Cloud Computing ist in deutschen Unternehmen angekommen: Laut dem Cloud Monitor 2019 der Bitkom ist es bereits bei drei von vier im Einsatz. Nicht zuletzt die Erfahrungen mit dem Corona-Virus haben dem Thema zusätzlichen Auftrieb verschafft. Damit einher gehen neue Anforderungen – insbesondere im Bereich IT-Sicherheit.
Jeweils ein Drittel der befragten Unternehmen berichtet von Schwierigkeiten bei den Security- beziehungsweise Compliance-Anforderungen in der Public Cloud. Dies verwundert nicht angesichts der Komplexität des Themas: Die Cloud Controls Matrix der gemeinnützigen Cloud Security Alliance (CSA) listet insgesamt 130 sicherheitsrelevante Aspekte bei dem Betrieb einer Cloud-Lösung auf.
Auf dem Arbeitsmarkt stehen nur wenige Experten für IT-Sicherheit zur Verfügung
Sicherheitsfragen sind für die IT mittlerweile so integral, dass sie längst nicht mehr nur einen Sicherheitsbeauftragten etwas angehen oder sich vollständig an einen Managed Service Provider auslagern lassen. Aus DevOps und Microservices-Architekturen resultiert vielmehr ein „Shift Left“-Ansatz, bei dem Betrieb und IT-Sicherheit schon während der Applikationsentwicklung berücksichtigt werden müssen. Aber woher nehmen Unternehmen die entsprechende Expertise, um mit ihren Cloud-Initiativen buchstäblich auf der sicheren Seite zu sein?
Zu der Knappheit von IT-Sicherheitsexperten trägt nicht zuletzt bei, dass der Aspekt der Sicherheit in den klassischen Ausbildungswegen bisher eine untergeordnete Rolle spielte. Dies ändert sich allmählich: Laut dem Karriereportal studycheck.de bieten mittlerweile 24 Hochschulen einen Abschluss in Cyber-Sicherheit an. Dies ist gemessen an der Gesamtzahl von rund 400 Hochschulen in Deutschland jedoch vergleichsweise wenig. Zudem sind die Studiengänge noch relativ neu, sodass sie die Anzahl von erfahrenen Experten auf dem Arbeitsmarkt nicht unmittelbar erhöhen.
Höhere Cloud Security trotz knapper Personalressourcen
Um die nötige Sicherheit zu gewährleisten, können Unternehmen auf eine Reihe von Maßnahmen setzen, die sich gegenseitig ergänzen. Dazu gehören die folgenden:
- Weiterbildung und fachliche Vertiefung – Das eigene Personal zu entwickeln, ist eine naheliegende Variante. Neben Inhouse-Schulungen sind gerade angesichts von Corona auch externe Weiterbildungen mithilfe von Online-Kursen einen Blick wert. Das Angebot ist hier sehr groß und kann für Einsteiger unübersichtlich wirken. Für die verschiedenen Anforderungen gibt es glücklicherweise strukturierte und international anerkannte Zertifizierungen. Zu den bekanntesten gehören die folgenden fünf:
- Certified Ethical Hacker (CEH); beinhaltet gängige Methoden für ethisches Hacking beziehungsweise Penetration Testing.
- Certified Information Security Manager (CISM); beinhaltet Wissen über die Einführung, Überwachung und Verwaltung von Sicherheitsrichtlinien und -prozessen.
- CompTIA Security+; beinhaltet generalistisch ausgerichtetes Know-How über sicherheitsrelevante Aspekte der IT.
- Certified Information Systems Security Professional (CISSP); diese Zertifizierung richtet sich an (zukünftige) Entscheidungsträger, indem sie technisches Know-How und IT Management kombiniert. Sie ist in den drei Schwerpunkten „Architecture“, „Engineering“ und „Management“ erhältlich.
- Certified Information Systems Auditor (CISA); der Schwerpunkt dieser Zertifizierung ist Know-How für die Netzwerk- und Systemüberwachung.
