Wenn es einen „war for talents“ gibt, dann sind Cyber-Security-Experten besonders umkämpft. Sie verstehen die Strategien von Hackern, kennen die neuralgischen Punkte in ihrem Unternehmen und verfügen über das nötige Technologie-Know-how, um geeignete Schutzmaßnahmen zu ergreifen. Aus Unternehmenssicht sind das enorm wichtige Fähigkeiten, nur leider sind sie auch sehr rar.
IT-Compliance & Security
Laufend neue Anforderungen
Hinzukommt, dass sich der Cyber-Security-Bereich unheimlich schnell weiterentwickelt. Einmal Experte, immer Experte? Hier nicht.
Noch vor wenigen Jahren waren Server nur einem Unternehmen zugeordnet und standen oft in deren eigenen Gebäuden. Heute lagern sensible Informationen in der Cloud, auf Servern weltweit verstreut. Zudem hat die Anzahl der vernetzten Gegenstände rasant zugenommen, Stichwort Internet der Dinge.
Nur, wer sich als Cyber-Security-Stratege ständig weiterentwickelt, wird auch den nächsten Cyber-Angriff auf das Unternehmen mit hoher Wahrscheinlichkeit abwehren können.
Manager und IT-Crack in einem
Ein Job also, den es noch nicht lange gibt, überholt sich laufend selbst. Die Universitäten bauen ihre Ausbildungskapazitäten in dem Feld zwar rasch aus, doch wird der Mangel an Cyber-Experten auf mittlere Sicht frappierend bleiben.
Das gilt umso mehr in der Führungsrolle als Chief Information Security Officer (CISO), der zusätzlich Dienstleistungssteuerer und Skillzusammenführer ist. Er muss wissen, wo die Kronjuwelen des Unternehmens liegen, die Probleme erkennen, Risiken einschätzen und Lösungsstrategien entwickeln.
Mangel bedroht Unternehmen
Unternehmen bringt das in eine kritische Lage. Vielen ist bewusst, wie wichtig Cyber-Sicherheit ist. Nur finden sie kaum gutes Personal. Wie also damit umgehen?
Lösungsansatz 1: Bedarf überprüfen
Unternehmen sollten sich fragen, wie viele Security-Probleme potenziell in ihrer Infrastruktur stecken. Um Cyber-Risiken zu minimieren und den Anspruch an den CISO zu reduzieren, könnten sie ihre Infrastruktur anpassen. Um nur drei Fragen zu nennen: Was ist sicherer in der Cloud aufgehoben, was auf eigenen Servern? Gibt es Technologien am Markt, die weniger anfällig sind? Was kostet eine Migration auf aktuelle Standardtechnologien?
Lösungsansatz 2: neue Technologien nutzen
Die Künstliche Intelligenz kann Teile der Cyber-Sicherheit gewährleisten. Die Rezertifzierung von Berechtigungsobjekten, also die Prüfung von vergebenen Nutzerrechten, kann von Machine-Learning-Algorithmen vorbereitet oder sogar vollständig übernommen werden. Die Algorithmen sagen, welche Berechtigungen überflüssig sind, was das Potenzial für missbräuchliche Zugriffe verringert.
Gleiches gilt für die Klassifizierung der Vertraulichkeit von Dokumenten. Anhand von Musterdokumenten kann die Maschine herleiten, welche Dokumente mit welcher Klassifizierung versehen werden sollten. Das wird nicht vom ersten Tag an fehlerfrei laufen. Aber das ist der Vorteil von maschinenbasierten Technologien. Sie werden permanent besser und zeigen selbstständig, womit sie Schwierigkeiten haben.
Zudem urteilt die Künstliche Intelligenz objektiver und in der Summe auch fehlerärmer als Menschen. Psychologisch basierte Fehlschlüsse, die Menschen regelmäßig unterlaufen, füllen ganze Bücher. Maschinen sind davon größtenteils frei. Sie nehmen zum Beispiel Informationen nicht wichtiger als sie sind, nur weil sie aus dem eigenen Bereich stammen.
Lösungsansatz 3: das eigene Personal nachschulen
Eine weitere Möglichkeit ist es, eigene Mitarbeiter zu Cyber-Security-Experten zu schulen. Allerdings wird das nur begrenzt gelingen. Denn dafür muss man sehr genau zu wissen, welche Skills fehlen und dann die dafür passende Weiterbildung finden. Oft sind die Angebote jedoch sehr global. Ein allgemeines Studium aber hilft dem spezifischen Unternehmen und dessen Mitarbeiter meist nicht. Mit dem richtigen Konzept zur Expertenweiterbildung dürfte eine zweite Karriere für Kollegen mit techniknaher Ausbildung jedoch eine spannende Option sein.
Lösungsansatz 4: Outsourcing
Viele Unternehmen brauchen einen Großteil der Cyber-Security-Expertise nur temporär. In diesen Fällen lohnt es sich, sie am Markt zuzukaufen. Das gilt auch aus einem anderen Grund. Gerade hochspezialisierte Mittelständler dürften Schwierigkeiten haben, Security-Experten in eine Festanstellung zu bringen, weil ihr Arbeitgebermarke nicht attraktiv genug ist. Im Ringen um die klügsten IT-Köpfe haben zum Beispiel die großen Automobil- und Digitalkonzerne klare Vorteile.
Fazit
Natürlich erhöht sich das Angebot an Cyber-Security-Experten nicht mit den vorgeschlagenen Ansätzen. Und auch die Künstliche Intelligenz muss fachmännisch eingeführt und betreut werden. Dennoch erhöht es die Sicherheit, Prozesse zu automatisieren, andere umzustrukturieren und eigene Mitarbeiter fortzubilden.