Was verursacht das Qualifikationsdefizit im Bereich Cybersicherheit?

Die Hauptgründe dafür, dass die Einstellung von Sicherheitsexperten nach wie vor eine Herausforderung darstellt, sind der multidisziplinäre Charakter der Sicherheit im Allgemeinen und der Mangel an Cloud-Fähigkeiten auf dem Markt im Speziellen. Unser Experte erläutert seine Sichtweise, warum die Lücke weiterhin besteht und wie die nächste Generation von Sicherheitstalenten identifiziert und gefördert werden kann.

Es kommt selten vor, dass zwei Programmiergenies wie im Film bequem von ihren Arbeitsplätzen aus im direkten Cyberkampf gegeneinander antreten. (Obwohl das durchaus gelegentlich geschieht.)

Cybersicherheit im Zeitalter der Cloud hat eigentlich eine elegante Einfachheit – zumindest in der Theorie. In der Realität ist Cybersicherheit eine Verwaltungsfunktion, die die Vertraulichkeit, Integrität und Verfügbarkeit (CIA) der Daten eines Unternehmens schützt, indem sie Richtlinien entwickelt, kommuniziert und verfeinert. So wird festgelegt, wie Technologie genutzt und auf sie zugegriffen wird.

Wenn diese Richtlinien gut funktionieren, verhindern sie, dass die Cyberrisiken in einem Szenario enden, wie wir es aus Hollywood-Filmen kennen. Dazu stellen sie sicher, dass es nicht zu Abstrichen kommt, wenn die Organisation beispielsweise kürzere Produkt-Releasezyklen oder effizientere Remote-Arbeit anstrebt.

Das Verständnis dafür ist entscheidend, um die Art des viel diskutierten Qualifikationsdefizits im Bereich Cybersicherheit zu verstehen, der den IT-Führungskräften nach wie vor Sorge bereitet.

Dieser Talentmangel ist keine neue Herausforderung. Da aber immer noch 43 % der Organisationen angeben, dass der Wettstreit um Sicherheitstalente es schwierig macht, Mitarbeiter einzustellen und zu binden, ist es an der Zeit, dass wir das Qualifikationsdefizit im Bereich Cybersicherheit von einem anderen Blickwinkel aus angehen.

43 % aller Unternehmen geben an, dass der Wettstreit um Sicherheitstalente es schwierig macht, Mitarbeiter einzustellen und zu binden.

Warum das Qualifikationsdefizit im Bereich Cybersicherheit existiert – und fortbesteht

Das Qualifikationsdefizit im Bereich der Cybersicherheit existiert und besteht weiterhin, weil die von den Unternehmen gesuchten Qualifikationen facettenreich und sehr gefragt sind und über das technische Fachwissen hinausgehen. Von der physischen Sicherheit bis hin zur Erstellung und Implementierung von Richtlinien sowie den Herausforderungen, die mit dem Personalmanagement einhergehen: Die Sicherung von Daten geht weit über technische Fähigkeiten hinaus.

Während sich die Technologie verändert, sind die Menschen gleich geblieben. Als Hauptinstrument für das Personalmanagement dienen Richtlinien. Bedeutende Sicherheitsverletzungen werden durchgängig häufiger durch menschliches Versagen (Nichteinhaltung geeigneter Richtlinien zur Systemhärtung) oder Böswilligkeit (absichtliche Nutzung eines bestehenden erweiterten Zugangs als Mitarbeiter, um die CIA zu beeinträchtigen) verursacht und nicht aufgrund eines einmaligen technischen Fehlers. Ein solches Beispiel und eine der größten Sicherheitsverletzungen in der jüngeren Geschichte war der Experian-Hack vor einigen Jahren, bei dem die personenbezogenen Daten von über 143 Millionen Amerikanern preisgegeben wurden, da die Server drei oder vier Monate lang nicht gepatcht wurden. Dies ist zwar ein technischer Fehler, aber die Apache Foundation hatte bereits einen Fix veröffentlicht, der leicht hätte implementiert werden können. Der Hack wäre zudem vermeidbar gewesen, wenn die IT-Richtlinie des Unternehmens kürzere Patching-Intervalle vorgeschrieben hätte.  

Da immer wieder neue Technologien online gehen, besteht ein konstanter Bedarf an Nachschulung und Pflege der technischen Fähigkeiten eines Teams. Um mit dem schnellen Tempo des Wandels Schritt halten zu können, sind Techniker in der Regel in ihren Fachgebieten stark spezialisiert und konzentrieren sich auf ein oder zwei technische Disziplinen wie spezifisches Betriebssystem-Wissen, Netzwerkbetrieb oder Programmierung. In den meisten Unternehmen wurden diese spezialisierten Fähigkeiten bisher traditionsgemäß nach Art der Fähigkeiten in Teams gruppiert. Dies spiegelt sich wiederum im Geschäftsbetrieb wider, da spezialisierte Fachabteilungen und die meisten IT-Mitarbeiter über einzigartige Fähigkeiten verfügen.