Die Prüfungen zu den vorgestellten Zertifizierungen lassen sich über entsprechenden Träger auch in Deutschland und Europa absolvieren. Dabei gehört auch ein bestimmtes Maß an Berufserfahrung im IT-Bereich zu den Zulassungsvoraussetzungen. Inhalte zur Vorbereitung auf die jeweiligen Prüfungen finden sich in Lehrbüchern oder auch Online-Kursen. So bietet beispielsweise Udemy einen kostengünstigen Komplettkurs für das CEH-Zertifikat an.
Manche Unternehmen mögen vor zusätzlichen Kosten für die Weiterbildung ihrer Mitarbeiter zurückschrecken – denn schließlich könnten diese bald darauf hin weiterziehen. Allerdings sollten dabei auch die Kosten für eine externe Neueinstellung gegengerechnet werden. Nicht nur das beim Jobwechsel üblicherweise höhere Gehalt schlägt dabei zu Buche, sondern auch die Rekrutierungskosten und die Einarbeitungsphase. Die Weiterentwicklung bereits vorhandener Mitarbeiter kann daher die bessere Alternative darstellen.
- Neue Wege der (digitalen) Rekrutierung – Die klassische Stellenausschreibung bringt heutzutage und besonders in einem hochspezialisierten Arbeitsmarkt wie der IT-Sicherheit nicht mehr die Resultate, die Unternehmen aus früheren Zeiten gewohnt waren. Um passende Experten zu finden, müssen sie sich aktiv verkaufen. Hierbei helfen unter anderem die folgenden Ansätze:
- Employer Branding: Unternehmen müssen sich nicht nur gegenüber Kunden, sondern auch Talenten „verkaufen“. Der Aufbau und die Pflege einer attraktiven Arbeitgebermarke sorgt für Interesse und emotionale Bindung potenzieller Bewerber an das Unternehmen.
- Recruiting Funnel: Unternehmen sollten Fachleute aus einem gefragten Bereich bereits dann mit Marketingmaßnahmen ansprechen, wenn (noch) keine Stelle ausgeschrieben wird. Dies erhöht die Reichweite und Qualität der Bewerbungen, die im Fall einer Ausschreibung durch einen „Trichter“ (vergleichbar mit dem bekannten „Sales Funnel“) geleitet werden.
- Agile Prozesse: Gefragte Experten erhalten laufend eine Vielzahl von spannenden Angeboten. Der Einstellungsprozess muss daher schlank, schnell und in enger Kommunikation mit den Kandidaten von statten gehen. Hierfür sind agile Backoffice-Prozesse äußerst hilfreich.
- Einbindung von Remote-Experten – Trotz Weiterbildung und effektivem Recruiting wird es nicht immer möglich sein, alle Aufgaben bezüglich der IT-Sicherheit In-House zu erledigen. Diese Marktlücke haben insbesondere die großen IT-Konzerne bereits entdeckt und bieten in ihren Cyberabwehrzentren unter anderem Monitoring und Bereitschaftsdienst rund um die Uhr an. Auch die Implementierung und der Betrieb von Technologien wie einem Security Information & Event Management (SIEM)-System lässt sich bei Fehlen entsprechender Ressourcen in die Hände eines Managed Service Providers legen. Dies erfordert jedoch eine genaue Abwägung, denn durch einen externen Anbieter können auch Risiken wie Abhängigkeit, fehlende Kontrolle, Interessenskonflikte oder gar zusätzliche technische Verwundbarkeiten entstehen.
- Automatisierung und Integration – Zu guter Letzt ist es die technologische Entwicklung selbst, die Abhilfe bieten kann. Bereits in der Entwicklung lässt sich Software durch Verfahren der Testautomatisierung sicherer gestalten. Dankenswerterweise stehen hierfür viele Werkzeuge als Open-Source-Versionen zur Verfügung, wie zum Beispiel Selenium. Eine weitere Entwicklungsstufe stellen KI-gestützte Werkzeuge zum Monitoring von Netzwerken und Erkennen von Angriffen dar.
Eines ist klar: Das Thema IT-Sicherheit wird parallel zum Fortschreiten der Digitalisierung immer wichtiger werden. Gerade deshalb ist es unverzichtbar, sich heute schon Gedanken zu machen, wo das Know-How für adäquate Sicherheit herkommt. Angesichts stetig steigender Kosten für die Schäden von Hackerangriffen stellt dies eine lohnende Investition dar.
