IT-Sicherheit

Fallstrick Fachkräftemangel

Im Interview beleuchtet Christian Vogt, Senior Regional Director Germany bei Fortinet, die Folgen des aktuell ­herrschenden Fachkräftemangels in der IT-Sicherheit.

Fallstrick Fachkräftemangel

Im Interview erklärt Christian Vogt von Fortinet, welche Folgen der Fachkräftemangel auf die IT-Sicherheit haben könnte.

IT-DIRECTOR: Herr Vogt, die aktuelle Bedrohungslage führt bei den Verantwortlichen mitunter zu schlaflosen Nächten. Welche Risikofaktoren machen Chief Information Security Officers (CISOs) derzeit das Leben besonders schwer?
C. Vogt:
Dank Digitalisierung und Vernetzung sind Daten mobil geworden. Wo sie früher noch an einzelne Arbeitsplätze oder Server gebunden waren, haben Mitarbeiter und Partner nun über eine Vielzahl von Endpunkten und Apps Zugriff auf Informationen und Assets von Unternehmen. Viele Endpunkte bedeuten aber auch eine breitere Angriffsfläche für Einbruchs- und Diebstahlversuche. Aufgabe eines CISOs ist es also, sowohl ein integriertes Sicherheitskonzept zu entwickeln als auch Management und Mitarbeiter für einen verantwortungsvollen und sicheren Umgang mit IT und Daten zu sensibilisieren.

IT-DIRECTOR: Im Zuge der Digitalisierung öffnen sich regelmäßig neue Einfallstore für Angreifer. Worauf kommt es an, damit die Sicherheitsstrategien der Unternehmen mit dem digitalen Wandel Schritt halten können?
C. Vogt:
Es geht darum, alle Elemente im IT-Gefüge zu berücksichtigen. Das bedeutet, die gesamte Bandbreite an physischen, virtuellen und auch temporären Netzwerkelementen, sämtliche On-Premise-Geräte sowie Mobile Devices bis hin zum Cloud-Öko­system in eine einheitliche Sicherheitsarchitektur zu integrieren. Ziel ist es, ein neuronales Sicherheitsnetz ineinandergreifender Security-Tools aufzubauen, das mithilfe von Predictive Analytics und Automatisierung einerseits schnell reagieren und andererseits auch präventive Maßnahmen und Informationen bereitstellen kann. Mit einem solchen „Security-Fabric-Ansatz“ ist die Sicherheit auch bei Veränderungen oder einer Skalierung der Netzwerkinfrastruktur gegeben.

IT-DIRECTOR: Welche Abwehrmaßnahmen sind unerlässlich?
C. Vogt:
Mit der zunehmenden Verbreitung des Internets der Dinge (Internet of Things, IoT) müssen immer mehr Angriffsvektoren berücksichtigt werden. Noch fehlt es an einheitlichen Sicherheitsstandards, weshalb versierte Hacker gerne ebendiese IoT-Geräte ins Visier nehmen. Wichtig ist daher eine fortlaufende Koordination zwischen Management und CISO. Dazu hilft eine klare Festlegung der Kompetenzen und Verantwortung bei der Umsetzung ganzheitlicher Sicherheitskonzepte. Das Fundament einer starken IT-Security sind verbindliche Absprachen darüber, welche Assets unbedingt geschützt werden müssen und welche Maßnahmen dafür zu ergreifen sind.

Dies ist ein Artikel aus unserer Print-Ausgabe 10/2018. Bestellen Sie ein kostenfreies Probe-Abo.


IT-DIRECTOR: Hundertprozentige Sicherheit kann niemand garantieren. Welche Maßnahmen sollte man priorisieren, um die Angriffsflächen möglichst klein zu halten?
C. Vogt:
Nicht alle Bedrohungen sind gleich. Um zu priorisieren, muss man die potentiellen wirtschaftlichen Schäden der Schwachstellen gegen die Kosten der passenden Gegenmaßnahme aufwiegen. Aber auch hier kommt die enge Kooperation von Führungsebene und CISO zum Tragen. Sie müssen gemeinsam die geschäftskritischen Assets identifizieren und die passenden Sicherheitsinvestitionen und Prozesse definieren.

