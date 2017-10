IT-Security: 10 Skills, die jede IT-Abteilung braucht

Sie wollen, dass Ihre IT-Abteilung Hackerangriffe effektiv abwehrt? Dann sollten Sie auf diese Skills setzen.

10 Security-Skills, die jede IT-Abteilung braucht. © SFIO CRACHO - shutterstock.com

Kriminelle Hacker professionalisieren sich zunehmend, die Frequenz von Cyberattacken steigt stetig. Inzwischen ist es auch keine Frage mehr, ob Ihr Unternehmen zum Ziel von Cyberschurken wird, sondern nur noch wann. Diese Realität zwingt Unternehmen in allen Branchen dazu, über Ihre Bemühungen im Bereich IT Security zu reflektieren. Aber wie geht man das Problem mit den ultrararen Security-Ressourcen am besten an? Der Schlüssel ist der richtige Mix von Security-Skills.

"Viele unserer Kunden haben inzwischen erkannt, dass Sie zwar auf das Beste hoffen, aber mit dem Schlimmsten rechnen müssen", plaudert Stephen Zafarino vom IT-Recruiter Mondo aus dem Nähkästchen. "Auch durch die massiven Hacks bei Chase und Home Depot Anfang 2017 und die Ransomware-Attacke auf das britische NHS denkt inzwischen jedes Unternehmen darüber nach, wie es seine Defensivmaßnahmen verstärken kann."

Pflicht-Skills für die IT-Abteilung

Um die IT-Abwehrkräfte Ihres Unternehmens wirksam zu steigern, sollten Sie auf bestimmtes Knowhow und spezielle Fähigkeiten Wert legen. Mit den folgenden zehn Security-Skills sollte jede moderne IT-Abteilung - also auch Ihre - aufwarten können:

1. Security-Tool-Expertise

Um die IT-Security-Strategie rund zu machen, sollte man seine Tools kennen. Unglücklicherweise setzen viele Unternehmen diesbezüglich jedoch auf einen "set it and forget it"-Ansatz - weil es am Security-Tool-Knowhow mangelt.

James Stanger vom internationalen IT-Branchenverband CompTIA führt SIEM-Tools als Beispiel an: "Diese Tools sind großartig, weil sie völlig neue Perspektiven bezüglich Netzwerk und Infrastruktur eröffnen. Sie ermöglichen aber gleichzeitig auch die tiefgehende Analyse von Sicherheitsvorfällen und so die Identifikation von Problemfeldern."

Dazu sollte man allerdings auch das volle Potenzial dieser Tools ausschöpfen, wie der Experte weiß: "In vielen Fällen werden leider einfach die Standard-Einstellungen übernommen. Der Grund liegt oft darin, dass sie nur angeschafft wurden, um einen weiteren Punkt auf der To-Do- beziehungsweise Must-Have-Liste abzuhaken. Das ist unglaublich gefährlich."

Es ist deshalb unabdingbar, dass Sie Ihre IT-Abteilung mit Experten oder Expertenwissen für Ihre Security Tools ausstatten. CIOs sind gut damit beraten, in ausgedehntes Training und Weiterbildung ihrer Security-Fachkräfte zu investieren. Die Sicherheitsexpertise sollte sich über alle Tools erstrecken, die für Ihr Unternehmen in Betracht kommen. Ansonsten sind die tollsten Helfer nicht mehr als ein Placebo.

2. Security-Analysen

Tools sind wichtig - aber es ist mindestens genauso wichtig zu verstehen, wie sich diese Werkzeuge in die Gesamt-Sicherheitsstrategie einpassen, weiß Stanger: "Bevor Sie herausfinden können, welche Tools Sie brauchen und wie Sie diese benutzen, brauchen Sie Jemanden, der Ahnung vom Security Business hat. Wie funktioniert Ihr Geschäft? Was sind seine Alleinstellungsmerkmale? Wie sieht die Kunden- und Markstruktur aus? Jeder dieser Aspekte wirkt sich auf die IT-Sicherheit aus und jede Branche hat ihre eigenen Probleme."

