Blog - article

Sorry, this blog post has not been posted yet. Come back and check again later!

Fachkräftemangel im InfoSec-Bereich: Die Bedrohung Nummer eins der Internetsicherheit

By:
Günter Ollmann
November 25, 2016

Die Mehrzahl der spontanen Antworten auf eine wenig präzise Frage wie: „Was ist die größte Bedrohung der Internetsicherheit?“, wird man in vielleicht nur fünf oder sechs Schubladen einsortieren können. Tatsächlich steht jenes Problem, das den meisten zuerst einfallen wird: „Wie komme ich ganzen Hackerbanden auf die Spur, die mich bedrohen?“ für eine konstant präsente und überdies sprunghaft wachsende Gefährdung der Business Continuity.

Wenn wir allerdings einmal genauer darauf schauen, wie die Wirtschaft und speziell unsere Branche heute funktionieren, können wir auch ganz anders argumentieren: Das größte Risiko für die Internetsicherheit liegt in unserer generellen Unfähigkeit, auf die konkreten Angriffe der Gegner aus aller Welt zu reagieren und ihnen aktiv zu begegnen.

Man schätzt, dass heute über eine Million Positionen im Bereich Informationssicherheit unbesetzt sind und dass diese Zahl bis 2019 auf über 1,5 Millionen wachsen wird. Mehr als 200.000 dieser freien Stellen finden sich allein in den USA. Diese globale Knappheit an Expertise und Erfahrung stellt das Kernproblem dar, wenn es um die Fähigkeit der Security-Teams geht, Cyberattacken abzuwehren. Anbieter und Kunden sind davon gleichermaßen betroffen.

Es sind gleich mehrere Faktoren, die zu dieser alarmierenden Situation beitragen. Offensichtlich ist, dass parallel zum Anstieg der Angriffszahlen und der Raffinesse der Attacken auch die Nachfrage nach Personen wachsen musste, die die nötigen Fachkenntnisse für eine erfolgreiche Abwehr haben. Auch dies gilt für die Lieferanten von Sicherheitslösungen genauso wie für deren Nutzer.

Die Anbieter suchen Techniker, die sichere Anwendungen und Sicherheitsprodukte entwickeln können, und sie benötigen Researcher mit viel Scharfsinn und exzellenten Kenntnissen im Bereich technischer Sicherheit – möglichst kombiniert mit praktischer Erfahrung, die sich aus der konkreten Abwehr von Bedrohungen speist.

Die Anwender wiederum, die sich gegen die Bedrohungen wehren müssen, suchen nach frischen Kräften mit einem Minimum an Wissen über das Arbeitsfeld Security. Sie wünschen sich Mitarbeiter, die sie in kurzer Zeit mit den Werkzeugen und Produkten vertraut machen können, die sie für die Verteidigung gegen Cyberbedrohungen einsetzen. Außerdem benötigen sie fähige und erfahrene Sicherheitsspezialisten, die auf ihrer Ebene in der Lage sind, neue Bedrohungen selbstständig zu analysieren und Vorschläge zu entwickeln, wie ihr Unternehmen gegen die Gefahren sinnvoll vorgehen sollte.

Angesichts der Lücke allerdings, die zwischen der Nachfrage und dem Angebot entsprechender Positionen bereits klafft und die darüber hinaus immer größer wird, muss die Wirtschaft die Aufmerksamkeit auf ihre eigenen Prozesse und Vorgehensweisen richten und neue Strategien etablieren, um der Personalknappheit zu begegnen und in dieser Hinsicht einen auch langfristig erfolgreichen Weg einzuschlagen.

Lesen Sie auch dieses E-Book, das weitere Aspekte der aktuellen „Cybersecurity-Lücke“ behandelt.

Lösungen für den Personalmangel

Meiner Meinung nach gibt es drei zentrale Ansätze, das beschriebene Problem zu lösen.

Strategie Nr. 1

Die erste Strategie beruht auf Automatisierung. Viele Anbieter für Sicherheitslösungen haben damit begonnen, neue Techniken auf der Basis von künstlicher Intelligenz und maschinellem Lernen in ihre Produkte zu integrieren. Ein großer Teil dieser Anstrengungen hat sich während der vergangenen fünf Jahre auf die Wirksamkeit der Erkennungsmechanismen konzentriert – hauptsächlich ging es den Unternehmen darum, das Spektrum der Bedrohungen zu erweitern, die ihre Lösungen aufdecken können.

