Production Perig - stock.adobe.c
Security-Teams entlasten und Tool-Einsatz optimieren
Der Mangel an Sicherheitsexperten stellt Unternehmen vor Herausforderungen. Dass die IT-Teams mit unzähligen Security-Tools umgehen müssen, vereinfacht die Situation nicht.
Die meisten Unternehmen sind sich nicht darüber bewusst, wie drastisch sie tatsächlich unter dem Fachkräftemangel im Bereich IT-Sicherheit leiden. Während in anderen Bereichen die Folgen von fehlenden Mitarbeitern vor allem zu langsameren Wachstum führen, sind beim Thema Cybersicherheit Organisationen in echter Gefahr, wenn Stellen unbesetzt bleiben. Die Folge ist ein wachsendes Risiko von erfolgreichen Cyberattacken.
Die Workforce Study von (ISC)2 bietet Einblicke in die Problematik, auf deren Basis sich Lösungsansätze ergeben. In der EMEA-Region gibt es demnach eine Lücke etwa 142.000 Stellen, die aktuell nicht besetzt werden können – und dass nur im Bereich IT-Sicherheit.
63 Prozent aller Organisationen haben Probleme, passende Mitarbeiter in Positionen im Security-Bereich zu finden. Obwohl fast die Hälfte (48 Prozent) in diesem Jahr mehr IT-Sicherheitsfachkräfte einstellen will. Experten sind also begehrt und werden zudem immer stärker benötigt.
Aus Sicht der Angestellten ergeben sich daraus ganz eigene Probleme. Die größten Bedenken in Bezug auf die erfolgreiche Ausübung ihrer Arbeit (37 Prozent) in den Belegschaften, ist vor allem das Security-Know-how.
Es besteht die Angst, dass man durch fehlende Erfahrung beim Umgang mit Sicherheitsmechanismen nicht mehr in der Lage sein wird, im eigenen Job erfolgreich zu sein. Werden IT-Spezialisten nach der ihrer Meinung nach größten Gefahr für die Unternehmenssicherheit gefragt, nimmt die schlechte Security-Awareness der Nutzer allgemein die Spitzenposition ein – fast gleichauf und dicht gefolgt vom Fachkräftemangel. Beide Punkte sollten Geschäftsführungen bedenken.
Probleme sind teilweise hausgemacht
In vielen Ländern arbeiten öffentliche und private Einrichtungen an Angeboten und Studiengängen, um mehr Nachwuchs für die Security-Branche rekrutieren zu können. Experten sehen aber auch Ansatzpunkte in den Unternehmen selbst. Beispielsweise hat ein Großunternehmen im Durchschnitt 75 Sicherheits-Tools im Einsatz. Genau wie IT-Landschaften im Zeitalter von Cloud-Services, IoT und Serverless-Infrastructure immer komplexer werden, sind auch diese Werkzeuge nicht immer leicht verständlich.
Organisationen tendieren dazu, fehlende Fachkräfte durch neue Schutzmechanismen zu ersetzen, welche die Effizienz von IT-Security-Teams erhöhen sollen. Allerdings macht dies den Einstieg für neue Mitarbeiter wiederum schwieriger, denn jedes Tool erhöht den Lernaufwand.
Digitale Technologie ist disruptiv und sollte immer flexibel sein. Das Thema Sicherheit wird in der Regel erst danach angepasst und fast kein IT-Entscheider kann das Design seiner Abwehrstrategie von Grund auf planen. Stattdessen wird häufig immer nur auf neue Entwicklungen reagiert – mit neuen Sicherheitsprogrammen.
Sicherlich ist es unrealistisch, dass ein komplett neuer Security-Plan erstellt wird, der dann auch noch künftig ohne Anpassungen Bestand haben könnte. Man wird immer wieder neue Tools implementieren müssen. Allerdings sollten sich Geschäftsführungen über die Priorisierung von Cyberbedrohungen ein Bild machen. Jedes Unternehmen ist anders und es wird zu jeder Zeit Bereiche mit unterschiedlichen Anforderungen geben. Die elementarsten Bedrohungen müssen allerdings immer abgedeckt werden und dürfen aufgrund eines stückweise zusammengewürfelten Puzzles an Tools nicht vernachlässigt werden.
