Thought Leadership
Weltweit fehlen derzeit bis zu 3.4 Millionen Fachkräfte in der Cybersicherheit. Zu diesem Ergebnis kommt die inzwischen jährlich herausgegebene (ISC)² Cybersecurity Workforce-Studie, die auf einer Umfrage unter mehr als 10.000 Cybersicherheitsfachleuten aus aller Welt basiert. Doch nicht nur die renommierte Studie kommt zu dem Schluss, dass hier ein Problem vorliegt, sondern auch viele andere Marktanalysten und -beobachter.
Tata Consultancy Services (TCS) stellte in seiner Untersuchung, bei der mehr als 600 Vertreter von Unternehmen in der EU und Nordamerika befragt wurden, fest, dass es Chief Risk Officers (CROs) und Chief Information Security Officers (CISOs) bereits im vergangenen Jahr schwerfiel, Talente mit Kenntnissen in den Bereichen Cyberrisiken und -sicherheit für sich zu gewinnen (44 Prozent) und besonders wichtig, diese auch zu halten (42 Prozent).
Beide Studien stehen stellvertretend für einen Trend, der sich seit langer Zeit entwickelt hat und der trotz der Popularität der Branche sowie der zahllosen Studiengänge und Ausbildungsmöglichkeiten nicht abgeschwächt werden konnte. Was für Konzerne und weltweit tätige Unternehmen bereits eine Herausforderung ist, stellt sich für viele mittelständische Firmen in Deutschland als riesiges Problem heraus. Personal zu finden und vor allem zu halten, wie es auch in der Studie der TCS dargestellt wurde, ist für diese Entitäten kaum zu meistern.
Dabei gäbe es dringend Bedarf. Die Cyberrisiken sowohl intern als auch extern entwickeln sich dynamisch weiter. Gleichzeitig steigen die Anforderungen an die IT-Abteilung durch die fortschreitende Digitalisierung exponentiell an. Der stete Veränderungsdruck der Fachabteilungen besonders beim Thema Digitalisierung lässt die Mitarbeitenden an ihre Grenzen kommen. Die Komplexität der IT-Landschaft sorgt für lange Nächte und hohes Arbeitspensum. Die Antwort darauf sollte ein höheres Budget für mehr Fachleute oder aber externe Dienstleister sein. Oft ist es mehr Freiheit für die einzelnen Fachabteilungen bei der Wahl ihrer IT-Lösungen, was aber wieder zu einem höheren Risiko für die gesamte Organisation führt. Eine Studie unter knapp 8.000 Befragten von Skillsoft mit dem Titel „IT Skills and Salary Report 2022“ zeigt auf, dass fast die Hälfte der befragten IT-Fachkräfte darüber nachdenkt, dass aktuelle Unternehmen zu verlassen.
Bedrohungslage hoch wie nie
Gleichzeitig nehmen Cyberrisiken zu. In dem aktuellen Lagebild IT-Sicherheit des BSI 2022 wird die Gefährdungslage für deutsche Unternehmen so hoch wie noch nie festgestellt. Laut dem Bericht wurden im Jahr 2021 über 20.000 Schwachstellen in Software-Produkten registriert, was einem Zuwachs von 10 Prozent gegenüber dem Vorjahr entspricht. Besonders Ransomware-Angriffe und Supply Chain-Attacken stehen im Fokus und es vergeht kein Tag, an dem nicht ein weiteres deutsches Unternehmen von einer Cyberattacke betroffen ist. Dabei wird immer häufiger wieder das Thema Data Loss, also der Diebstahl von Daten durch das Kopieren nach einer Kompromittierung – zumeist per Phishing-E-Mail oder ähnlicher Social Engineering-Methoden – aktuell. Mit den immer professionelleren Extortion-Methoden operieren cyberkriminelle Gangs weltweit, um Lösegeld zu erpressen. Diese sehr gut organisierte Szene hat es besonders auf deutsche Mittelständler abgesehen, denn die Cyberkriminellen wissen, dass sie IT-Landschaften vorfinden, die mit dem zur Verfügung stehenden Personal gar nicht für die notwendige IT-Sicherheit sorgen können.