Da aber die Kunden weiterhin kaum in der Lage sind, genügend Mitarbeiter zu finden, um die Systeme zu warten, zu überwachen und um auf die von ihnen generierten Alarme zu reagieren, lässt sich noch gar nicht sagen, was bessere Erkennungsergebnisse real bewirken.

Die Anbieter sollten sich eher damit befassen, die Zahl der Kräfte zu verringern, die man für den Betrieb der Erkennungssysteme benötigt. Dies lässt sich erreichen, indem man die Bereiche der Datenerfassung, der Bewertung von Bedrohungen, des Aussortierens von False Positives, des Ticketings für die Response-Maßnahmen und der Zuordnung und Initialisierung von operativen Aufgaben so weit wie möglich automatisiert.

In der Folge wird der „Verteidigungsstab“ des Kunden weit besser in der Lage sein, sich durchweg auf die Aufgaben mit der höchsten Priorität zu konzentrieren. Man sollte zumindest fordern, dass Innovationen und Fortschritte in Sicherheitsprodukten nicht dazu führen dürfen, dass für ihr Management weiteres Personal benötigt wird.

Strategie Nr. 2

Der zweite Ansatz der Gesamtstrategie liegt darin, die Lücke zu schließen, die zwischen dem Wissen und Können der frisch graduierten InfoSec-Studenten und den Fähigkeiten liegt, die ihre künftigen Arbeitgeber tatsächlich benötigen.

Studenten, die mit Diplomen und anderen Abschlüssen in Computerwissenschaft, Software Engineering und Informationssicherheit die Hochschulen verlassen und dann ihre erste Anstellung im InfoSec-Bereich finden, mangelt es oft in beklagenswertem Maße an Kernkompetenzen. Dies macht häufig eine kostenträchtige „Nachschulungsphase“ nötig, für die die Arbeitgeber aufkommen müssen. Die frischgebackenen Security-Fachleute wiederum müssen die niederschlagende Erkenntnis verkraften, dass es für Neulinge wie sie erst einmal nur wenig prickelnde Dinge in ihrem Arbeitsbereich zu tun gibt.

Die beiden größten Lücken zwischen Wissenschaft und Business-Welt tun sich in zwei unterschiedlichen Bereichen auf: Im Umgang mit „Legacy Code“ (alten, überkommenen Programmbestandteilen) und in der Praxis der Teamarbeit.

Studenten werden die Probleme der Softwareentwicklung und der Bewältigung von Bedrohungen der Informationssicherheit in Projekten und Prüfungen fast immer als isolierte Phänomene präsentiert, die sich überdies „auf der grünen Wiese“, also ohne Beachtung von Vorbedingungen lösen lassen. Beispielsweise wird gefordert, eine von mehreren Programmiersprachen auszuwählen, um eine Software von Grund auf neu zu entwickeln, die ihrerseits dann ein interessantes und herausforderndes Problem der Computerwissenschaft löst.

Als neu eingestellter Softwareentwickler werden Sie dagegen mit größter Wahrscheinlichkeit hauptsächlich Fehler in altem und schlecht geschriebenem Code beheben müssen, der in irgendeiner altertümlichen Programmiersprache erstellt und dann immer und immer wieder geflickt wurde – so häufig, dass nun niemand mehr die Verantwortung dafür übernehmen will. Bei der Lösung solcher Aufgaben werden Ihnen Produktmanager im Nacken sitzen, damit Sie schnellstens zum Ende kommen und schleunigst den nächsten Bugfix in Angriff nehmen.

Im wissenschaftlichen Umfeld ist es die bevorzugte Arbeitsweise, beim Lösen von Problemen allein vorzugehen. Auch die Prüfungen legt man im Alleingang ab. In der Wirtschaft dagegen leistet man seinen Beitrag immer als Mitglied einer Gruppe, und als Neueinsteiger findet man sich dabei auf der untersten Stufe der Rangordnung wieder und hat folgerichtig kaum Einfluss auf das Team.

Die Gruppen, in denen man arbeitet, bestehen aus mehreren Entwicklern, Produktmanagern, Führungskräften, IT-Support und – wenn man speziell auf die Anbieterseite schaut – zusätzlich noch aus PR- und Marketing-Mitarbeitern. Die sozialen und operativen Fähigkeiten, die man benötigt, um sich in solchen Gruppen erfolgreich zu bewegen und seine Aufgaben zu bewältigen, werden – wenn überhaupt – in den Hochschulkursen nur ganz am Rande unterrichtet oder gefördert. Auch dies hindert frisch graduierte Arbeitskräfte daran, ihr volles Potenzial ausschöpfen zu können

Die Institutionen, die heute die nächste Generation von Spezialisten für Informationssicherheit heranbilden, müssen die beschriebene, beträchtlich breite Kluft zwischen Lehre und Anforderungen aus der Praxis erkennen und sich dem Problem stellen. Sie müssen ihre Kursprogramme ändern und beispielsweise kollaborative Softwareentwicklung und die Arbeit an Legacy-Systemen in ihre Lehrpläne aufnehmen.

