2021/1 | Fachbeitrag | Digitalisierung

Ressourcen-Engpässe blockieren Cybersicherheit: Vier Möglichkeiten, proaktiv gegenzusteuern

Talentierte Mitarbeiter im Bereich Cybersicherheit sind schwer zu finden, teuer in der Personalbeschaffung und auch nicht so einfach zu halten. Covid-19 hat den Fachkräftemangel noch einmal verschärft, da Unternehmen ihre Ressourcen darauf fokussiert haben, für ihre Mitarbeiter das Arbeiten von zuhause aus zu ermöglichen oder erst von Grund auf neu aufzubauen. Proaktive Sicherheitsmaßnahmen wurden von vielen Unternehmen deshalb auf die lange Bank geschoben.

Bildquelle: Jan Alexander / Pixabay

In einer vor der Pandemie durchgeführten Studie der (ISC)2, einer internationalen, gemeinnützigen Mitgliedervereinigung für führende Persönlichkeiten im Bereich der Informationssicherheit, wird die Personallücke im Bereich Cybersicherheit allein in den USA auf fast 500.000 Mitarbeiter geschätzt. Aufbauend auf diesen Zahlen und Hochrechnungen zum aktuellen Personalbestand muss die Zahl der Mitarbeiter laut Verband um 62 Prozent wachsen, um den heutigen Anforderungen der US-Unternehmen gerecht zu werden. Ausgehend von einer geschätzten Belegschaft von 2,8 Millionen auf Basis der elf untersuchten Volkswirtschaften und einer globalen Lücke von rund 4 Millionen geht die (ISC)2 davon aus, dass die weltweite Mitarbeiterzahl sogar um 145 Prozent steigen muss. In der der Studie zugrunde liegenden Umfrage gaben die Teilnehmer an, dass der Mangel an qualifizierten, erfahrenen Mitarbeitern im Bereich Cybersicherheit ihre größte Sorge ist und sie einem großem Risiko aussetzt.

Die Forschungsarbeiten für den Bericht des Ponemon-Instituts über die Kosten eines Datenverstoßes im Jahr 2020 begannen bereits Monate vor den weitreichenden Auswirkungen durch Covid-19 - ergänzende Fragen zu den potenziellen Auswirkungen von Remote-Arbeitskräften aufgrund der Pandemie zeigen aber, dass 76 Prozent der Unternehmen davon ausgehen, dass Remote-Arbeit das Vorgehen bei einem potenziellen Datenverstoß erschweren wird. Die Studie des Ponemon-Instituts geht zudem davon aus, dass sich die durchschnittlichen Gesamtkosten für einen Datenverstoß auf rund 3,9 Millionen US-Dollar belaufen.

Deshalb ist es von entscheidender Bedeutung, einen Vorfall im Bereich der Cybersicherheit von vornherein zu verhindern. Das Problem fehlender Ressourcen lässt sich nicht so einfach lösen, Unternehmen können aber unterschiedliche Maßnahmen ergreifen, die über das reine Hinzufügen weiterer Sicherheitsorgane hinausgehen und ihre Position bei der Cyberabwehr stärken.

1. Einführung von internen Sicherheitsschulungen und Zertifizierungsprogrammen

Echte Cybersicherheit setzt einen kulturellen Wandel voraus. Jeder Mitarbeiter muss in einem gewissen Umfang Verantwortung übernehmen. Das bedeutet nicht, dass der Marketingchef ganz vorne an der Sicherheitsfront steht, aber jeder Mitarbeiter sollte an Sicherheitsschulungen und Zertifizierungsprogrammen teilnehmen. Es bedeutet auch nicht, eine PowerPoint-Präsentation zu erstellen und diese den Mitarbeitern dann vorzulegen, damit sie ein Kästchen ankreuzen. Vielmehr müssen Unternehmen sinnvolle Programme entwickeln, die die Mitarbeiter einbeziehen und ihnen helfen, die Cybersicherheitsbedrohungen und ihre eigene Rolle bei der Eindämmung zu verstehen.

