Durch die zunehmende Verlagerung von Diensten und Daten ins Internet entstehen zahlreiche neue Angriffspunkte für Cyberkriminelle. Eine Herausforderung für Sicherheitsexperten – sie müssen die Balance finden zwischen der totalen Abschottung sensibler Daten, der Nutzerfreundlichkeit sowie der Wirtschaftlichkeit von IT-Systemen. IT-Sicherheitsexperten sollten direkt im Unternehmen beschäftigt sein, in dem sie auch tätig sind, denn sie haben den besten Überblick über die IT-Infrastruktur und können schnell auf die Entdeckung von Sicherheitslücken reagieren und proaktiv tätig werden. Gleichzeitig ist es für die Unternehmen essenziell, dass die Mitarbeiter dem Unternehmen eng verbunden und möglichst loyal sind, was bei eigenem Personal meist leichter zu erreichen ist.

IT-Sicherheit als Wettbewerbsvorteil
Unternehmen, die lediglich reagieren, werden früher oder später mit Problemen konfrontiert, daher sollte möglichst proaktiv gehandelt werden. Dazu gehört zwingend, das erforderliche Know-how an Bord zu holen. Die Rekrutierung von IT-Sicherheitstalenten kann sogar als Wettbewerbsvorteil verstanden werden. Interne Weiterbildungsmöglichkeiten sollten gefördert werden, um qualifizierten Mitarbeitern die Möglichkeit zu bieten, ihre Erfahrungen und Fähigkeiten in Themen einzubringen, die dem Unternehmen dienlich und für den Einzelnen eine neue Herausforderung sind - win-win für beide Parteien.

Abwerben als Ultima Ratio?
Viele Arbeitgeber setzen alles daran, das Know-how im Sicherheitsbereich zu bewahren und die Spezialisten an Bord zu halten. Daher gestaltet es sich nicht einfach, Sicherheitsexperten von anderen Unternehmen oder auch von Mitbewerbern abzuwerben. Arbeitgeber  sind daher häufig bereit, viele Zugeständnisse zu machen, damit ihre Mitarbeiter zufrieden sind und nicht beim ersten Angebot zugreifen. Wenn Mitarbeiter sich wohlfühlen und die geforderten Freiheitsgrade erhalten, gibt es wenig Beweggründe, die zu einem Arbeitgeberwechsel führen.

Die Wechselmotivation liegt üblicherweise nicht darin, dass IT-Sicherheitsexperten bei vergleichbarer Tätigkeit zum nächsten Arbeitgeber flüchten wollen. Oft sind es eher persönlichen Gründe, wie beispielsweise die sinkende Reisebereitschaft des betroffenen Mitarbeiters oder der Wunsch nach einem größeren Verantwortungsbereich. IT-Sicherheitsexperten erwarten zumeist ein Arbeitsumfeld mit vielen Freiheitsgraden und eine Arbeitsumgebung, die auf dem neuesten technologischen Stand und mit den neuesten Features im IT-Sicherheitsbereich ausgestattet ist und die auch notwendige Investitionen ohne monatelange interne Bürokratie zulässt.

Diese Qualifikationen sind erforderlich
Die für den Sicherheitsbereich gesuchten IT-Spezialisten müssen im Hinblick auf ihre Qualifikationen und Profile viel breiter aufgestellt sein als reine IT-Experten. Effektive Präventionsarbeit dieser Spezialisten beinhaltet auch die Planung potenzieller Angriffs-Szenarien, beispielsweise wenn Forschungsdatenbanken angezapft werden sollen, Produktionen blockiert werden sollen et cetrea. Für eine derartige Planung sind neben den reinen Programmiersprachen fundierte Kenntnisse im Security- und Netzwerkbereich, Kryptografie und natürlich Vertrautheit mit allen gängigen Software-Herstellern und deren Produkte erforderlich. Zudem muss der IT-Spezialist sich in die vermutete Zielsetzung und idealerweise sogar in die Denkweise der Hacker hinein versetzen können, um geeignete Gegenmaßnahmen zu ergreifen.

