Unternehmen befinden sich jederzeit im Visier von Cyberkriminellen und es ist keine Frage mehr ob, sondern wann Cyberangriffe auf das Unternehmen erfolgen. Verantwortliche investieren deshalb zu Recht in ihre IT Security, um effiziente Abwehrmechanismen zu etablieren. Die Anforderungen daran sind komplex, weshalb es einen guten Mix an Security Skills erfordert, um ein Unternehmen ganzheitlich abzusichern.
Die Gefahr ist größer denn je
Angriffe von Cyberkriminellen werden immer zahlreicher und raffinierter und die Methoden und Technologien entwickeln sich rasant weiter. Ein nicht unerheblicher Anteil der Angriffe zielt dabei auf die „Schwachstelle Mensch“ ab. Das schlägt sich in den Zahlen nieder: Rund 80 Prozent der Sicherheitsverletzungen sind auf einen Mangel an Cybersecurity-Kenntnissen zurückzuführen, wie der 2022 Cybersecurity Skills Gap Report von Fortinet zeigt. Demnach gab es in acht von zehn der befragten Unternehmen mindestens einen Sicherheitsvorfall, der sich auf fehlende Cybersecurity-Kenntnisse oder mangelnde Awareness zurückführen ließ.
Das Problem wird durch den Mangel an ausgebildeten IT-Security-Fachkräften verschärft. Es fehlen Personen mit den erforderlichen IT-Kenntnissen, um die offenen Stellen zu besetzen. Bis 2025 wird es weltweit 3,5 Millionen unbesetzte Stellen im Cybersecurity Bereich geben, wie die weltweite Qualifizierungskampagne für IT-Sicherheit des Unternehmens Microsoft zeigt.
Für Unternehmen gibt es zwei Möglichkeiten, diesen Herausforderungen zu begegnen: Erstens, ihre gesamte Belegschaft für IT- und Informationssicherheit zu sensibilisieren und zweitens, ihre IT-Fachkräfte gezielt zu fördern und weiterzubilden und auf einen differenzierten Mix aus Security-Skills zu setzen. Beide Ziele werden mit Weiterbildungen und Schulungen erreicht.
Die 7 gefragtesten Security Skills
IT-Verantwortliche stehen heutzutage vor verschiedenen, komplexen Herausforderungen, für die sie verschiedene Fähigkeiten benötigen. Unternehmen sollten diese Skills kennen und fördern, sodass sie erstens ein passendes und leistungsfähiges Team zusammenstellen können und zweitens die Fähigkeiten und das Know-How ihrer Mitarbeitenden gezielt fördern und ausbauen können. Die sieben gefragtesten Security Skills sind die folgenden:
1) Tool-Expertise
Damit Security Tools ihren Zweck erfüllen, müssen sie korrekt konfiguriert und für den konkreten Unternehmenseinsatz angepasst werden. Zudem reicht es im Normalfall nicht aus, ein Tool einmalig einzurichten und zu „starten“ – im Gegenteil, für den richtigen Einsatz braucht es eine regelmäßige Überprüfung und Pflege. Dafür sind Tool-Kenntnisse notwendig, die IT-Fachkräfte sich in entsprechenden Schulungen aneignen können.
2) Security Analysen und Management
Für Unternehmen ist wichtig, dass ihre IT-Verantwortlichen verstehen, wie das Unternehmen und dessen Security System insgesamt funktionieren. Wie funktioniert das Geschäft? Wie ist das Unternehmen am Markt aufgestellt? Wie sieht die Branche aus? Welche potentiellen Schwachstellen gibt es? All dies schlägt sich in einer effektiven Gesamtstrategie nieder und eine gezielte Security Analyse gibt Aufschluss darüber, welche Angriffsflächen und Gefahrenpotentiale bestehen.
3) Incident Response
Ein weiterer zentraler Bereich von IT Security ist die sogenannte Incident Response. Hierbei geht es darum, bei Einbrüchen in das IT-System oder bei Verdacht auf Manipulation schnell und richtig zu reagieren. Dafür braucht es eine Art „Notfallplan“, der dann greift, wenn ein Angriff festgestellt oder vermutet wird. Unterstützt wird das Incident Response Management häufig durch entsprechende Tools.
4) Projektmanagement
Security im Unternehmen ist ein komplexes Feld, das mehrere Abhängigkeiten und Herausforderungen mit sich bringt. Die Implementierung von Lösungen ist daher wesentlich zeitintensiver als früher und braucht entsprechende organisatorische Fähigkeiten. Was früher eine Nebenaufgabe von Administratoren war, ist heute zur eigenen Herausforderung geworden und auf IT-Security spezialisierte Projektmanager sind gern gesehen.
5) Coding / Scripting
Für verschiedene Anforderungen ist es außerdem sinnvoll, coden oder scripten zu können. Insbesondere wenn mehrere Tools im Einsatz sind und zusammenarbeiten müssen, können mit Coding Kenntnissen individuelle Lösungen für das Unternehmen erarbeitet werden.
6) Data Science und Datenanalyse
In Unternehmen werden heutzutage viele Daten gesammelt und große Datenströme erzeugt. Diese können dazu genutzt werden, Angriffsflächen und potentielle Schwachstellen aufzudecken, sowie Hackingangriffe und Gegenmaßnahmen zu überwachen und ihre Effektivität zu analysieren. Das erfordert Wissen, Erfahrung und Skills im Bereich der Datenanalyse.
7) Soft Skills
Nicht zu unterschätzen sind außerdem Soft Skills. Auf der einen Seite müssen IT-Verantwortliche zum Beispiel in der Lage sein, kritisch zu denken und Methoden von Cyberkriminellen nachvollziehen zu können. Im Falle eines Hackerangriffs müssen sie unter Druck richtig und besonnen reagieren und zügig die richtigen Schritte in die Wege leiten. Auf der anderen Seite sind auch Fähigkeiten im Bereich Kommunikation und Teamwork essentiell. Zum einen innerhalb des IT-Teams, aber auch in der Kommunikation mit anderen Abteilungen und im gesamten Unternehmen – denn die Umsetzung von Sicherheitsmaßnahmen betreffen auch die Endnutzer:innen, sprich alle Mitarbeitenden.
Die Wichtigkeit von Security Awareness
Neben den konkreten Skills von Einzelnen, ist eine Sensibilisierung der gesamten Belegschaft für IT- und Informationssicherheit der Schlüssel für eine ganzheitliche Sicherheit von Unternehmen. Da viele Cyberangriffe auf das Unwissen oder die Unsicherheit von Mitarbeitenden abzielen, zum Beispiel mit Phishing-Mails, CEO Fraud und Social Engineering, liegt hier großes Potential, die Sicherheit zu erhöhen.
Eine grundlegende Sensibilisierung aller Mitarbeitenden und praxisnahe Schulungen versetzen Mitarbeitende in die Lage, Cyberangriffe erstens zu erkennen und zweitens abzuwehren. Funktioniert diese erste „menschliche Firewall“, ist die Sicherheit des Unternehmens bereits um ein Vielfaches verstärkt. Die Cyber Awareness aller Mitarbeitenden und konkrete, spezialisierte Skills von IT-Verantwortlichen sind die Voraussetzung für den effektiven Schutz von Daten, Informationen und Systemen eines Unternehmens.
geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security