Fachkräftemangel in der IT:Defizite in der Cybersecurity mit der „menschlichen Firewall“ umgehen
25. August 2021Die Cloud und immer fortschrittlichere Möglichkeiten zur Überwachung der Cybersecurity machen es Unternehmen leicht, die Sicherheit ihrer Daten zu garantieren. Das gilt zumindest für die Theorie – praktisch ist es für Betriebe aufgrund des Fachkräftemangels schwierig, qualifizierte Mitarbeitende zu finden. Einer Studie von Ipsos im Auftrag der britischen Regierung zufolge geben 43 Prozent der Befragten an, dass der Wettstreit um Talente die Situation weiter verschärft. Das gilt nicht nur für Großbritannien – auch in Deutschland ist der Fachkräftemangel gravierend.
Die Hauptgründe dafür, dass die Akquise von Cybersecurity-Experten nach wie vor eine Herausforderung darstellt, sind der multidisziplinäre Charakter der IT-Sicherheit im Allgemeinen und der Mangel an Cloud-Fähigkeiten auf dem Markt im Speziellen. Das Qualifikationsdefizit besteht hauptsächlich, weil die von den Unternehmen gesuchten Anforderungen facettenreich und sehr gefragt sind und teilweise stark über technologische Grundkompetenzen hinausgehen. Von der physischen Sicherheit bis hin zur Erstellung und Implementierung von Richtlinien sowie den Herausforderungen, die mit dem Personalmanagement einhergehen: Die Sicherung von Daten ist sehr komplex.
Während sich die Technologie fortlaufend verändert und weiterentwickelt, bleiben die Menschen „gleich“. Bedeutende Sicherheitsverletzungen werden durchgängig häufiger durch menschliches Versagen oder gar absichtlich verursacht als durch einen einmaligen technischen Fehler. Erst kürzlich wurden gravierende Schwachstellen in der Wahlkampf-App der CDU aufgedeckt. Auch der digitale COVID-19-Impfnachweis besaß eine Sicherheitslücke, die sich Hacker zunutze hätten machen können.
Die „menschliche Firewall“ ist entscheidend für die Cybersecurity. Häufig verteilt sich das Know-how der technischen Systeme und ihrer Sicherheitsanforderungen allerdings auf mehrere Mitarbeitende. Unternehmen müssen diese Qualifikationslücke schließen, um auch künftig sicher wirtschaften zu können.
Cybersecurity verbindet technische und organisatorische Aspekte, zum Beispiel Sicherheitssysteme, Prozessdefinitionen, Leitlinien oder Pflichtenhefte. Dazu gehören unter anderem die Sicherheit von Cloud-Infrastrukturen und Mobilgeräten sowie die Absicherung vernetzter Maschinen. Cybersecurity schützt die Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmensdaten. Cybersecurity-Experten haben die Aufgabe, festzulegen, wie Technologien genutzt und wie auf sie zugegriffen werden soll.
Zur Umsetzung dessen müssen Richtlinien entwickelt, kommuniziert und fortlaufend verfeinert werden. Wenn diese Richtlinien gut funktionieren, verhindern sie Cyberrisiken. Zudem stellen sie sicher, dass es nicht zu Abstrichen kommt, wenn ein Unternehmen beispielsweise kürzere Produkt-Release-Zyklen oder effizientere Remote-Arbeit anstrebt.
Immer komplexere IT-Infrastrukturen
Die Sicherheit eines Unternehmens wird immer komplexer. Mit der Einführung der Cloud hat die IT-Branche begonnen, die Vision einer agilen Anwendungs- und IT-Infrastruktur zu verwirklichen. Cybersecurity-Experten müssen ein sehr breites Spektrum an Cloud-Kenntnissen besitzen, da Unternehmensdaten stärker gestreut sind als je zuvor. Dank der Multicloud, Analyseanwendungen von Drittanbietern und verschiedenen Abteilungen, die neue Produktveröffentlichungen und Tools auf den Markt bringen, erstreckt sich die Trusted Compute Boundary (TCB) der meisten Unternehmen heute weit über die traditionellen, lokalen IT-Rechenzentren hinaus.