IT-DIRECTOR: Prognosen zufolge sollen 2021 rund 3,5 Millionen Sicherheitspositionen nicht besetzt sein. Wie wirkt sich dieser Personalmangel auf die Unternehmen aus?
C. Vogt:
Komplexere IT bedeutet zwangsläufig auch weitreichendere Anforderungen an das Sicherheitspersonal. Mit Zero-Day-Exploits, automatisierten Cyberangriffen und kontinuierlicher Weiterentwicklung der Malware ist es zwingend notwendig, dass Sicherheitsfachleute immer auf dem neuesten Stand sind. Nur dann können sie effektive Gegenmaßnahmen entwickeln und schnell genug agieren. Mehr noch: Sie dürfen den laufenden Betrieb nicht ausbremsen, sondern sollen ihn vielmehr ankurbeln. Das sind anspruchsvolle Aufgaben, wofür eine sehr spezielle Expertise benötigt wird. Und mittlerweile hat sich eine echte IT-Sicherheitsfachkräftelücke gebildet. Diese führt zu einer erhöhten Arbeitsbelastung der bestehenden Mitarbeiter, mehr Zeitaufwand für die Einstellung und Ausbildung von Nachwuchskräften aufgrund des Mangels an erfahrenen Talenten und einem weitgehend reaktiven Sicherheitsverhalten.

IT-DIRECTOR: Wie können Unternehmen trotzdem qualifiziertes Fachpersonal anheuern?
C. Vogt:
Das Wichtigste ist eine klare und aussagekräftige Stellenausschreibung. Sie muss die nötigen Kompetenzen und Anforderungen deutlich umreißen und gleichzeitig das Interesse der Bewerber wecken. Anschließend gilt es, diese Ausschreibung auf den richtigen Kanälen zu platzieren. Für die aktive Stellensuche benutzen Bewerber mittlerweile im Durchschnitt über 15 Kanäle, von Fachportalen, Inseraten bis hin zu Social Media. Es ist also wichtiger, gezielt die richtigen Kanäle zu wählen, statt ein möglichst weites Netz auszuwerfen. Gleichzeitig kann man mit eigenen Fortbildungsmaßnahmen auch intern Fachkräfte ausbilden.

IT-DIRECTOR: Über welche Kanäle lassen sich Sicherheitsspezialisten am besten rekrutieren?
C. Vogt:
Die jeweiligen Kanäle hängen von den individuellen Anforderungen des Unternehmens und der zu besetzenden Position ab. Speziell für die Position des CISOs haben wir in diesem Jahr einen Hiring Guide veröffentlicht, der die wichtigsten Stellenportale zusammenfasst. An vorderster Front sollte die Firmen-Website mit der Stellenausschreibung bestückt sein. Das vergessen viele und konzentrieren sich stattdessen auf externe Kanäle. Doch tatsächlich besuchen 85 Prozent der Bewerber bei ihrer Suche die Firmen-Website.

IT-DIRECTOR: Wie schafft man es, die gefundenen Sicherheitsfachkräfte langfristig zu binden?
C. Vogt:
Die Unterstützung der Mitarbeiter in den ersten Wochen ist entscheidend, gerade in der IT. Jede IT-Infrastruktur ist anders, deshalb ist es wichtig, den Onboarding-Prozess für neues IT-Sicherheitspersonal umfassend und ganzheitlich zu gestalten. Nur mit einem vollständigen Überblick können sie ihren Job auch gut machen. Das schließt neben der Technik und den Compliance-Richtlinien auch den Austausch mit anderen IT- sowie Nicht-IT-Kollegen ein.

IT-DIRECTOR: Worauf kommt es beim Auswahlprozess an?
C. Vogt:
Man darf bei allen Qualifikationen und allem Expertenwissen die menschliche Komponente nicht vernachlässigen. IT-Sicherheit ist ein forderndes Berufsfeld, das hohe Stresstoleranz und eine analytische Denkweise, aber auch hohe Integrität erfordert. Daher lohnt es sich, die Referenzen des Bewerbers genau zu prüfen und Falschangaben zu entlarven. Man sollte die Bewerber zudem nach ehemaligen Kollegen oder Kunden fragen, die für Auskünfte zur Verfügung stehen.

Bildquelle: Fortinet

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok