Fachkräftemangel und Sicherheit: Die wahren Risiken kennen
Der Arbeitsmarkt für IT-Fachkräfte ist leergefegt – insbesondere Security-Experten sind schwer zu finden, vor allem für mittelständische Unternehmen. Im Vorteil sind besonders die Unternehmen, die ihre größten Geschäfts- und Sicherheitsrisiken kennen und sie dadurch auch gezielt und unaufwändig senken können.
Von Cottbus über Bonn und Mannheim bis Deggendorf: Die Zahl der Hochschulen, die ein Cybersecurity-Studium anbieten, nimmt stetig zu. Denn der Bedarf an solchen Spezialisten ist enorm. Die gute Nachricht: Absolventen dieser Fachrichtung werden den Expertenmangel lindern – allerdings erst mittel- und langfristig. Schon heute aber gilt: Cybersicherheit ist zu einem übergreifenden Thema für Generalisten geworden und definiert sich nicht mehr in erster Linie über technisches Spezialistentum wie Netzwerkmanagement, Identitätenverwaltung oder Sicherheits-Monitoring.
Das heißt, gerade für mittelständische Unternehmen: Spezialisten für Firewalls, Netzwerksegmentierungen oder Virenabwehr genügen heute nicht mehr, um die umfassenden Sicherheitsanforderungen abzudecken. Gefragt ist übergreifendes Security-Know-how. Denn um zum Beispiel Shopsysteme sicher aufzubauen, hilft die beste Firewall nichts. Und Unternehmen, die das Thema „Identitäten“ nicht im Griff haben, stehen auch mit einer makellosen Virenabwehr auf verlorenem Posten. Statt Spezialisten sind zunehmend Generalisten gefragt, die das Unternehmen und seine IT-Systeme ganzheitlich betrachten und zum Beispiel auch über ein Grundverständnis der ISO-Norm 27001 verfügen, die das Qualitätsmanagement einer Organisation umfassend beschreibt. Diese Sicherheitsgeneralisten legen auch nicht mehr bei allen Maßnahmen selbst Hand an, sondern delegieren spezielle Aufgaben an Dienstleister. Wer gar auf Software-as-a-Service (SaaS) setzt, muss sich nicht einmal mehr Gedanken über den Betrieb dieser Systeme machen.
Endanwender stärker einbinden
Neben der Zusammenarbeit mit solchen Experten müssen aber auch alle anderen Mitarbeiter und Endanwender eines Unternehmens mit dem Thema Cybersecurity sensibel umgehen. Denn die heute weit verbreiteten und erfolgreichen Phishing-Angriffe zielen bewusst auf Unwissen und Sorglosigkeit der Anwender. Oder: Nutzer sollten angehalten werden, ihre Rechner regelmäßig ganz auszuschalten und wieder hochzufahren. Schließlich lassen sich sonst die verfügbaren Sicherheits-Updates nicht installieren.
Darüber hinaus sparen insbesondere Mittelständler Security-Ressourcen und damit auch Kosten ein, wenn sie die Komplexität und Zahl ihrer Sicherheitssysteme reduzieren. Kein Unternehmen braucht heute noch ein Dutzend oder mehr Verschlüsselungs-, Spamfilter oder Virenscanner-Produkte unterschiedlicher Hersteller. Heute gibt es dafür zahlreiche Plattformen, die diese Funktionen in einem System vereinen und dennoch 90 bis 95 Prozent der vorherigen Einzellösungen bieten. Das Motto lautet dementsprechend nicht mehr „Best of Breed“, sondern „Best of Suite“.
Heute bieten diese Plattformlösungen Sicherheitsfunktionen, die bis vor kurzem noch sehr aufwändig und teuer waren. Dazu zählen insbesondere die Multi-Faktor-Authentifizierung, die mittlerweile zum Standard aller großen SaaS-Anbieter wie Google, Microsoft oder Salesforce geworden ist. Weitere Beispiele: Security Information & Event Management (SIEM) oder Rights Management Services (RMS). RMS sind bei Finanzdienstleistern weit verbreitet. Sie regeln, welche spezifischen Nutzungsrechte jeder Nutzer an Dokumenten erhält. Ein sinnvolles, aber gerade für mittelständische Unternehmen bislang sehr teures Verfahren – heute genügen ein paar Mausklicks. Auf diese Weise helfen Cloud-Services Unternehmen, ihren personellen Aufwand für die IT-Security möglichst gering zu halten.