2. Ausdehnung der Sicherheit auf das komplette Unternehmen

Wenn Sicherheit die Aufgabe von allen ist, dürfen Cybersecurity-Ressourcen nicht auf die IT-Abteilung beschränkt sein. Unternehmen müssen über Möglichkeiten und Wege nachdenken, wie sie das Thema Sicherheit über die komplette Organisation ausdehnen können. So wie Security durch die wachsende DevSecOps-Bewegung in den Entwicklungsbereich vordringt, könnten Sicherheitsressourcen auch in andere Bereiche integriert werden. Dadurch wird nicht nur ein unternehmensweites Verständnis für Sicherheitsfragen entwickelt, sondern auch die Zusammenarbeit untereinander und die Möglichkeit, Sicherheit von Grund auf in Prozesse, Produkte und Dienstleistungen einzubauen, gefördert.

3. Gründliche Bestandsaufnahme der Sicherheitstools

Viele Unternehmen setzen veraltete Sicherheitslösungen ein, die zum Schutz von nicht mehr verwendeten Systemen entwickelt wurden und neue Technologien wie Cloud, Container oder Kubernetes nicht unterstützen. Darüber hinaus haben Unternehmen oft zu viele Tools im Einsatz, was zu Redundanzen und der Herausforderung führt, den Überblick zu behalten und die wachsende Anzahl zu verwalten. Zudem nutzen viele Unternehmen nicht die in bestehende Systeme integrierten Sicherheitsfeatures, ob nun Betriebssystem, Container-Plattform oder die vom Cloud-Anbieter bereitgestellten Werkzeuge. Eine gründliche Bestandsaufnahme der vorhandenen Sicherheitswerkzeuge zeigt, was wirklich benötigt wird und was nicht, um so den aktuellen Sicherheitsanforderungen gerecht zu werden.

4. Einführung einer konsistenten Automatisierungsstrategie

Mit so vielen möglichen Einfallstoren, die es inzwischen gibt, kann kein Mensch jemals jede Sicherheitslücke schließen. Vielmehr werden mit der zunehmenden Komplexität von IT-Umgebungen auch die Security Incidents, mit denen IT-Teams konfrontiert werden, immer komplexer. Eine konsistente Automatisierungsstrategie kann Unternehmen dabei helfen, Risiken zu minimieren, indem menschliche Fehler reduziert, Probleme behoben, schnell auf Sicherheitswarnungen reagiert und wiederholbare Security- und Compliance-Workflows entwickelt werden. Allerdings steht Automatisierung nicht für ein einzelnes oder mehrere Produkte. Unternehmen müssen vielmehr nach einem Ansatz suchen, der eine konsistente Automatisierungsstrategie über Anwendungsentwicklung, Infrastruktur und Sicherheitsabläufe hinweg ermöglicht. Laut dem Bericht des Ponemon-Instituts können Unternehmen mit einer vollständig implementierten Automatisierung gegenüber Unternehmen ohne entsprechende Maßnahmen Einsparungen von durchschnittlich 3,6 Millionen US-Dollar bei den Gesamtkosten für einen Datenverstoß erzielen.

Ist das Problem der Cybersicherheitsressourcen unlösbar? Nein. Es kann zwar - so ehrlich muss man sein - nicht vollständig behoben werden. Unternehmen können die Herausforderungen aber mit proaktiver Planung, strategischer Technologieimplementierung und einer umfassenden, kontinuierlichen, engagierten Zusammenarbeit sowie Awareness-Trainings rund um Security effektiv angehen und bewältigen.


Die Autorin:

Lucy Kerner ist Security Evangelist und Strategist bei Red Hat.

Bildquelle: (C) Red Hat

 

 

Diese Artikel könnten Sie auch interessieren

Wie die moderne Arbeitswelt Unternehmen umkrempelt

WISSENplus
Hybrid Work, New Work, New Normal - es kursieren viele Begriffe für moderne Arbeitsmodelle. Fakt ist: Die hybride Arbeitswelt ist in unserer Gesellschaft angekommen. Selbst erklärte Homeoffice-Gegner haben ihre Meinung geändert, um drohende Kündigungen ihrer Mitarbeitenden zu vermeiden. Eine neue Arbeitswelt entsteht aber nicht dadurch, dass man den Beschäftigten erlaubt, von zu Hause aus zu arbeiten. ...