Neben der theoretischen Konstruktion von Worst Case-Szenarien ist es natürlich auch erforderlich, mögliche Schlupflöcher im System aufzufinden. Auch sollten Szenarien überdacht werden, die nicht rein auf der Programmierung, dem Angriff auf die Firewall oder direkten anderen Angriffen beruhen. Erhebliches Potential an Cyberangriffen sind mittlerweile auch dem Social Matching zuzuschreiben.

Geeignete und loyale Kräfte sind gefragt
Das Bewusstsein für die neuen Anforderungen an IT-Sicherheit ist zwar gewachsen, jedoch ist die Umsetzung noch sehr langsam. Die ersten Hochschulen bieten mittlerweile Lehrstühle oder haben eine auf IT-Sicherheit spezialisierte Professur eingerichtet.

Unternehmen erkennen die Ernsthaftigkeit der IT-Sicherheit, haben es aber sehr schwer, personell aufzurüsten, um geeignete Qualifikationen an Bord zu holen. Dies hat zur Folge, dass aktuell auf dem Arbeitsmarkt nur wenige Experten im Bereich IT-Sicherheit verfügbar sind. Da es sich im IT-Sicherheitsbereich um einen Arbeitnehmermarkt handelt, suchen die Spezialisten bevorzugt nach Unternehmen, die technologische Vorreiter sind und die dem Kandidaten die aktuellsten Standards bieten.

Mut zur Lücke
Der Mensch selbst ist die größte Bedrohung für die IT-Sicherheit, ob als böswilliger Täter oder gutgläubiger Nutzer – Jäger und Gejagter. Es lohnt sich deshalb, in hochqualifizierte Mitarbeiter und Weiterbildungsangebote zu investieren, um die größtmögliche Expertise im Unternehmen zu bündeln und zu halten.

Unternehmen gehen bei der Rekrutierung von geeigneten Mitarbeitern im IT-Sicherheitsbereich bisher nur bedingt Kompromisse ein. Es ist sehr ratsam für Arbeitgeber, Zugeständnisse bei der Rekrutierung zu machen und nicht auf eine 100-prozentige Passgenauigkeit zur beharren. Vielmehr sollten Unternehmen in Skills investieren und maßgeschneiderte Ausbildungen für etwaige Lücken anbieten. Wenn ein Kandidat Grundkenntnisse im Bereich der IT-Sicherheit mitbringt und auch privat eine hohe Affinität zu diesen Themen besitzt sowie alle weiteren Fähigkeiten vorhanden sind, macht ein Ausbau des Know-hows Sinn. Dies kann durch Weiterbildungen oder Zertifizierungsprogramme erfolgen, die Mitarbeitern die Möglichkeit bieten, sich in Themengebieten wie Kryptologie, Computer-Strafrecht oder Forensik weiterzubilden.

Der Quereinstieg im IT-Sicherheitsumfeld
Als Quereinsteiger in der IT-Sicherheitsbranche Fuß zu fassen, bedeutet oftmals, intensive Umschulungsprogramme und Weiterbildungsmaßnahmen zu absolvieren, die hohen persönlichen Einsatz erfordern. Von Quereinsteigern wird hohe Flexibilität und Eigeninitiative erwartet. Sie haben es angesichts der steigenden Komplexität immer schwerer, in die IT-Sicherheitsbranche zu gelangen. Durch die Komplexität und Anfälligkeit der IT-Systeme ist es gleichzeitig erforderlich, neben dem Fachwissen auch ein Verständnis für systemübergreifende Zusammenhänge mitzubringen.

Fazit
Die Gefährdungslage im IT-Sicherheitsbereich wandelt sich ständig, daher ist es mit einer einmaligen Ausbildung nicht getan. Die Bereitschaft zur ständigen Weiterbildung ist extrem wichtig. Bezogen auf die Anforderungen ist es allerdings nicht mehr zeitgemäß, IT-Sicherheit allein als Aufgabe der IT-Abteilung zu sehen. Der Anspruch an die Aufrechterhaltung eines sicheren IT-Betriebs muss vielmehr von allen Beteiligten – vom Vorstand bis zum Endanwender – getragen werden. Eine in diesem Zusammenhang genannte Empfehlung lautet, IT-Sicherheit als Teil der Unternehmenskultur zu etablieren.




ln/Martin Krill, Geschäftsführer der Hager Unternehmensberatung GmbH