Eine Security-Analyse kann Aufschluss darüber geben, unter welchen Bedingungen Hackerangriffe wahrscheinlicher sind und die Angriffsflächen entsprechend minimieren. Der Branchenverband CompTIA geht davon aus, dass die Nachfrage nach Security-Analysten bis zum Jahr 2020 um 18 Prozent anziehen wird.

3. Projektmanagement

IT-Projektmanagement-Skills sind eigentlich immer gefragt, aber Projektmanager, die sich auf IT-Sicherheitsprojekte spezialisieren, werden nach Meinung von Stanger ganz besonders wertvoll. Denn was früher die Nebenaufgabe von Admins war, hat sich inzwischen zu einem eigenen Spezialgebiet entwickelt: "Früher gab es Antivirus, Spamfilter und vielleicht noch ein paar Perimeterschutz-Tools. Heutzutage muss man diese Security-Lösungen als wochen- oder monatelanges Projekt angehen, um heraus zu bekommen, wie man sie in die Systeme integriert."

4. Incident Response

Ein weiterer, kritischer Bereich wenn es um die Absicherung der IT-Systeme geht, sind Incident-Response-Lösungen. Die helfen dabei, Bedrohungen schnell zu identifizieren. Die wohl bekannteste Lösung kommt dabei aus dem Hause Splunk, weswegen Security-Profis mit entsprechenden Kenntnissen derzeit richtig gefragt sind, wie Stephen Zafarino weiß.

"Oft können Unternehmen einfach nicht die Menge an Fachkräften verpflichten, die nötig wäre - alleine aus finanziellen Gründen. Wir beobachten deshalb oft, dass Security-Spezialisten für eine Analyse verpflichtet werden und danach in die Schulung und Weiterbildung der Mitarbeiter investiert wird, um mit dem Status Quo Schritt halten zu können." Dazu komme oft auch noch eine Aufrüstung mit Security-Automatisierungs-Tools, so Zafarino.

5. Security Automation / DevOps

Sowohl die Cyber-Bedrohungen, als auch die Security Tools entwickeln sich stetig weiter, was es für Unternehmen schwierig macht, Schritt zu halten. Die traditionelle Herangehensweise, manuell operierende Security Teams einzusetzen, hat laut Zafarino ausgedient und stellt heutzutage keine funktionsfähige Lösung mehr dar: "Einige Unternehmen setzen auf DevOps und Automatisierung um der Bedrohungslandschaft Herr zu werden. Es geht dabei um essentielle Fragen wie ‚Welche Bedrohungen bestehen für uns und wie schützen wir uns davor?‘. Nur leider haben viele Organisationen einfach nicht die Manpower, um sich ausreichend zu wappnen."

Mit Hilfe von Security Automation können Unternehmen Bedrohungen und Hackerangriffe feststellen und verhindern, bevor größerer Schaden entsteht. Anschließend sollten Security-Spezialisten für kompliziertere, kontextsensitive Aufgaben eingesetzt werden, wie Brad Antoniewicz von der NYU Tandon School of Engineering, empfiehlt: "Die Fachkräfte müssen Probleme lösen und Hilfestellung bieten. Sie müssen in der Lage sein, eine Menge an Informationen möglichst schnell zu filtern, um einen Ansatzpunkt für die Untersuchung von Vorfällen ausmachen zu können. Unglücklicherweise ist das eine Fähigkeit, die nicht so einfach zu finden ist - schließlich basiert sie im Wesentlichen auf einer ganzen Menge Erfahrung."

6. Data Science und Analytics

Die enormen Datenmengen die Unternehmen anhäufen, können auch dazu genutzt werden, Angriffsvektoren und potenzielle Hackerattacken aufzudecken sowie die Effektivität von Gegenmaßnahmen zu überwachen. Das erfordert jedoch Skills und Erfahrung in Sachen Datenanalyse. "Die IT-Sicherheit braucht Menschen mit Wissen und Erfahrung, um Analyse-Tools richtig nutzen zu können," weiß Ashley Stephenson, CEO bei Corero Network Security. "Machine Learning, Algorithmen und Künstliche Intelligenz sind nötig, um all diese Daten verarbeiten und effektiv analysieren zu können."