Weiterlesen

Zukunft erfolgreich meistern: So gelingt der Sprung nach vorn!

WISSENplus
Früher dominierten berechenbare Absatzmärkte, die man planmäßig steuern und abschöpfen konnte. Doch diese Zeiten sind vorbei. Der digitale Umbruch, unerwartete Ereignisse und permanente Vorläufigkeit fegen fast alle vertrauten Spielregeln hinweg. Zukunftsbilder sind ein Ausweg aus diesem Dilemma....

Weiterlesen

Hybrid und KI-gestützt: Wie wir künftig arbeiten - und wie künstliche Intelligenz uns dabei unterstützt

Viele Wissensmanager arbeiten hybrid. Derzeit kommen sie im Schnitt 3,2 Tage in der Woche in Büro. Das zeigt eine Umfrage der Immobilienfirma Jones Lang LaSalle. Das soll auch so bleiben - geht es nach den Befragten. 65 Prozent der Beschäftigten in Deutschland wollen auch künftig im Office und zuhause arbeiten - wo möglich. Dabei stehen schon heute in jedem dritten Unternehmen ganze Etagen ungenutzt le...

Weiterlesen

Mehr Produktivität, weniger Arbeitszeit: KI-Automatisierung bei Trivago, Jägermeister & Co.

WISSENplus
Das klassische Bild der Mitarbeitenden, die ihren Dienst von Montag bis Freitag zwischen 9 und 17 Uhr erledigen, bröckelt. Die neue Arbeitswelt ködert auf der einen Seite mit agilen, asynchronen Arbeitszeitmodellen, ist auf der Schattenseite allerdings geprägt von enormer Volatilität, Leistungsdruck und einem akuten Fachkräftemangel. Kein Wunder also, dass sich Erschöpfung breitmacht. Laut einer...

Weiterlesen

5 strategische Schritte für den sicheren KI-Einsatz

Der Hype um ChatGPT veranlasst viele Unternehmen, KI-Anwendungen zu implementieren, um möglichst schnell das umfassende Potenzial von KI zu nutzen. Sie zielen zum Beispiel auf eine Effizienzsteigerung, eine Entlastung der Mitarbeiterinnen und Mitarbeiter oder eine Verbesserung des Kundenservices ab. Weitere Anwendungsszenarien betreffen neuartige Datenanalysen oder ein optimiertes Risikomanagement. Projek...

Weiterlesen

Herausforderung Lieferketten-Sorgfaltspflichten-Gesetz – aber für wen eigentlich?

Ein kürzlich veröffentlichter Leitfaden des Bundesamtes für Wirtschaft und Ausfuhrkontrolle (BAFA) soll nun die Umsetzung des Lieferkettengesetzes zwischen verpflichteten Unternehmen und ihren Zulieferern erleichtern. Das Gesetz selbst, das bereits seit Januar 2023 in Deutschland in Kraft ist, wirft allerdings auch aus IT-Security-Sicht Fragen entlang der Lieferkette auf. Daraus leiten sich neue Herausf...

Weiterlesen

Jens Gieseler

WISSENplus
Seit Jahren werden in der IT-Branche zu wenig Fachkräfte ausgebildet, deshalb fehlen je nach Studie zigtausend kompetente Mitarbeiter. Entsprechend "wildern" die Unternehmen bei der Konkurrenz. Eine Personalberaterin spricht vom "großen Abwerben". So rückt für Unternehmen das Thema Mitarbeiterbindung stärker in den Vordergrund. ...

Weiterlesen

Analogt Ihr noch oder digitalisiert Ihr schon?

WISSENplus
Aktuell schaltet die Digitalisierung den Turbo an. Neue KI-gestützte Technologien verändern die Spielregeln in der Wirtschafts- und Arbeitswelt radikal. Nur wer hier alte Gewohnheiten loslässt, tradierte Geschäftsprozesse ändert und Disruption als Chance begreift, kann in einer diskontinuierlichen Welt bestehen. Wie aber funktioniert das? ...

Weiterlesen