Mit Sicherheit durchstarten
Von Dirk Bongardt
Es war noch nie einfach, die Sicherheit der IT-Systeme eines Unternehmens zu gewährleisten. Aber es war auch noch nie eine spannendere Herausforderung. Zum einen, weil Cyberkriminelle aufgerüstet haben: Die gewieften Hacker vergangener Zeiten arbeiten heute nicht mehr einzeln, sondern gehören zu global agierenden, mit reichlich Ressourcen ausgestatteten Organisationen. Zum anderen, weil die Unternehmens-IT mehr Angriffsflächen bietet als je zuvor: Das Internet of Things, die Auslagerung von Daten und Infrastruktur in die Cloud und der Trend bzw. die zeitweise Pflicht zum Homeoffice haben die potenziellen Einfallstore vervielfacht.
Angriff aufs Homeoffice
Vor eine besondere Herausforderung hat die Corona-Pandemie zahlreiche Unternehmen gestellt. Die wenigsten IT-Abteilungen hatten bereits fertige Konzepte in der Schublade, die einen sicheren Umzug eines großen Teils der Belegschaft ins Homeoffice gewährleisten konnten. Doch dieser musste sich, dem Infektionsgeschehen geschuldet, vielfach im Eiltempo vollziehen. Entsprechend mussten die IT-Verantwortlichen großes Improvisationstalent beweisen, und die Notwendigkeit, den Geschäftsbetrieb aufrecht zu erhalten, ließ etwaige Sicherheitsbedenken in den Hintergrund rücken.
Pandemiegewinner: Cybergangster freuen sich über Sicherheitslücken im Homeoffice. (Quelle: Statista)
In einer internationalen Studie, die VMware Carbon Black im Frühjahr 2020, nach dem Ausbruch der Pandemie durchführte, gaben 91 % der Befragten an, ihr Unternehmen habe eine Zunahme an Cyberangriffen zu verzeichnen gehabt. Bei den allermeisten Unternehmen handelte es sich allerdings um einen ohnehin schon bestehenden Trend, der sich nach Angaben der Verantwortlichen durch die Pandemie und die damit einhergehenden Angriffsvektoren lediglich verstärkt habe. Der Recruiting-Dienstleister Robert Half registrierte in einer ebenfalls internationalen Studie, dass aus Sicht von einem Drittel aller CIOs und CTOs speziell Experten bzw. Expertinnen mit sicherheitsrelevanten IT-Skills am schwersten zu finden seien.
Ethische Hacker und routinierte Codierer
Eine Studie des Unternehmens Specops Software aus dem Herbst 2020 beleuchtet, nach welchen Fähigkeiten, Qualifikationen und Soft Skills Unternehmen derzeit insbesondere suchen, wenn sie auf der Suche nach Mitarbeitern für die IT-Sicherheit sind. Specops hat dazu 843 solcher Jobangebote auf der Jobplattform Indeed analysiert.
Dass unter den gefragten Fähigkeiten technisches Verständnis den ersten Platz einnimmt, überrascht wenig. Auch Verantwortungsbewusstsein und die Fähigkeit zu guter schriftlicher Kommunikation sind typische Eigenschaften, die in vielen Stellenausschreibungen – auch außerhalb der IT-Branche – gewünscht werden. Zu den konkreten technischen Qualifikationen gehören dann das Durchführen von Penetrationstests (immerhin an siebter Stelle) sowie Kenntnisse und Erfahrung im Coding (Platz 9).
Insbesondere hinter dem scheinbar simplen Punkt „Durchführen von Penetrationstests“ verbirgt sich eine Fülle ganz unterschiedlicher Kenntnisse. Wer einen Penetrationstest durchführt, versucht dabei, möglichst alle Bestandteile eines Netzwerks auf ihre Verwundbarkeit zu testen. Dazu muss man alle Mittel und Methoden einsetzen können (und deshalb erst einmal kennen), die auch ein Angreifer einsetzen würde, um in das System einzudringen.
Schwarz auf Weiß
Dieser Beitrag ist zuerst in unserer Magazinreihe „IT & Karriere“ erschienen. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Ein Penetrationstest bedarf gründlicher Planung, Security-Verantwortliche müssen sehr sorgfältig die geeigneten Werkzeuge auswählen und in der Lage sein, die Resultate auszuwerten und im Hinblick auf erforderliche Optimierungen auszuwerten. Gleichzeitig darf ein Penetrationstest aber auch die Betriebsbereitschaft nicht gefährden – eine erfolgreiche Testattacke soll schließlich dazu dienen, die gefundene Sicherheitslücke zu schließen, und nicht das Unternehmen tatsächlich handlungsunfähig machen. Nicht zuletzt um das sicherzustellen, verlangen viele Unternehmen den Nachweis entsprechender Kenntnisse über Zertifizierungen. Auf Platz drei und vier in der oben genannten Studie liegen deshalb auch Certified Information Systems Auditor und Certified Ethical Hacker.
Auch hinter den Kenntnissen und Erfahrungen im Coding verbirgt sich mehr, als der übliche Zeilenzauber. Neben soliden praktischen Informatik-Kenntnissen stellt sich vor allem die Frage, in welchen Programmiersprachen sich Sicherheitsexperten auskennen sollten. Die Auswertung von Specops ist da recht eindeutig: Eindeutiger Spitzenreiter ist Python, in deutlichen Abständen folgen C++ und C. Die vor allem in der Web-Entwicklung eingesetzten Sprachen JavaScript und PHP belegen in den ausgewerteten Stellenausschreibungen mit jeweils 24 Nennungen die beiden letzten Plätze.
