IT-Sicherheit in Zeiten des Fachkräftemangels: So schützen Sie Ihr Unternehmen- Teil II

Die Anzahl von Sicherheitsverletzungen steigt rasant, IT-Angriffe werden immer raffinierter und die Auswirkungen sind zunehmend extrem. Sowohl Regierungen als auch organisierte Verbrecher sehen die IT-Infrastruktur zunehmend als den optimalen Zugriffskanal an, da die „Erträge“ hoch sind und die Wahrscheinlichkeit, festgenommen zu werden, relativ gering ist. Dabei baut man auf die oftmals mangelhafte Prozessinfrastruktur und Interprozesskommunikation, die Schwachstellen in der IT-Infrastruktur und bei Anwendungen entstehen lassen. Hinzu kommt, dass Sicherheitsbereiche, die üblicherweise mit unzureichenden Ressourcen ausgestattet sind, zusätzliche Risse im Schutzschild eines Unternehmens entstehen lassen – etwa durch mangelhaftes Berechtigungsmanagement, unzureichendes Konfigurationsmanagement, nachlässige Wartung, menschliches Versagen oder fehlende Aufsicht. „Ambitionierte“ Angreifer nutzen solche Sicherheitslücken gezielt aus.

 

IT-Sicherheit, Cyber Kriminalität, Fachkräftemangel

Ein entscheidender Faktor bei der Beurteilung von Sicherheitsproblemen ist die Perspektive des Angreifers. Bei der Frage, welche Investitionshöhe als kosteneffizient erachtet wird, unterscheidet sich die Perspektive des Angreifers deutlich von der des Angriffsziels. Angreifer sind sehr geschickt darin, durch Nutzung leicht zugänglicher Geräte die Schwächen ihres Angriffsziels auszunutzen. Oftmals wird dabei ein langfristiger Plan verfolgt, der auf eine Zermürbung der Sicherheitsfunktionen ausgerichtet ist. Die Methoden von Hackern werden immer ausgefeilter: So wird beispielsweise Malware in Tools und Online- Bibliotheken eingeschleust, die von anderen Nutzern zur Entwicklung von Anwendungssoftware verwendet werden. Oftmals verschaffen sich die Angreifer Zugang, indem sie beharrlich bleiben und es immer wieder versuchen; zugleich sind sie aber auch extrem opportunistisch, da sie jegliche Schwachstelle innerhalb von Sekunden ausnutzen, wenn es sich gerade anbietet.

Große Unternehmen wie beispielsweise global agierende Banken investieren hunderte Millionen Dollar in den Schutz ihrer Daten. Viele Unternehmen können sich Investitionen in dieser Höhe jedoch nicht leisten. Hinzu kommt, dass qualifizierte IT-Fachkräfte oftmals von Unternehmen mit höheren Budgets abgeworben werden, wodurch Firmen mit einem begrenzten Budget noch anfälliger für Sicherheitslücken werden.

Immer öfter nutzen Hacker zudem Drittanbieter, um Unternehmen anzugreifen und deren Netzwerke zu infiltrieren. Zwar sind beim Drittanbieter-Management durchaus Fortschritte zu verzeichnen, trotzdem werden externe Firmen oftmals nicht gründlich genug oder nicht häufig genug geprüft. Deshalb kann man sich keinesfalls sicher sein, dass sich Partnerunternehmen in angemessener Weise um Risikomanagement kümmern – vor allem, wenn man bedenkt, dass Drittanbieter ebenso große oder sogar größere Schwierigkeiten haben, qualifizierte IT-Fachkräfte zu finden.

Öffentlichkeitswirksame Hacker-Angriffe haben den Unternehmen die Augen geöffnet und ihnen verdeutlicht, dass es ihnen an Experten zur Erkennung von Sicherheitslücken mangelt und ihre unternehmerischen Strategien nicht ausreichen, um rechtzeitig auf Gefährdungen zu reagieren und zunehmend ausgefeilte und immer häufiger auftretende Angriffe zu bekämpfen. Einige große Sicherheitsverletzungen und Vorfälle in Branchen, die erstmalig betroffen waren, haben dazu geführt, dass Unternehmen und ihre Partnerorganisationen ein stärkeres Augenmerk auf den Schutz ihrer Systeme richten. Zugleich sind viele Unternehmen jedoch sehr zögerlich, wenn es darum geht, schnell auf Angriffe zu reagieren und Verteidigungsmaßnahmen gemeinschaftlich umzusetzen. Dies ist zumindest teilweise auf den Mangel an verfügbaren Sicherheitsexperten zur Entwicklung und Umsetzung der erforderlichen IT-Lösungen zurückzuführen. Die scheinbar endlosen regulatorischen, gesetzlichen und vertraglichen Verpflichtungen, die große Sicherheitsverletzungen unweigerlich zur Folge haben, erhöhen den Bedarf an qualifizierten IT-Sicherheitsexperten zusätzlich.