Vielmehr braucht es eine Art Schweizer Taschenmesser der IT-Sicherheit, mit dem Sicherheitsfachkräfte jederzeit gegen die größten Risikoherde vorgehen können. Dabei sollten Policies zu Erkennung, Abwehr und Behebung von Attacken inkludiert sein, dürfen aber nicht ins Unendliche ausarten. Die Workforce Study verdeutlicht außerdem, dass der Faktor Mensch eine doppelte Rolle spielt:
- Sicherheitsexperten muss ein attraktiver Arbeitsplatz geboten werden, mit technischer Innovation, die sie wirklich unterstützt und ihnen hilft, das Schutzniveau in Organisationen deutlich zu heben. Ihr Fokus muss auf der Verbesserung der Resilienz liegen – nicht auf Schulungen zum Umgang einer Masse an Sicherheits-Tools.
- Innovation und Zufriedenheit der Sicherheitsverantwortlichen sind wichtig, aber es bleibt immer noch die Security-Awareness der Mitarbeiter. Egal, wie schlank Security-Technologie sein kann, Trainings und der richtige Umgang mit den Nutzerverhalten sollten immer ein grundlegender Bestandteil einer umfassenden Sicherheitsstrategie sein.
„Geschäftsführungen sollten sich über die Priorisierung von Cyberbedrohungen ein Bild machen. Jedes Unternehmen ist anders und es wird zu jeder Zeit Bereiche mit unterschiedlichen Anforderungen geben.
Michael Heuer, Mimecast
Doch nicht nur die Technologie und Infrastrukturen sind komplex. Cyberkriminelle rüsten auf und immer wieder sorgen Schwachstellen in Standardprodukten für Schlagzeilen. Kritisch wird es vor allem dann, wenn Schwachstellen nicht gepatcht werden können und das Fixen den IT-Administratoren überlassen wird. Dies ist zum Beispiel bei der Power-Query-Schwachstelle der Fall gewesen.
Außerdem können sich IT-Experten nicht immer nur auf neue Themen fokussieren. Gerade im Zuge der Datenschutz-Grundverordnung (DSGVO) werden Anpassung und Compliance von bestehenden Datensätzen zunehmend wichtiger. Daten und Inhalte von alten E-Mails oder Textnachrichten müssen so angepasst werden, dass sie den neuen Vorgaben entsprechen. Wenn es zudem um die Nutzung von Archivierungslösungen geht, sollten diese auch von anderen Fachabteilungen genutzt werden können – oftmals mit hohen Anforderungen an Performance und Nutzerfreundlichkeit.
All diese Punkte setzen einen Standard bei der IT-Sicherheit voraus, den es umzusetzen gilt. Im Idealfall ohne eine Überfrachtung mit unzähligen Sicherheits-Tools. Denn viele Teillösungen garantieren keine Erfolg, führen aber zur Frustration der Mitarbeiter und verlängern die nötige Einlerndauer. Um Fachkräftemangel und Überlastung entgegenzuwirken, ist es sinnvoll, den Security-Teams ein pragmatisches Tool an die Hand zu geben, das die potentesten Angriffsvektoren absichert und leicht bedient werden kann.
Fazit
Man stelle sich vor, ein Handwerker müsste 75 verschiedene Hämmer mit sich herumtragen, da jeder Nagel mit nur einem Hammer kompatibel wäre. Für jedes Schlagwerkzeug braucht es eine eigene Schulung und weitere Nägel können nur mit einem neuen Hammer genutzt werden. Das wäre unvorstellbar kompliziert, trifft aber bei der Beschreibung der Situation in Großunternehmen beim Thema Sicherheit den Nagel auf den Kopf.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.