. Es ist deshalb für einen Cybersicherheitsmitarbeiter äußerst wichtig, dass er für Kritik offen und empfänglich ist und es vermeidet, passiv-aggressiv zu reagieren.
Gewissenhaft sein: Wenn hoher Arbeitsdruck besteht und die Sicherheit des Unternehmens gefährdet ist, muss ein erfolgreicher Kandidat detailorientiert sein und immer auf die Fertigstellung von Projekten drängen. Eine kleine Unachtsamkeit kann zu Cyberangriffen führen, weswegen Cyberexperten jedes Detail überprüfen müssen. Ergebnisorientierung und den Willen etwas bewegen zu wollen, sind von entscheidendem Vorteil.
:quality(80)/images.vogel.de/vogelonline/bdb/1384800/1384831/original.jpg "Für 62 Prozent der Befragten bei der SANS-Umfrage \"Cyber Threat Intelligence 2018\" ist das Fehlen von Fachleuten das größte Hemmnis für CTI-Projekte in Unternehmen. (SANS Institute)")
SANS Cyber Threat Intelligence Studie 2018
Bedrohungserkennung und der Fachkräftemangel
Die Mühe um Security-Experten rechnet sich
Die besondere Bemühung um Security-Fachleute mag aufwendig erscheinen, aber sie ist notwendig und macht sich bemerkbar:
60 Prozent der befragten Unternehmen aus Deutschland sind der Meinung, dass gutes Fachpersonal im Bereich Cybersicherheit die Widerstandsfähigkeit gegen Angriffe erhöht (IBM-Ponemon Studie „The 2019 Cyber Resilient Organization“).
Mit der Einführung eines internen IT-Sicherheitsteams lassen sich die durchschnittlichen Kosten eines
Cybersicherheitsvorfalles deutlich reduzieren: So schätzen Unternehmen, die über ein internes Security Operation Center (SOC) verfügen, die finanziellen Auswirkungen eines Cyberangriffs mit 675.000 US-Dollar signifikant geringer ein als Unternehmen ohne SOCs (1,41 Millionen US-Dollar). („IT Security Economics Report“ von Kaspersky)
CISOs brauchen deshalb eine spezielle Sicherheitsstrategie, auch bei der Suche nach und Bindung von Security-Experten. Die Personalabteilung sollte deshalb durch den CISO gezielt unterstützt werden, Security-Leute zu suchen ist anders als IT-Leute zu umwerben.
(ID:46270663)
:quality(80)/p7i.vogel.de/wcms/e7/98/e798f2b43c4dbd4ae43ed40ba73209cc/0107757697.jpeg "Im Zuge des European Cybersecurity Month (ECSM) sollten Unternehmen ihr Bewusstsein für Lücken in ihrem Security-Konzept schärfen. (Bild: ©tuan_azizi-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/2e/332e1a72017ebafb653291c828402e1c/0110871618.jpeg "Gartner-Forschungsergebnisse zeigen, dass bis 2025 50 Prozent der Führungskräfte im Bereich Cybersicherheit erfolglos versucht haben werden, die Quantifizierung von Cyber-Risiken für die Entscheidungsfindung im Unternehmen zu nutzen. (Bild: kamrul.gfxd - stock.adobe.com)")