Die Cloud hat dieses System der Verwaltung von IT-Personal und -Ressourcen auf den Kopf gestellt. Mit der Einführung der Cloud hat die IT-Branche endlich begonnen, die Vision einer agilen Anwendungs- und IT-Infrastruktur zu verwirklichen. Um ein Rechenzentrum in eine „Cloud“ zu verwandeln, müssen Abstraktionsschichten, sogenannte APIs, hinzugefügt werden, die eine konsistente und zuverlässige Automatisierung ermöglichen. Man kann sich das so vorstellen, als ob man das Fließband zur Automobilproduktion von Henry Ford um Roboter ergänzen würde.

Und aufgrund dieser roboterähnlichen Automatisierung mussten IT-Mitarbeiter eine ganze Reihe neuer Fähigkeiten erlangen, um diese Cloud-APIs zu verwalten. Für die meisten IT-Profis ist es kein Problem, altbekannte Dinge auf neue Art und Weise zu erledigen. Die Cloud hat jedoch auch eine Neuausrichtung der Unternehmensmitarbeiter erzwungen, bei der traditionell getrennte Teams in kleinere multidisziplinäre Gruppen („Two Pizza Teams“) aufgeteilt werden. Diese erstellen und verwalten die oben genannten APIs, die für die Cloud-Automatisierung erforderlich sind. Multidisziplinäre Teams führen wiederum zu einer Verlagerung von der Spezialisierung hin zu allgemeineren Fähigkeiten. 

Die Umstellung des Projektmanagements von der „Wasserfall“-Methode auf Agilität brachte große Umwälzungen mit sich. Ob Sie es nun Cloud, DevOps oder digitale Transformation nennen wollen: Die drastischen Veränderungen bei der Verwaltung von IT-Ressourcen zwingen die bestehenden IT-Mitarbeiter dazu, völlig neue Methoden zur Verwaltung ihrer Systeme zu erlernen. Dies steigert die Nachfrage nach diesen neuen Fähigkeiten.

Cybersicherheitsexperten müssen heutzutage auch ein breites Spektrum an Cloud-Kenntnissen aufrechterhalten, da Unternehmensdaten stärker gestreut als je zuvor sind. Dank Multicloud, Analyseanwendungen von Drittanbietern und verschiedenen Abteilungen, die neue Produktveröffentlichungen und Tools auf den Markt bringen, erstreckt sich die Trusted Compute Boundary (TCB) der meisten Unternehmen heute weit über die traditionellen lokalen IT-Rechenzentren hinaus. Eine einzige Anwendung kann problemlos mehrere Rechenzentren umfassen, die von mehreren Anbietern an unterschiedlichen geografischen Standorten und unter unterschiedlichen gesetzlichen Auflagen verwaltet werden.

Während es ohnehin schon schwierig ist, multidisziplinäre IT-Fachkräfte zu finden und anzuwerben, ist es umso schwieriger, jemanden mit dem zusätzlichen Schwerpunkt Sicherheit zu finden.

Es ist schwierig, multidisziplinäre IT-Fachkräfte zu finden und anzuwerben. Noch schwieriger ist es, jemanden mit dem zusätzlichen Schwerpunkt Sicherheit zu finden.

Um nach heutigen Maßstäben als vielversprechender Cybersicherheitsexperte zu gelten, muss man zunächst ein Generalist mit einem Verständnis sowohl für physische als auch für technische Sicherheit sein. Außerdem benötigt man vertiefte IT-Erfahrung in mindestens einem oder zwei spezifischen Bereichen, in der Regel jedoch mehr. Dies ist schwierig, wenn man bedenkt, wie schnell sich die Technologie weiterentwickelt. Außerdem muss man ein guter Manager mit Verständnis für die Art und Weise sein, wie eine Organisation und ihre Mitarbeiter Technologie einsetzen, um ihre Ziele zu erreichen.

Die Ursache für das Qualifikationsdefizit im Bereich Cybersicherheit liegt in diesem Gewirr von Voraussetzungen: Um den Anforderungen gerecht zu werden, braucht man viele Jahre angewandter Erfahrung – weit über jede formale Ausbildung hinaus (das Gleiche gilt für die Entwicklung zum Cloud-Experten). Der Weg ist enorm lang und am Ende macht sich der Mangel an Fähigkeiten am deutlichsten in der schwachen Pipeline zwischen Einsteigern und erfahrenen Sicherheitstalenten bemerkbar.

Schließen der Fähigkeits- und Persönlichkeitslücke

Mit den meisten Budgets ist es nicht realistisch, den perfekten Sicherheitsexperten einzustellen. Und das Warten auf einen geeigneten Mitarbeiter lässt das Qualifikationsdefizit für viele Organisationen größer erscheinen, als es in Wirklichkeit ist.

Um diese Pipeline vom Einstiegsniveau bis zum oberen Management zu stärken, müssen Organisationen stattdessen besser darin werden, die richtigen Talente zu finden und zu fördern.