Hier kommt die dynamische Cyberrisiko-Intelligenz ins Spiel. Hierbei geht es darum, dass Wissen über die IT-Infrastruktur und deren Absicherung so zu dokumentieren, dass selbst beim Verlassen einer Fachkraft ein Nachfolger oder aber neue Mitarbeiter schnell einen Überblick über den Ist-Zustand der Umgebung erhalten. Dies bedeutet, zu jedem Zeitpunkt aktuelle Informationen zur Verfügung stehen zu haben und dies mit möglichst wenig Aufwand durch automatisches Erfassen von bestimmten Daten aus den bestehenden IT Security-Systemen.
Unternehmen hilft dies bei Auditierungen und Assessments, wenn bei einer Überprüfung schnell Reports verfügbar sein müssen und nicht alles manuell zusammengetragen werden muss. Doch auch beim alltäglichen Betrieb unterstützt der risikobasierte Ansatz die IT-Fachleute dabei sich auf die Dokumentierung der Assets, das Schließen von Schwachstellen, das Patch-Management sowie das Lösen von Zugriffsfragen zu fokussieren. Nicht zuletzt bei der Frage des strategischen Investments müssen die aktuelle Lage und der zukünftige Bedarf klar formuliert werden können. Auch hier helfen eine ganzheitliche Analyse und die Visualisierung über ein übersichtliches Dashboard, dass einmal für die IT-Entscheider und einmal für die Geschäftsführung zur Verfügung steht. Findet all das nicht statt, sondern verharrt beim manuellen Prozess, dann bleiben Schwachstellen unentdeckt, Netzwerke und Assets von außen sichtbar, Accounts von längst abgewanderten Mitarbeitenden bestehen und Logic Bombs als tickende Zeitbomben. Die Folge sind potentielle Systemausfälle, die je nach Komplexität viel Arbeitsstunden für die Behebung erfordern und die knappen Ressourcen der IT-Abteilung unnötig belasten.
Dynamische Cyberrisiko-Analyse
Cyberrisiken entwickeln sich dynamisch und verändern sich ständig. Klassische Audits, also einmalige, statische Risikobewertungen auf Grundlage von Momentaufnahmen, können keine Abhilfe leisten. Ein echtes Cyberrisiko-Monitoring setzt voraus, dass Veränderungen im Unternehmensnetzwerk im zeitlichen Kontext gesehen werden. Darüber hinaus müssen die Verantwortlichen entscheiden können, ob und in welcher Form sie das Risikomanagement anpassen. Der Ansatz hilft Reifegerade von IT-unterstützenden Services und Risikolevel auf Knopfdruck zu generieren. Die Reports werden auf die Bedürfnisse der jeweiligen Stakeholder zugeschnitten, seien es IT-Leiter, Geschäftsführer oder Auditoren. Mit der Erstellung von Listen werden die Cyberrisiken priorisiert und Empfehlungen zu deren Behebung bzw. Vorbeugung aufgezeigt. Unbekannte Assets werden automatisch identifiziert. Auf Basis von zu erwartenden Schäden durch die Cyberrisiken werden Empfehlungen abgegeben, in welche Sicherheitsmaßnahmen investiert werde sollte. Dies erfolgt Hersteller unabhängig auf Basis bekannter Risiken.
Fazit
Maßnahmen zur Reduzierung von Cyberrisiken mit automatisierter Software, die zugleich auch die Risikowerte einer solchen Bedrohung beziffern hilft, unterstützt besonders Mittelständlern das Problem des Fachkräftemangels zu lindern. Fachleute für IT-Sicherheit wachsen nicht auf den Bäumen und müssen fortlaufend geschult und weitergebildet werden. Darüber hinaus benötigen sie eine Vielzahl von Tools und IT-Sicherheitslösungen sowie Zeit Prozesse aufzusetzen und Notfallpläne zu entwerfen. Diese Zeit können IT-Sicherheitsfachleute durch den Wegfall von manuellen Prozessen für sich und zum Wohle des Unternehmens generieren.