Einige Akteure sehen die neueren Sicherheits-Tools als sinnvolle Alternative zur Einstellung von Fachkräften. Solche Tools erfordern jedoch oftmals spezielle Schulungen und eine längere Einarbeitungszeit, bevor sie effektiv genutzt werden können – wodurch sich der Fachkräftemangel eher verschärft als abschwächt.

 


Hier geht es zur 2. Präsentation anlässlich der RSA Conference 2015!



Weltweiter Mangel an Sicherheitsexperten

Leider übersteigt die schiere Anzahl der ausgeschriebenen Stellen die Zahl der (weltweit) zur Verfügung stehenden Fachkräfte drastisch. Viele Unternehmen befinden sich deshalb in einem . Dazu zählen übrigens auch Sicherheitskompetenzen, die über den Cyberspace-Bereich hinausgehen. Zwar besteht nicht bei allen sicherheitsrelevanten Qualifikationen ein Unterangebot, die Nachfrage nach Experten für IT-Sicherheit ist jedoch enorm – von IT-Strategen über sogenannte ethical hackers bis hin zu Entwicklern technologischer Sicherheitslösungen.

Leider übersteigt die schiere Anzahl der ausgeschriebenen Stellen die Zahl der (weltweit) zur Verfügung stehenden Fachkräfte drastisch. Viele Unternehmen befinden sich deshalb in einem Wettbewerb oder sogar Kampf um die begrenzte Anzahl an IT-Fachkräften mit den notwendigen Schlüsselqualifikationen. Dazu zählen übrigens auch Sicherheitskompetenzen, die über den Cyberspace-Bereich hinausgehen. Zwar besteht nicht bei allen sicherheitsrelevanten Qualifikationen ein Unterangebot, die Nachfrage nach Experten für IT-Sicherheit ist jedoch enorm – von IT-Strategen über sogenannte ethical hackers bis hin zu Entwicklern technologischer Sicherheitslösungen.

Die Experis-Studie hat gezeigt, dass viele Unternehmen auf den Fachkräftemangel reagieren, indem sie sich zur Verstärkung der internen Belegschaft an externe Anbieter wenden. So ergab die Studie, dass 40 % der Befragten auf dem Gebiet der IT-Sicherheit auf externe Partner zurückgreifen. Von diesen planen 27 % in Zukunft verstärkt auf externe Anbieter zurückzugreifen, während 40 % das gleiche Maß beibehalten möchten und dabei Kosteneffizienz, Flexibilität und Zugang zu Know-how als Gründe für ihre Zusammenarbeit mit externen Partnern nennen.

Problematisch ist hierbei, dass die Nachfrage nach Sicherheitsexperten mit Schlüsselqualifikationen das weltweite Wachstum des Fachkräfte-Pools übersteigt. Eine aktuelle Studie von Frost & Sullivan, prognostiziert einen Nachfragezuwachs von 2,5 Millionen IT-Sicherheitsexperten bis zum Jahr 2019; das Angebot an solchen Experten wird Schätzungen zufolge jedoch nur um etwa 1 Million steigen. Die Daten aus diesem Bericht deuten darauf hin, dass die durchschnittliche jährliche Wachstumsrate (compound annual growth rate, CAGR) bei der Nachfrage nach Sicherheitsexperten zwischen 2014 und 2019 bei 10 % liegen wird, beim Angebot jedoch nur bei 5,6 %. Diese Prognosen machen deutlich, dass die zukünftige Versorgung mit Sicherheitsexperten kritische Ausmaße annimmt, und wenn keine Anstrengungen unternommen werden, um diesen Fachkräftemangel zu beheben, wird sich die Lage im Laufe der Zeit vermutlich weiter verschärfen.

Die prognostizierte Kluft von 1,5 Millionen zwischen benötigten Stellen und verfügbaren Fachkräften wird zu einem erheblichen Aufwärtsdruck bei den Personalkosten im Bereich der IT-Sicherheit führen. Unternehmen, die nach Mitarbeitern suchen, werden zunehmend gezwungen sein, bei der Entscheidung, welches Qualifikationsniveau bei der Besetzung von langfristig offenen Stellen als „akzeptabel“ gelten kann, ihre Qualitätslatte herabsetzen. Durch solche Kompromisslösungen wird das Problem jedoch weiter verschärft und die Risiken für Unternehmen steigen weiter.

 

  • 27 % der Unternehmen wollen zunehmend mit externen Anbietern zusammenarbeiten 

  • 40 % wollen das gleiche Maß beibehalten

  • 2,5 Millionen: weltweiter Bedarf an Fachkräften bis 2019

  • 1,5 Millionen: Kluft zwischen benötigten Stellen und verfügbaren Fachkräften 

 

Wie können Unternehmen dem akuten Fachkräftemangel im IT-Sicherheitsbereich entgegenwirken um Cyber Attacken nicht schutzlos ausgeliefert zu sein?


Um diese und Frage geht es in Teil 3 unserer Blogserie "IT-Sicherheit in Zeiten des Fachkräftemangels".