Digitalisierung und Sicherheit: IT-Fachkräfte müssen helfen Cyber-Sicherheitsteam gehört entlastet
30. November 2017Bis 2022 werden weltweit über 1,8 Millionen Cyber-Sicherheitsexperten fehlen. Zu diesem Ergebnis kommt die „Global Information Security Workforce Studie“ (GISWS) durchgeführt vom Center for Cyber Safety and Education. Damit werden die Folgen des Qualifizierungsmangels in der Cybersicherheit deutlich, denn im Vergleich zur GISWS 2015 handelt es sich um einen Anstieg von 20 Prozent. In Zeiten der Digitalisierung wird dieser Trend voraussichtlich anhalten und der Bedarf noch weiter steigen.
Fachkräftemangel
In Zeiten der Digitalisierung sind IT-Sicherheitsexperten gefragter denn je. Die Zertifizierung zum Systems Security Certified Practitioner (SSCP) von (ISC)² zeigt deutlich, wie solche Fort- und Weiterbildungsmaßnahmen wirken können. Die Lehrinhalte für die Zertifizierung vermitteln den Mitarbeitern in den IT-Teams das wesentliche, technische Wissen, um Cyber-Risiken zu verstehen und IT-Sicherheit in ihrer Arbeit stetig mitzudenken. Deshalb eignet sich die Zertifizierung zum SSCP insbesondere für IT-Spezialisten wie Network Security Engineers, Systems or Network Administratoren, Security Analysten, Systems Engineers, Security Consultants, Security Administrators, Systems/Network Analysts oder Datenbankadministratoren.
Ein SSCP verfügt über den technischen Hintergrund, um die IT-Infrastruktur mit Hilfe von Sicherheitsrichtlinien und -Verfahren zu implementieren, zu überwachen und zu verwalten sowie die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu schützen. Das SSCP-Zertifikat umfasst dafür die Schwerpunkte Sicherheitsbetrieb und Administration; Risikoidentifikation, Überwachung und Analyse; Ereignisreaktion und Wiederherstellung; Netzwerk- und Kommunikationssicherheit, System- und Anwendungssicherheit sowie Kryptographie.
Security by Design etablieren
Ein weiterer Schritt zur Entlastung der Cyber-Sicherheitsteams ist es, zukünftig Security by Design in der IT- und Softwareentwicklung als Standardansatz zu etablieren. Wenn die Cyber-Sicherheit nicht ausschließlich davon abhängt, dass die Systeme abgesichert werden, während die Infrastruktur ohne Rücksicht auf die relevanten Sicherheitsaspekte ausgebaut wird, dann steigert das die Qualität der Cyber-Sicherheit stark, während den Sicherheitsverantwortlichen Arbeit abgenommen wird. Dazu umfassen die SSCP-Kurse die notwendigen technischen und praktischen Kenntnisse, um Security by Design zu verstehen, zu durchdenken und in die tägliche Arbeit zu integrieren. Die Schlüsselkonzepte werden hersteller- und technologieunabhängig gelehrt, sodass sie plattform-, software- und hardwareunabhängig anwendbar bleiben.
Die Zertifizierung der (ISC)² garantiert außerdem Zugang zur (ISC)²-Community, die den Austausch unter den Cyber-Sicherheitsexperten und IT-Verantwortlichen mit freien Webinaren, überregionalen Konferenzen, einem Mitgliedermagazin und weiteren Angeboten fördert. Dieser Dialog ist eindeutig erwünscht: Für die neue Online-Community der (ISC)² haben sich innerhalb des ersten Monats über 14.500 Experten aus dem Umfeld der Cyber-Sicherheit angemeldet. Das Netzwerk ist nicht exklusiv für (ISC)²-Mitglieder, sodass auch Nicht-Mitglieder die Möglichkeit haben, teilzunehmen, den Cyber-Sicherheit ist mehr als ein technisches Thema.
Nicht jeder, der für die Cyber-Sicherheit eines Unternehmens Verantwortung übernehmen muss, hat einen Hintergrund in der IT oder Cyber-Sicherheit. Auch Geschäftsführer, Vorstände und das Management müssen im Zeitalter der Digitalisierung befähigt werden, die relevanten Sicherheitsaspekten in ihren strategischen Entscheidungen zu berücksichtigen. Deshalb umfasst der Lehrplan für den SSCP neben den Sicherheitstechniken auch ein breites Geschäftswissen vom Risikomanagement bis zur Kontinuitätsplanung, damit das Gesamtbild stets im Blick behalten wird.
Die Übersicht wird immer wichtiger, weil die IT-Infrastrukturen immer komplexer werden: Neben dem Austausch zwischen IT und Cybersicherheit muss auch die Unternehmensführung ausreichend Einblicke haben, um Cyber-Sicherheit fest in der Planung zu verankern. Dies ist in der Regel nur möglich, wenn die IT- und Cyber-Sicherheitsverantwortlichen in der Lage sind, ihre Anliegen im Gesamtkontext zu erklären.
Qualifizierungsmangel
Der Qualifizierungsmangel in der Cyber-Sicherheit ist ein drängende Herausforderung und eine Entlastung der Cyber-Sicherheitsspezialisten notwendig. Zertifizierungen bieten mehrere Möglichkeiten, dieser Entwicklung gerecht zu werden: Einerseits stellen sie sicher, dass die Zertifizierten wichtige Fertigkeiten und Kenntnisse haben und anwenden können, sodass IT-Teams die Cyber-Sicherheitsabteilung entlasten können. Die Entlastung erfolgt einerseits darüber, dass Routineaufgaben vermieden werden und andererseits Security by Design in den Unternehmen etabliert werden kann.
Auf der anderen Seite hat sich seit der Gründung der (ISC)² vor 18 Jahren gezeigt, dass der Austausch unter den mittlerweile über 125.000 zertifizierten Mitgliedern einen deutlichen Mehrwert bieten. Wer für Cyber-Sicherheit verantwortlich ist, sollte sich regelmäßig austauschen, um neue Best Practises kennenzulernen, die aktuellen Herausforderungen im Blick zu behalten und sein Wissen kontinuierlich zu erweitern. Deshalb bietet der SSCPs ein breites Spektrum an Möglichkeiten, um nach der Zertifizierung auf dem aktuellen Stand der Cyber-Sicherheit zu bleiben.
Dr. Adrian Davis
ist selbst CISSP und Managing Director EMEA bei (ISC)²