Die Nachfrage nach Security-Skills steigt

Die Spezialisierung auf den Bereich Sicherheit bietet für Fachkräfte aus der IT-Branche weiterhin sehr gute Zukunftsaussichten. Die weltweit verursachten Kosten durch Cyberattacken sollen sich in den nächsten Jahren vervier­fachen. Bis 2021 sollen Schäden in Höhe von 6 Billionen Dollar verursacht werden. In An­betracht der kommenden EU-Datenschutz-Grundverordnung könnten Sicherheitsvorfälle sogar noch kostspieliger werden.

Fehlende Sicherheitsexperten machen Unternehmen anfällig für die immer komplexer und raffinierter werdenden Methoden von Cyberkriminellen. Laut der Intel-Studie „Hacking the Skills Shortage“ soll es bis 2020 weltweit bis zu zwei Millionen unbesetzte Stellen im Bereich IT-Sicherheit geben.

Zahlreiche Unternehmen verlagern ihre Systeme mittlerweile in die Cloud. Experten mit Cloud-Security-Skills werden dringend gesucht, um die Sicherheit von Unternehmens­systemen und Daten gewährleisten zu können. Im Intel-Security-Report nannte die Hälfte der befragten Organisationen fehlende Cloud-Security-Skills als größtes Hindernis bei der Einführung oder Nutzung von Cloud-Services.

Gerade die unsachgemäße Nutzung von Cloud-Technologien führt zu erhöhten Risiken in Bezug auf Datendiebstähle, unsicheres Identitätsmanagement und Denial of Service. Auch die Sicherheit innerhalb einer Organisation sollte berücksichtigt werden, was aber allzu häufig über­sehen wird. Als etwa der britische Software-Hersteller Sage vor einiger Zeit Opfer einer Attacke wurde, bei der Daten von mehr als 280 Unternehmen ausspioniert wurden, stellte sich der Angreifer im Nachhinein als unzufriedener Mitarbeiter heraus.

Neben plattformspezifischen Kenntnissen über Sicherheits-Features, Infrastruktur und Migration sowie über die komplexe Verschlüsselung bei Datenübertragungen zählt auch die Konformität mit geltenden Datenschutzrichtlinien zu den notwendigen Skills eines Cloud-Security-Experten.

33 Prozent aller befragten Cybersecurity-Experten gaben in einer ESG/ISSA-Studie an, dass es ihrem Unternehmen akut an Skills im Bereich Application Security mangelt. Daher ist es keine Überraschung, dass Sicherheitsrichtlinien in der Entwicklung von Applikationen oft vernachlässigt werden. Diese Richtlinien sind aber der Schlüssel zu einer konsistenten Sicherheitsstrategie in einer Organisation.

Denn die meisten Datendiebstähle sind gerade aufgrund von Lücken in Software-Codes erfolgreich oder wegen un­gepatchter Software, die keine regelmäßigen Updates erhält. Durch eine nachlässige Programmierung und Qualitätssicherung können sich folgenschwere Programmierfehler einschleichen. Solange die Apps funktionieren, fallen solche Fehler möglicherweise gar nicht auf, sondern erst dann, wenn ein Hacker die Sicherheitslücke entdeckt und für einen Angriff gezielt ausnutzt.

Der intensive Ausbau von Maßnahmen zur Qualitätssicherung und die erweiterte Entwicklung von Sicherheits-Codes mag kurzfristig Kosten verursachen, rentiert sich aber langfristig, indem belastbare Applikationen mit geringerem Risiko für Sicherheitsvorfälle verwendet werden.

In Umfragen unter Führungskräften landete das Thema Datensicherheit unter den Top-3-Geschäfts­prioritäten. Nach zahlreichen Vorfällen in der jüngsten Vergangenheit ist den meisten Unternehmen die Gefahr des mangelnden Schutzes ihrer sen­siblen Daten inzwischen bewusst. So waren etwa im Februar vergangenen Jahres durch eine Sicherheitslücke in der Software des Anbieters Cloud­flare während fast eines halben Jahres vertrauliche Daten von Webseiten wie Uber, Yelp und Fitbit öffentlich zugänglich.

Durchschnittlich liegen die Kosten, die im Fall einer erfolgreichen Attacke auf ein Unternehmen zukommen, bei mehr als 5 Millionen Dollar respektive 20 Prozent seines Umsatzes. Hinzu kommt der Reputationsschaden. Die EU-DSGVO setzt die Unternehmen zusätzlich unter Druck, rasch ausreichend in Datensicherheit, Datenschutz und entsprechend geschulte Fachkräfte zu investieren.

Die zunehmende Virtualisierung von IT und die Nutzung von Cloud-Servern haben den Bedarf an Experten mit Network-Security-Skills in letzter Zeit stark ansteigen lassen. App­li­kationen zur Netzwerküberwachung sind für die Identifikation verdächtiger Verhaltensweisen essenziell geworden, können aber detailliertes Expertenwissen nicht ersetzen.

Organisationen brauchen Mitarbeiter mit gut ausgebildeten Sicherheitsfähigkeiten, um gefährliche Aktivitäten im Netzwerk zu erkennen und schnelle Entscheidungen über Reaktion und Vorgehensweisen zu treffen. Zu den notwendigen Skills eines Netzwerksicherheits­experten zählen das Verhindern und Aufdecken unautorisierter Zugriffe, Modifizierungen und Blockaden innerhalb eines Netzwerks sowie Kenntnisse über Authentifizierung, Monitoring und Etablierung von Sicherheitsrichtlinien.

In rund 20 Prozent der Unternehmen fehlen nach Angaben der erwähnten ESG/ISSA-Studie zudem Penetration-Testing-Skills. Ohne regelmäßige Penetration Tests an Services und Applikationen sind Organisationen jedoch nicht in der Lage, Sicherheits­lücken rechtzeitig zu erkennen. Wenn Hacker eine Schwachstelle im Netzwerk finden, der sich das betroffene Unternehmen nicht bewusst ist, können die Angreifer interne Daten während Monaten, wenn nicht Jahren, systematisch ausspionieren. Simulierte Attacken, die Penetration Tests, checken die Unternehmenssysteme mit den Tools und Methoden der Cyberkriminellen umfassend auf Schwachpunkte.

Penetration-Tester versenden etwa interne Phi­shing-Mails an Mitarbeiter, scannen das Netzwerk auf Fehler oder sperren die Server mit einer Distributed-Denial-of-Service-Attacke. Entdeckte Lücken werden anschließend untersucht und geschlossen. Ohne diese harmlosen Testangriffe bleiben Systemfehler und Schwachstellen oft lange Zeit unentdeckt – und somit offen für Hacker mit kriminellen Absichten.