26.03.2018
Cyber-Sicherheit
1. Teil: „Die Nachfrage nach Security-Skills steigt“
Die Nachfrage nach Security-Skills steigt
Autor: Gastautor
Mikko Lemola / Shutterstock.com
Fehlende Sicherheitsexperten sind eine existenzbedrohende Gefahr für Unternehmen. Security-Profis schützen das Firmennetzwerk sowie kritischen Daten und Anwendungen vor Angriffen.
Dieser Beitrag wurde von Caroline Metzen verfasst, Digital Marketing beim IT-Trainings-Anbieter und -Zertifizierer Firebrand Training.
Die Spezialisierung auf den Bereich Sicherheit bietet für Fachkräfte aus der IT-Branche weiterhin sehr gute Zukunftsaussichten. Die weltweit verursachten Kosten durch Cyberattacken sollen sich in den nächsten Jahren vervierfachen. Bis 2021 sollen Schäden in Höhe von 6 Billionen Dollar verursacht werden. In Anbetracht der kommenden EU-Datenschutz-Grundverordnung könnten Sicherheitsvorfälle sogar noch kostspieliger werden.
Fehlende Sicherheitsexperten machen Unternehmen anfällig für die immer komplexer und raffinierter werdenden Methoden von Cyberkriminellen. Laut der Intel-Studie „Hacking the Skills Shortage“ soll es bis 2020 weltweit bis zu zwei Millionen unbesetzte Stellen im Bereich IT-Sicherheit geben.
Cloud-Security
Zahlreiche Unternehmen verlagern ihre Systeme mittlerweile in die Cloud. Experten mit Cloud-Security-Skills werden dringend gesucht, um die Sicherheit von Unternehmenssystemen und Daten gewährleisten zu können. Im Intel-Security-Report nannte die Hälfte der befragten Organisationen fehlende Cloud-Security-Skills als größtes Hindernis bei der Einführung oder Nutzung von Cloud-Services.
Gerade die unsachgemäße Nutzung von Cloud-Technologien führt zu erhöhten Risiken in Bezug auf Datendiebstähle, unsicheres Identitätsmanagement und Denial of Service. Auch die Sicherheit innerhalb einer Organisation sollte berücksichtigt werden, was aber allzu häufig übersehen wird. Als etwa der britische Software-Hersteller Sage vor einiger Zeit Opfer einer Attacke wurde, bei der Daten von mehr als 280 Unternehmen ausspioniert wurden, stellte sich der Angreifer im Nachhinein als unzufriedener Mitarbeiter heraus.
Neben plattformspezifischen Kenntnissen über Sicherheits-Features, Infrastruktur und Migration sowie über die komplexe Verschlüsselung bei Datenübertragungen zählt auch die Konformität mit geltenden Datenschutzrichtlinien zu den notwendigen Skills eines Cloud-Security-Experten.
Application Security
33 Prozent aller befragten Cybersecurity-Experten gaben in einer ESG/ISSA-Studie an, dass es ihrem Unternehmen akut an Skills im Bereich Application Security mangelt. Daher ist es keine Überraschung, dass Sicherheitsrichtlinien in der Entwicklung von Applikationen oft vernachlässigt werden. Diese Richtlinien sind aber der Schlüssel zu einer konsistenten Sicherheitsstrategie in einer Organisation.
Denn die meisten Datendiebstähle sind gerade aufgrund von Lücken in Software-Codes erfolgreich oder wegen ungepatchter Software, die keine regelmäßigen Updates erhält. Durch eine nachlässige Programmierung und Qualitätssicherung können sich folgenschwere Programmierfehler einschleichen. Solange die Apps funktionieren, fallen solche Fehler möglicherweise gar nicht auf, sondern erst dann, wenn ein Hacker die Sicherheitslücke entdeckt und für einen Angriff gezielt ausnutzt.