Strategie Nr. 3

Der dritte größere strategische Ansatz, um die Personalnot zu lindern, liegt darin, mehr Frauen für die Mitarbeit in der InfoSec-Community zu gewinnen

Man schätzt, das heute nur 11 Prozent der Arbeitskräfte in der Informationssicherheit weiblich sind. Dies stellt der Branche ein fürchterliches Armutszeugnis aus, bietet aber auch eine große Chance, den Mangel an Ressourcen zu beheben. 11 Prozent mag schon wenig sein, aber in den meisten technischen Bereichen der Security – wie etwa im Reverse Engineering, der Bedrohungsanalyse und beim Incident Response – liegt der Anteil der Frauen wahrscheinlich sogar unter 5 Prozent.

In den vergangenen Jahren hat man Frauen immer wieder zur Beteiligung an den Aktivitäten der InfoSec-Community aufgerufen und versucht, sie schließlich als Fachkräfte für diesen Bereich zu gewinnen. Es gab allerdings kaum spürbare Erfolge. Zwar ist inzwischen der Prozentsatz von Frauen im übergeordneten „MINT“-Bereich gestiegen, aber in der Informationssicherheit müssen die Absolventinnen erst noch ankommen.

Unter den drei Kernstrategien zur Behebung des Fachkräftemangels ist der Ansatz, mehr Frauen zur Mitarbeit in der InfoSec-Gemeinde zu ermutigen, immer noch der am wenigsten durchdachte und am geringsten entwickelte. Hier werden immer noch gute Ideen gesucht, wie das Ziel zu erreichen sein könnte.

Fazit

Wenn ich die beschriebenen Strategien unter dem Blickwinkel des dazu notwendigen Zeitbedarfs betrachte, und wenn ich darüber hinaus ihr jeweiliges Potenzial für die Reduzierung der Bedrohungen bewerte, denen die Wirtschaft heute ausgesetzt ist, dann führt aus meiner Sicht der Automatisierungsansatz auf dem schnellsten Weg zu Erfolgen. Ich glaube, dass er innerhalb der nächsten fünf Jahre den größten Nutzen bringt.

Die Anpassung der Lehrpläne und damit die Ausbildung von Absolventen, die sich schneller in die Security-Teams integrieren lassen und produktiv tätig werden können, wird etwas mehr Zeit benötigen. Wir sollten davon ausgehen, dass die Maßnahmen in einem Zeitrahmen von etwa vier bis acht Jahren spürbare Auswirkungen zeigen.

Der Versuch schließlich, mehr Frauen für die Arbeit in der Informationssicherheit zu begeistern, erfordert meiner Meinung nach immer noch viel Arbeit und Mühe – und zwar sowohl aus der Perspektive der Ausbildungsprogramme als auch unter dem Blickwinkel, dass die InfoSec-Community derzeit eine stark abgekapselte Männerdomäne darstellt.

Diese Community sollte danach streben, sich einladender und entgegenkommender zu zeigen – das ist etwas, wozu man sie immer wieder gedrängt hat. Unglücklicherweise könnte es noch volle fünf bis zehn Jahre dauern, bevor sich der Anteil weiblicher Fachkräfte positiv auf den leergefegten Arbeitsmarkt für Security-Spezialisten auswirken kann.

Eine redaktionell bearbeitete Version dieses Blogs findet sich auch auf der Website ThirdCertainty.com.

About the author

Günter Ollmann

Günter Ollmann is CSO of the cloud and AI security devision at Microsoft and an advisor for Vector AI. Previously, he held the position of CSO at Vectra where he assisted in building the next generation of threat detection technologies capable of illuminating persistent threats, lateral movement, IoT integrity compromise, and attacks that bypassed the front-door. Günter was also a founder and principal at Ablative Security as well as an advisor for C3 Security and Yaxa. He received a B.S. in applied physics and mathematics and a M.S. in atmospheric physics at the University of Auckland.

Author profile and blog posts

Most recent blog posts from the same author

Cybersecurity

Who is watching your security technology?

January 28, 2016
Read blog post
Cybersecurity

InfoSec skills shortage: The No. 1 threat to Internet security

November 15, 2016
Read blog post
Security operations

Security automation isn't AI security

January 17, 2017
Read blog post