Das ideale Profil fußt auf einer starken Basis an technischen Grundlagen, die durch eine realistische Erwartung an die praktische Erfahrung – drei Jahre statt beispielsweise zehn – in einem Bereich wie Netzwerkbetrieb, Betriebssysteme oder Softwareentwicklung untermauert wird. Diese Kandidaten sind gut positioniert, um die politischen und verwaltungstechnischen Aspekte einer Rolle in der Cybersicherheit zu übernehmen, ohne dabei von ihrem technischen Entwicklungspfad abgelenkt zu werden.

Um dieses Talent langfristig zu fördern, müssen Organisationen praktische Erfahrung, unterstützt durch Schulungen und Betreuung, in den Vordergrund stellen. Gelegenheiten, diese Erfahrungen zu sammeln, werden regelmäßig verpasst, wenn bei der Entwicklung neuer Anwendungen und Dienste spät – oder gar zuletzt – an die Sicherheit gedacht wird. Durch das Einbinden eines Sicherheitsspezialisten in alle oder die meisten Entwicklungsgruppen vervielfachen sich jedoch die Gelegenheiten für Talente, Erfahrungen zu sammeln, statt im Nachhinein zur Validierung der Arbeit von jemand anderem hinzugezogen zu werden.

Wenn eine formale Schulung erforderlich ist, sollten immer Sitzungen im Bootcamp-Stil bevorzugt werden, die auf angewandter Technologie aufgebaut sind. Diese beschleunigen den Lernprozess durch Versuche und Fehlschläge; dies geschieht allerdings in einer risikoarmen Umgebung.

Nutzung der Kultur zur Stärkung der „menschlichen Firewall“

Zuletzt sollte die Kultur einer Organisation dazu beitragen, die werdenden Sicherheitsprofis auf Erfolgskurs zu bringen. Die meisten Hacks und Datenschutzverletzungen sind das Ergebnis von Social-Engineering-Angriffen, die sich gegen die breitere Belegschaft richten. Eine gut informierte und engagierte „menschliche Firewall“ gehört zu den stärksten Abwehrmaßnahmen von Cyber-Bedrohungen einer Organisation.  Die Beseitigung aller Barrieren zwischen Ihren Spezialisten und dem Rest der Organisation gibt allen ein Gefühl der Eigenverantwortlichkeit für die Sicherheit. Wir haben gesehen, wie erfolgreiche Experten für Cybersicherheit so zugänglich geworden sind, dass Mitarbeiter ihnen gerne fast täglich aktuelle Informationen über den Spam, den sie erhalten, zusenden. In neun von zehn Fällen sind diese Meldungen unbrauchbar. Aber dieses Gefühl des Miteinanders an der Frontlinie der Verteidigung des Unternehmens ist kulturell von unschätzbarem Wert.

Züchten Sie Ihr eigenes Einhorn – und fangen Sie jetzt damit an

Die Sicherung des Unternehmens wird immer komplexer. Mit der Umstellung von Unternehmen auf moderne Architekturen, cloudbasierte Anwendungen und Remote-Arbeitskräfte nehmen die Möglichkeiten für Betrüger zu, sensible Informationen abzufangen, die außerhalb des Unternehmensnetzwerks übertragen werden.

Wie wir gesehen haben, stellt das Qualifikationsdefizit im Bereich der Cybersicherheit für Unternehmen, die dieser Gefahr entgegenwirken möchten, eine echte Herausforderung dar – aber nicht immer so, wie Sie vielleicht denken, und nicht nur in Bezug auf die Programmierfähigkeiten.

Diejenigen, die bei der Anwerbung und Bindung von Mitarbeitern im Bereich der Cybersicherheit vor Herausforderungen stehen, durchleben heute wahrscheinlich eines von zwei Szenarien. Entweder haben sie Manager, die sich in erster Linie mit Sicherheitsrichtlinien auskennen, aber ein schwächeres Verständnis für die ihnen zugrunde liegende Technik haben. Oder sie haben technologische Meister, denen es an sozialen Fähigkeiten mangelt und die Schwierigkeiten haben, wirksame Richtlinien festzulegen.

Bei den Organisationen, die dieses Problem nicht haben, handelt es sich um die Glücklichen, die ihr Einhorn bereits gefunden haben – und es sich leisten können, es zu behalten –, das sowohl über technisches Fachwissen als auch über die Soft Skills eines effektiven Managers und Kommunikators verfügt.

Die meisten Unternehmen werden jedoch ihr eigenes Einhorn züchten müssen, indem sie jemanden mit den richtigen Grundvoraussetzungen identifizieren – technische Disziplin gepaart mit dem Verlangen, menschliche Herausforderungen zu lösen – und die Zeit und Ressourcen für dessen Förderung aufwenden.

Join the Conversation: Find Solve on Twitter and LinkedIn, or follow along via RSS.

Stay on top of what's next in technology

Learn about tech trends, innovations and how technologists are working today.