Die eigenen Risiken kennen
Während SaaS-Lösungen für Security auch für mittelständische Unternehmen immer mehr an Bedeutung gewinnen, spielt das Risikomanagement oft noch eine untergeordnete Rolle. Doch gerade mit Blick auf den besagten Fachkräftemangel hilft eine systematische Bewertung von Geschäfts- und Sicherheitsrisiken. Sie ermöglicht es, Maßnahmen zu bündeln und den Aufwand auf die kritischsten Geschäftsbereiche zu fokussieren. So konzentrieren sich viele Handelsunternehmen etwa darauf, möglichst viele Sicherheitslücken in ihren Shop-Systemen zu schließen – vernachlässigen darüber aber die Sicherheit ihrer Lieferketten. Was aber nützt der sicherste Online-Shop, wenn die Logistik nicht liefert? Waren lassen sich zur Not auch über alternative Verkaufskanäle an die Kundschaft bringen – vorausgesetzt jedoch, sie wurden überhaupt angeliefert und sind verfügbar. Kurz: Geschäftsrisiken wie diese müssen Unternehmen systematisch identifizieren, bewerten und die Verteilung der Sicherheitsressourcen danach ausrichten. Im Handel sind dies Warentransport und -verkauf, in Fertigungsunternehmen hingegen die Produktionsmaschinen – und nicht etwa die Bürosoftware.
Sind die Geschäftsrisiken bewertet, rücken die Sicherheitsrisiken in den Vordergrund: Wo befinden sich die größten Einfallstore für Angreifer? Wie sehen typische Angriffsmuster aus? Beispiel Phishing von Identitäten: Keine noch so dichte Firewall verhindert diese unter Hackern derzeit so beliebte Methode, sensible Daten aus Unternehmen abzuziehen. Um sich gegen Phishing zu wappnen, müssen Unternehmen für die Identifizierung- und Anmeldung von berechtigten Personen im Netzwerk ausgeklügelte Prozesse entwickeln. Eine wichtige Rolle spielen zudem (Penetrations-)Tests, die das tatsächliche Verhalten der Systeme bei Angriffen unter Volllast simulieren. Nicht zuletzt müssen Unternehmen dem Thema Sicherheit bereits bei der Entwicklung der Software-Anwendungen eine zentrale Rolle einräumen: Das Prinzip „Security by Design“ sorgt dafür, dass bereits dem Fundament der jeweiligen Software Sicherheitsprinzipien von Anfang an eingeschrieben sind.
Mitarbeiterbindung einmal anders
Doch auch eine optimierte und in Teilen automatisierte IT-Sicherheit kommt nicht ohne Security-Fachkräfte aus. Um ihren Wettbewerbsnachteil im Kampf um diese Bewerber auszugleichen, müssen mittelständische Unternehmen geeigneten Nachwuchs selbst heranziehen – angefangen bei passenden Ausbildungsplätzen. Der Vorteil: Sobald die jungen Fachkräfte voll einsatzfähig sind, kennen sie das Unternehmen von der Pike auf und sind in der Regel sehr loyal gegenüber ihrem angestammten Arbeitgeber. Vor allem dann, wenn das Jahresgehalt nicht die einzige attraktive Variable im Gesamtpaket der Arbeitgeberleistungen darstellt. Gerade ländlich gelegene Firmen können ihren Mitarbeitern zum Beispiel Grundstücke für den Eigenheimbau anbieten. Manche Unternehmen bauen ihren Mitarbeitern und deren Familien inzwischen sogar ganze Häuser. Der Kreativität sind hier kaum Grenzen gesetzt. Hauptsache, den Verantwortlichen ist bewusst, was ihren Mitarbeitern wichtig ist – über das rein Berufliche hinaus.
Weitere Beiträge zum Thema Security
- Cybersicherheit und Coronavirus: Darauf kommt es an
-
Microsoft-Partnerkonferenz in Israel: Erste Priorität IT-Sicherheit