Ausbildung, Weiterbildung, Zertifikate
Wer frühzeitig seine beruflichen Interessen entsprechend einschätzen kann, für den kommt eine Reihe von Studiengängen infrage. So bieten einige Universitäten und Fachhochschulen zum Beispiel einen Master-Studiengang IT Sicherheit an, der auf einem Bachelor in Informatik oder einem ähnlichen Studienabschluss aufbaut. Wer gleich beim Bachelor die Sicherheit in den Fokus nehmen möchte, kann in sechs bis sieben Semestern Studiengänge wie IT-Security, IT-Sicherheit/Informationstechnik oder Cyber Security belegen. Die genauen Studienabläufe und Schwerpunkte variieren leicht, ein Blick in die Studienangebote der verschiedenen Universitäten ist hier hilfreich.
Auch für gestandene IT-Profis kann es sich lohnen, sich in Sachen Sicherheit weiterzubilden. Neben Crash- und Intensivkursen, die über ein oder zwei Wochen sicherheitsrelevantes Wissen vermitteln, gibt es hier auch sechsmonatige Fernkurse, zum Beispiel eine Ausbildung für IT-Security Manager/-innen, die mit einer IHK-Prüfung abschließt.
Bei der Entscheidung für einen Mitarbeiter spielen wie erwähnt auch Zertifikate eine entscheidende Rolle – das richtige Zertifikat ist gleichzeitig ein Beleg für Know-how und Praxiserfahrung. Hier ist nicht zuletzt auch der Zertifizierer von entscheidender Bedeutung.
Einer der wichtigsten ist das International Information Systems Security Certification Consortium, abgekürzt auch (ISC)². Diese Non-Profit-Organisation wurde gegründet, um eine standardisierte und herstellerneutrale Zertifizierung von Security-Experten zu gewährleisten. Das bedeutendste Zertifikat dieser Organisation ist das des Certified Information Systems Security Professional (CISSP). Dieses Zertifikat gilt als Schlüsselqualifikation für IT-Spezialisten, die eine leitende Position in der Informationssicherheit anstreben. Ein weiterer bedeutender Zertifizierer ist der EC-Council, der unter anderem den Certified Ethical Hacker (CEH) zertifiziert. Auch das EC-Council ist eine international anerkannte Institution, vertreten in 145 Ländern.
Die gefragtesten Zertifizierungen
- Certified Information Systems Security Professional (CISSP)
Voraussetzung: Fünf Jahre Berufserfahrung in zwei oder mehr der acht Themenbereiche des CISSP. Alternativ reichen vier Jahre Erfahrung plus ein höherer Hochschulabschluss oder eine vom Konsortium akzeptierte Qualifikation (dazu gehören zum Beispiel zahlreiche andere IT-Security-Zertifizierungen).
Inhalte: Security and Risk Management, Asset Security, Security Architecture and Engineering, Communication and Network Security, Identity and Access Management, Security Assessment and Testing, Security Operations, Software Development Security. - Certified Information Security Manager (CISM)
Voraussetzung: Fünf Jahre Berufserfahrung in IT-Sicherheit.
Inhalte: Information Security Governance, Information Risk Management, Information Security Program Development and Management, Information Security Incident Management. - Certified Information Systems Auditor (CISA)
Voraussetzung: Fünf Jahre Berufserfahrung in IT-Prüfung, Kontrolle, Assurance oder Sicherheit.
Inhalte: Prüfung von Informationssystemen, IT-Governance und IT-Management, Beschaffung, Entwicklung und Implementierung von Informationssystemen, Betrieb von Informationssystemen und Business Resilience, IT-Sicherheit. - Certified Ethical Hacker
Voraussetzung: Zwei Jahre Berufserfahrung in der IT, Erfahrung mit Windows und Linux/Unix Operating Systems.
Inhalte: Überprüfen, Testen, Hacken und Sichern eigener Systeme; Intrusion Detection, Policy Creation, Social Engineering, DDoS Attacks, Buffer Overflows, Virus Creation. - Certified Cloud Security Professional (CCSP)
Voraussetzung: Fünf Jahre Vollzeit-Berufserfahrung in der IT, davon mindestens drei im Bereich Informationssicherheit, davon wiederum mindestens eines im Cloud-Computing.
Inhalte: Architekturkonzepte und Gestaltungsanforderungen, Cloud-Datensicherheit, Cloud-Plattform- und Infrastruktursicherheit, Cloud-Anwendungssicherheit, Compliance, Betrieb.
Ich gehe auf Nummer sicher
Die Herausforderungen, denen sich Unternehmen in Sachen Sicherheit gegenüber sehen, werden nicht kleiner werden. Compliance-Fachleute und IT-Profis, die sich auf Sicherheitsthemen spezialisieren – sei es als IT-Security-Analyst oder lieber mit Schwerpunkt Detect and Response –, haben deshalb als gefragte Experten beste Jobchancen – und das sicher auch über das absehbare Ende der Pandemie hinaus.
Dirk Bongardt hat vor Beginn seiner journalistischen Laufbahn zehn Jahre Erfahrung in verschiedenen Funktionen in Vertriebsabteilungen industrieller und mittelständischer Unternehmen gesammelt. Seit 2000 arbeitet er als freier Autor. Sein thematischer Schwerpunkt liegt auf praxisnahen Informationen rund um Gegenwarts- und Zukunftstechnologien, vorwiegend in den Bereichen Mobile und IT.
Dirk Bongardt, Tel.: 05262-6400216, mail@dirk-bongardt.de, netknowhow.de