Brad Antoniewicz arbeitet in einem Team bestehend aus Ethical Hackern und Data Scientists, die neue Sicherheitsbedrohungen identifizieren, untersuchen und entsprechende Gegenmaßnahmen entwickeln. Er spricht aus Erfahrung: "Ich kann gar nicht genug betonen, wie wichtig dabei der Data-Science- und Data-Analytics-Teil unseres Teams ist. Bei großen Unternehmen können tausende von Datenströmen Millionen von Sicherheitsvorfällen anspülen. Dazu kommen aber noch Daten aus finanziellen Transaktionen, Logs, DNS Traffic - wenn all diese Daten in ein riesiges Repositorium fließen, überfordert das die meisten Security-Profis. Die Data Scientists helfen uns dabei, die Spreu vom Weizen zu trennen und sorgen so letztendlich dafür, dass wir besser und schneller auf Vorfälle reagieren können."

7. Scripting

Bei so vielen beweglichen Teilen empfiehlt es sich, über Scripting-Skills zu verfügen. Die sorgen nämlich dafür, dass all die Elemente und Tools auch gut zusammenarbeiten, wie Stephenson sagt: "Mein persönlicher Favorit ist Python - aber auch Perl ist beliebt. Die Security Tools müssen einwandfrei mit Messaging-Systemen wie Slack, mit Dashboards, Monitoring-Systemen oder Incident-Management-Tools zusammenarbeiten."

8. Soft Skills

Im IT-Sicherheits-Universum haben Soft Skills eine andere Bedeutung. Zwar sind auch hier Kommunikation, Kollaboration und Teamwork wichtig - dazu kommen aber auch die Fähigkeit zu kritischem Denken und sogar psychologische Elemente.

"Sie müssen wie die bösen Jungs denken", empfiehlt Antoniewicz. "Sie sollten die Social-Engineering-Tricks kennen, um Angriffsvektoren wie Phishing-Attacken identifizieren und eliminieren zu können. Sie müssen wissen, wie Ihre Mitarbeiter und Kunden reagieren und was dafür sorgen könnte, dass diese Ihren Schutz vernachlässigen. Nur so können Sie sich auf diese Bedrohungen vorbereiten."

Fachkräfte für IT-Sicherheit müssen darüber hinaus in der Lage sein, unter Druck gute Leistungen zu bringen und im Fall eines Hacker-Angriffs schnell die richtigen Antworten zu finden. Dabei kommt es natürlich auch in gewissem Maße auf institutionalisiertes Wissen an. Unternehmen sollten also nicht nur gute Security-Fachkräfte verpflichten, sondern auch alles daran setzen, diese zu halten.

9. IT-Forensik

Security-Spezialisten müssen natürlich auch wissen, welche Maßnahmen nach einem Hackerangriff zu ergreifen sind. Laut Ryan Corey, Mitbegründer des Security-Anbieters Cybrary, lassen inzwischen sehr viele Unternehmen ihren Security-Teams Schulungen und Trainings in Sachen IT-Forensik zukommen, um bessere Incident-Response-Skills zu entwickeln: "Die Unternehmen lernen immer mehr über bestehende und aufkommende Bedrohungen und verbessern ihre Fähigkeiten, mit diesen umzugehen."

10. Leidenschaft

Gute IT-Sicherheitsexperten bringen laut Brad Antoniewicz in jedem Fall Leidenschaft für ihren Beruf mit und streben danach, ihr Wissen mit anderen zu teilen: "Halten Sie nach jemandem Ausschau, der sich gerne freiwillig und auch auf eigene Initiative weiterbildet."

Wenn Sie bereits solche Menschen an Bord Ihres Unternehmens haben, sollten Sie diese ermutigen und unterstützen: "Entwickeln Sie Teambuilding-Maßnahmen, Brainstorming-Sessions, Get-Togethers, Hack-a-Thons oder Bug-Bounty-Programme - alles was nötig ist, um die Motivation Ihrer Mitarbeiter zu treiben und zu erhalten."



* Sharon Florentine schreibt für unsere US-Schwesterpublikation CIO.com.