Der intensive Ausbau von Maßnahmen zur Qualitätssicherung und die erweiterte Entwicklung von Sicherheits-Codes mag kurzfristig Kosten verursachen, rentiert sich aber langfristig, indem belastbare Applikationen mit geringerem Risiko für Sicherheitsvorfälle verwendet werden.
2. Teil: „Data & Network Security“
Data & Network Security
In Umfragen unter Führungskräften landete das Thema Datensicherheit unter den Top-3-Geschäftsprioritäten. Nach zahlreichen Vorfällen in der jüngsten Vergangenheit ist den meisten Unternehmen die Gefahr des mangelnden Schutzes ihrer sensiblen Daten inzwischen bewusst. So waren etwa im Februar vergangenen Jahres durch eine Sicherheitslücke in der Software des Anbieters Cloudflare während fast eines halben Jahres vertrauliche Daten von Webseiten wie Uber, Yelp und Fitbit öffentlich zugänglich.
Durchschnittlich liegen die Kosten, die im Fall einer erfolgreichen Attacke auf ein Unternehmen zukommen, bei mehr als 5 Millionen Dollar respektive 20 Prozent seines Umsatzes. Hinzu kommt der Reputationsschaden. Die EU-DSGVO setzt die Unternehmen zusätzlich unter Druck, rasch ausreichend in Datensicherheit, Datenschutz und entsprechend geschulte Fachkräfte zu investieren.
Network Security
Die zunehmende Virtualisierung von IT und die Nutzung von Cloud-Servern haben den Bedarf an Experten mit Network-Security-Skills in letzter Zeit stark ansteigen lassen. Applikationen zur Netzwerküberwachung sind für die Identifikation verdächtiger Verhaltensweisen essenziell geworden, können aber detailliertes Expertenwissen nicht ersetzen.
Organisationen brauchen Mitarbeiter mit gut ausgebildeten Sicherheitsfähigkeiten, um gefährliche Aktivitäten im Netzwerk zu erkennen und schnelle Entscheidungen über Reaktion und Vorgehensweisen zu treffen. Zu den notwendigen Skills eines Netzwerksicherheitsexperten zählen das Verhindern und Aufdecken unautorisierter Zugriffe, Modifizierungen und Blockaden innerhalb eines Netzwerks sowie Kenntnisse über Authentifizierung, Monitoring und Etablierung von Sicherheitsrichtlinien.
Penetration Testing
In rund 20 Prozent der Unternehmen fehlen nach Angaben der erwähnten ESG/ISSA-Studie zudem Penetration-Testing-Skills. Ohne regelmäßige Penetration Tests an Services und Applikationen sind Organisationen jedoch nicht in der Lage, Sicherheitslücken rechtzeitig zu erkennen. Wenn Hacker eine Schwachstelle im Netzwerk finden, der sich das betroffene Unternehmen nicht bewusst ist, können die Angreifer interne Daten während Monaten, wenn nicht Jahren, systematisch ausspionieren. Simulierte Attacken, die Penetration Tests, checken die Unternehmenssysteme mit den Tools und Methoden der Cyberkriminellen umfassend auf Schwachpunkte.
Penetration-Tester versenden etwa interne Phishing-Mails an Mitarbeiter, scannen das Netzwerk auf Fehler oder sperren die Server mit einer Distributed-Denial-of-Service-Attacke. Entdeckte Lücken werden anschließend untersucht und geschlossen. Ohne diese harmlosen Testangriffe bleiben Systemfehler und Schwachstellen oft lange Zeit unentdeckt – und somit offen für Hacker mit kriminellen Absichten.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Personen
Nfon CCO Gernot Hofstetter tritt zurück
Gernot Hofstetter war sechs Jahre beim Münchner Cloud-PBX-Anbieter Nfon, zuletzt als Chief Commercial Officer. Nun hat er das Unternehmen verlassen und ist zum Start-up Stealth Mode gewechselt.
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>