In Deutschland herrscht nach wie vor ein Mangel an IT-Spezialisten. Laut Bitkom gab es Ende 2017 in diesem Bereich 55.000 offene Stellen zu verzeichnen. Tendenz steigend, vor allem im Sicherheitsbereich werden zunehmend Experten gesucht. Shai Gabay, CIO bei Cyberbit, schlägt einen Weg vor, der sich von den üblichen unterscheidet. Einen, der schneller zum Erfolg führt. Mit einem Ansatz, der dem gesamten Unternehmen dauerhaften Nutzen bringt. Gabay hat 15 Jahre Erfahrung in der Sicherheitsbranche. Bevor er zu Cyberbit kam, stand er acht Jahre als CIO der Sicherheitsabteilung einer führenden israelischen Bank vor. Dort gehörte es zu seinen Aufgaben, das IT-Sicherheitsteam zu leiten und das Security Operations Center aufzubauen und zu verwalten.
Tipps von Shai Gabay, Chief Innovation Officer von Cyberbit, zur Gewinnung des richtigen IT-Security Mitarbeiters
Sie sind der Ansicht, dass Unternehmen zwei Schritte befolgen sollten, um eine Veränderung zu bewirken. Welche Schritte sind das?
Der Fachkräftemangel ist ein großes Problem, das nicht von alleine verschwinden wird. Das Forschungsinstitut Prognos hatte gewarnt, dass sich allein bis 2030 die Zahl der fehlenden Facharbeiter, Techniker und Forscher auf bis zu 3,0 Millionen belaufen und bis 2040 gar auf 3,3 Millionen steigen werden.
Es gilt einen neuen Weg zu finden, um dieser Herausforderung zu begegnen. Daher sollten die Einstiegshürden gesenkt werden, damit wir mehr Mitarbeiter bekommen.
Erstens werden fortschrittliche Technologien benötigt, um sämtliche Aktivitäten im SOC in eine einzige Sicht zusammenzufassen. Automatisierung kann dabei die Prozesse verbessern, Klarheit über Arbeitsabläufe schaffen und alle nötigen Daten liefern, um Entscheidungen zu erleichtern und zu gewährleisten, dass Mitarbeiter Sicherheitsereignisse professionell und effektiv bewältigen.
Zweitens gilt es zu klären, welche Begabungen und Kompetenzen von unseren Mitarbeitern erwartet werden, und dabei insbesondere auf diejenigen Fähigkeiten fokussieren, die nicht theoretisch erlernt werden können. Darauf aufbauend müssen erweiterte Schulungsprogramme entwickelt werden, die alle notwendigen Fähigkeiten abdecken. Der Fokus sollte auf die gesamte Branche ausgeweitet werden, um die vorhandenen technischen Experten da einsetzen zu können, wo sie wirklich gebraucht werden – diese Herausforderung geht über das einzelne Unternehmen hinaus.
Unternehmen können es sich nicht leisten, dass Teams zum ersten Mal mit realen Bedrohungen konfrontiert sind, wenn sie eine Produktivumgebung überwachen, oder dass sie durch fehlerhafte Systeme oder geringe Nutzererfahrungen behindert werden. Wenn die benötigten Kompetenzen identifiziert und die geeigneten Leute mit den neuen Technologien und Ansätzen zusammen-gebracht werden, können die Ausbildungszeiten für Einsteiger stark verkürzt werden. Dann können sich diese Mitarbeiter zu erfahrenen Cybersicherheitsexperten entwickeln.
Worin besteht der wahre Schlüssel zum Erfolg um Menschen an die Technologien und Prozesse heranzuführen?
Die größte Herausforderung ist heute die Frage, wie man jemanden darauf vorbereiten kann, Bedrohungen zu bewältigen und zu entschärfen, die er noch nie in der Praxis gesehen hat. Das Erlernen eines Konzepts ist etwas ganz anderes als das Erleben der realen Gefahr. Während des Trainingsprozesses muss aus Fehlern – den eigenen und denen anderer – und aus der größeren Komplexität gelernt werden. In einer Cyber Range oder bei einer Simulation haben die Trainierenden die Chance, wirklich zu verstehen, was bei der Reaktion auf einen Angriff von ihnen erwartet wird. Zudem profitiert man beim Training mit Cyber Ranges oder Simulationen auch davon, dass Leistungen bewertet werden können. Diese Bewertung erleichtert es, Leute für Fortbildungen, Qualifizierungen und Zertifizierungen auszuwählen.