Eine einzige Anwendung kann problemlos mehrere Rechenzentren umfassen, die von mehreren Anbietern an unterschiedlichen geografischen Standorten und unter unterschiedlichen gesetzlichen Auflagen verwaltet wird. Während es ohnehin schon schwierig ist, multidisziplinäre IT-Fachkräfte zu finden, ist es umso schwieriger, jemanden mit dem zusätzlichen Schwerpunkt Sicherheit zu finden.
Um nach heutigen Maßstäben als Cybersecurity-Experte zu gelten, ist tiefergehende IT-Erfahrung in mindestens einem, zwei oder gar mehr spezifischen Bereichen gefragt. Das zu erfüllen ist schwierig im Hinblick darauf, wie schnell sich die IT weiterentwickelt. Hinzukommt, dass ein potenziell qualifizierter Mitarbeiter ein Verständnis für die Art und Weise haben muss, wie ein Unternehmen Technologie einsetzt.
Um also den Anforderungen eines Profils gerecht zu werden, sind viele Jahre praktische Erfahrung gefragt – weit über jede Ausbildung hinaus. Ein solcher Weg ist enorm lang und am Ende macht sich der Mangel an Fähigkeiten am deutlichsten in der schwachen Pipeline zwischen Einsteigern und erfahrenen Sicherheitstalenten bemerkbar.
Kompetenzen bündeln und die Lücke fehlender Fachkräfte schließen
Durch das Warten auf einen geeigneten Mitarbeiter erscheint das Qualifikationsdefizit für viele Unternehmen größer, als es in Wirklichkeit ist. Um die Kette vom IT-Einstiegsniveau bis zum oberen Management zu stärken, müssen Betriebe besser darin werden, die richtigen Talente zu finden und zu fördern.
Das ideale Profil liegt in einer fundamentalen Basis an technischen Grundlagen, die durch eine realistische Erwartung an die praktische Erfahrung – drei Jahre statt beispielsweise zehn – in einem Bereich wie Netzwerkbetrieb, Betriebssystemen oder Softwareentwicklung untermauert wird. Diese Kandidaten sind gut positioniert, um die politischen und verwaltungstechnischen Aspekte einer Rolle in der Cybersecurity zu übernehmen, ohne dabei von ihrem technischen Fortbildungsstand abgelenkt zu werden.
Um solch ein Talent langfristig zu fördern, müssen Unternehmen praktische Erfahrung, unterstützt durch Schulungen, in den Vordergrund stellen. In der Regel werden Gelegenheiten diese Erfahrungen zu sammeln, regelmäßig verpasst. Durch das Einbinden eines Sicherheitsspezialisten in alle oder die meisten Entwicklungsgruppen vervielfachen sich jedoch die Gelegenheiten für Talente, Erfahrungen zu sammeln, statt im Nachhinein zur Validierung der Arbeit von jemand anderem hinzugezogen zu werden.
Unternehmenskultur zur Stärkung der „menschlichen Firewall“
Zuletzt sollte die Unternehmenskultur dazu beitragen, die angehenden Cybersecurity-Experten auf Erfolgskurs zu bringen. Die meisten Hacks und Datenschutzverletzungen sind das Ergebnis von Social-Engineering-Angriffen, die sich gegen die breitere Belegschaft richten.
Eine gut informierte und engagierte „menschliche Firewall“ gehört zu den stärksten Abwehrmaßnahmen von Cyber-Bedrohungen innerhalb eines Unternehmens. Das Beseitigen aller Barrieren zwischen IT-Spezialisten und den restlichen Mitarbeitenden gibt allen ein Gefühl der Eigenverantwortlichkeit für die Sicherheit.
Rob Treacey ist Head of Security Practice EMEA bei Rackspace Technology.