Inwiefern ist es von großem Vorteil für den CISO, wenn das Team in einer Cyber Range trainiert?
Eine Cyber Range vermittelt CISOs und anderen hochrangigen Führungskräften eine andere Sicht auf die beweglichen Teile bei einem Angriff. Mit dieser Trainingsmethode können Führungskräfte leichter feststellen, wie gut ihr Unternehmen auf Gefahren vorbereitet ist, da sie sehen, wie sich die Mitarbeiter bei einem Sicherheitsvorfall tatsächlich schlagen. Außerdem können die Teams flexibel unterschiedliche Übungen durchführen, um herauszufinden, wo sie Zeit und Mühe in Leistungs-verbesserungen investieren sollten, und die Zusammenarbeit zu trainieren. Man beginnt, die Umgebung im Verhältnis zu den Fähigkeiten des Teams zu verstehen, sodass man absehen kann, wo Probleme auftreten könnten oder wo zusätzliche Unterstützung benötigt wird. Und außerdem hilft diese Methode den CISOs zu entscheiden, worauf der Fokus gerichtet werden muss, was im Zeitalter von Cyberangriffen und Alarmmüdigkeit eine besonders große Herausforderung sein kann.
In erweiterten Szenarien können auch Business Owner und der Entscheidungsprozess in die Übung einbezogen werden.
Letztendlich will der CISO wissen, wie gut sein Team aktuell in der Lage ist, diese Szenarien zu entschärfen und mit den jeweiligen Stakeholdern zusammenzuarbeiten, um einer Sicherheitsverletzung Herr zu werden.
Worin besteht der Unterschied zwischen einer Cybersimulation und einer Cyber Range?
Bei einer Cybersimulation werden die Mitarbeiter anhand von Echtzeit-Szenarien in kontrollierten Umgebungen trainiert, die keine Auswirkung auf das Netzwerk und die Systeme des Unternehmens haben. Die Simulation findet in diesem Fall in vordefinierten Netzwerken statt, die das Team als Übungsterrain nutzt. Während des Trainings erproben die Teilnehmer verschiedene Methoden und Technologien zur Bedrohungsabwehr. Die Szenarien können unterschiedlich komplex sein, damit die Teilnehmer Fortschritte machen und ihre Fähigkeiten perfektionieren können.
Die Cyber Range bietet sämtliche Möglichkeiten einer Cybersimulation, jedoch mit einer wichtigen Ergänzung: Hier können das Netzwerk, die Tools und Ressourcen des Unternehmens in ein Trainingsfeld eingebracht werden, sodass die Aktivitäten sozusagen direkt auf der Angriffsfläche des Unternehmens stattfinden. Sie können die simulierten Szenarien in der Range einüben, in der das Setup genauso aussieht und sich genauso verhält wie im eigenen Netzwerk, wobei aber getestet, ausprobiert und Fehler gemacht werden können, ohne dass dies Folgen hat.
In beiden Fällen muss während der Simulation verstanden werden, wie die Trainierenden denken, um die Denkhaltung des Angreifers einzunehmen und dann das Angriffsszenario einzuüben.
Mit welchem Schritt sollte ein Sicherheitsmanager beginnen?
Der erste Schritt sollte sein, die relevanten Szenarien und notwendigen Fähigkeiten für das Unternehmen zu definieren und auf dieser Basis routinemäßige Trainingsprogramme zu entwickeln. Das grundlegende Programm sollte Cybersimulationen und Tabletop-Übungen umfassen. Das ist aber eben nur ein erster Schritt und keine „Ein-für-allemal“-Lösung. Langfristig ist es am effektivsten, in fortlaufendes Training zu investieren. Manche Unternehmen beginnen mit Tabletop-Übungen. Dabei muss darauf geachtet werden, dass diese mit den technischen Simulationen verknüpft sind – das wird helfen, interne Fähigkeiten und Kompetenzen aufzubauen. Anschließend kann man zur nächsten Phase der Cyber Range übergehen, um Szenarien mit den Netzwerken, Tools und Technologien einzuüben.
Und zu guter Letzt sollte man stets darauf achten, die technischen Maßnahmen mit den geschäftlichen Erfordernissen zu verknüpfen.