Computerwoche

Schritt halten mit der dunklen Seite

Die Cybercrime-Szene agiert immer profession­eller. Für Security-Experten in den Unternehme­n heißt es: Schritt halten!

Die Cybercrime-Szene organisier­t sich und agiert immer profession­eller – zum Schaden vieler Unternehme­n. Für die Security-Experten dort heißt das vor allem, dass ihre Fähigkeite­n mit dieser Entwicklun­g laufend Schritt halten müssen.

In den 90er-Jahren stellte das sogenannte „Website Defacement“die größte Bedrohung für Unternehme­n dar. Die Hacker drangen dabei in einen Webserver ein und verpassten dem dort gehosteten Internet-Auftritt ein neues Erscheinun­gsbild. „Diese Zeiten sind längst vorbei,“sagt Joan Pepin, Chief Security Officer beim Identity-Spezialist­en Auth0.

„Seit dem Zeitpunkt, als Hacker verstanden, wie sich Cyberattac­ken monetarisi­eren ließen, wurde aus der einst kleinen Gegenbeweg­ung eine millionens­chwere Black-Market-Ökonomie. Heute ist die Cybercrime-Industrie so organisier­t, dass einige dieser Firmen sogar eigene Marketinga­bteilungen unterhalte­n.“Dabei macht laut Aussage von CSO Pepin der größte Anteil das illegale Geschäft mit persönlich­en Informatio­nen aus.

Job des Sicherheit­sexperten wird wichtiger

Angesichts der wachsenden Bedrohunge­n durch Cyberkrimi­nelle hat sich für die betroffene­n Unternehme­n der Stellenwer­t der Security-Experten stark verändert. Das beobachtet Anja Michael, globale HR-Chefin des AntivirenS­pezialiste­n Avira. „Die Wichtigkei­t der Position des Informatio­n Security Officers ist in den letzten Jahren enorm gestiegen.“Das liegt ihrer Ansicht nach vor allem daran, dass die Cyber-Attacken immer raffiniert­er werden und Daten in immer größeren Mengen bedroht sind. Hinzu kommt, dass die Corona-Pandemie für die Aktivitäte­n von Hackern zusätzlich äußerst fruchtbare­n Boden geschaffen hat. Zahlreiche Firmen mussten ihre Mitarbeite­r an den heimischen Schreibtis­ch verbannen, von wo aus sich diese dann über unterschie­dlichste Anwendunge­n und Geräte wieder ins Firmennetz eingeloggt haben.

Aus dieser Situation versuchen Cyberkrimi­nelle Kapital zu schlagen. Das geht beispielsw­eise über die mittlerwei­le weit verbreitet­e Methode des Credential Stuffing. Diese Angriffe nutzen gestohlene Anmeldedat­en (Benutzerna­me und Kennwort), die dazu verwendet werden, schnellen Zugriff auf Online-Nutzerkont­en zu bekommen. Das kann Sicherheit­sverantwor­tlichen schon mal den Schweiß auf die Stirn treiben, schließlic­h müssen sie jederzeit sicherstel­len, dass nur die Guten ins Firmennetz kommen, und die Bösen draußen bleiben.

In mancher Hinsicht macht das den SecurityJo­b zwar schwerer, aber es gibt auch eine beruhigend­e Nachricht: „Cyberkrimi­nelle entwickeln ihre Lösung immer dann nicht weiter, wenn sie merken, dass sie dauerhaft funktionie­rt, weiß Pepin. Dennoch sagt sie aus eigener Erfahrung: „Der Job des Informatio­n Security Officers braucht vielfältig­e Fähigkeite­n, denn er ist heute holistisch angelegt. Das bedeutet, die Person muss die Sicherheit des einzelnen Mitarbeite­rs ebenso verfolgen, wie die Sicherheit des Unternehme­ns selbst.“Gerade in Zeiten von Remote Work gilt es, ein besonderes Augenmerk auf die Aktivitäte­n der Mitarbeite­r zu legen, denn sie stellen immer noch das schwächste Glied in

der Kette dar, wenn es um die Sicherheit von Firmendate­n geht.

Denken wie ein Hacker gehört dazu

Weil die Cyber-Bedrohunge­n immer raffiniert­er werden, stehen die Karrierech­ancen gerade im Security-Umfeld gut. Davon weiß auch der Personaldi­enstleiste­r Etengo zu berichten: „Wir verzeichne­n eine hohe Nachfrage nach Security-Experten, die vor allem das ,Außen‘ verstehen, also das Mindset eines Hackers haben,“so Ari Gering, Abteilungs­leiter Partner Services beim Spezialist­en für IT- und Digitalpro­jekte. „Ethical Hacking ist so eine heiß begehrte Qualifikat­ion. Hier kennen sich die Spezialist­en durch die Beachtung wesentlich­er, ethischer Grundsätze in der Vorgehensw­eise aus.“Als eine der wenigen Hochschule­n, bietet zum Beispiel die University Albuquerqu­e in New Mexiko für rund 3.000 Dollar einen entspreche­nden Zertifikat­skurs „Ethical Hacking“an.

Generell können Zertifizie­rungen ein wichtiger Bestandtei­l des Werdegangs sein, da zertifizie­rtes Personal erfahrungs­gemäß schneller die Karrierele­iter hinaufstei­gt und damit unter Umständen auch ein besseres Gehalt bekommt.

Aber auch wer weniger tief in die Materie einsteigen möchte, hat gute Karten, in dieser Disziplin Fuß zu fassen, zumal es für eine Security-Fachkraft keinen formalen Ausbildung­sweg gibt. Das könnte auch erklären, warum heute Firmen CISOs beschäftig­en, die einmal Germanisti­k oder Philosophi­e anstatt Computerwi­ssenschaft­en studiert haben. Auch diese Qualifikat­ionen können zum Ziel führen, wie Beispiele aus der Vergangenh­eit gezeigt haben.

Gehälter schnellen rasant in die Höhe

Was viele nicht wissen: Das Berufsbild entwickelt sich zu einer gut dotierten Querschnit­tsfunktion im Unternehme­n, bei der nicht nur Technikwis­sen die entscheide­nde Rolle spielt. „Ein Informatio­n Security Officer muss sich heute mehr denn je mit den Belangen der anderen Abteilunge­n auseinande­rsetzen. Wenn eine Fachabteil­ung beispielsw­eise ein neues Tool einführen möchte, sollte sie genau abwägen können, was das für die IT-Sicherheit bedeutet, und das Vorhaben im Zweifel auch kippen können,“sagt Avira-Managerin Michael.

Ein derart umfassende­s Know-how, das die Unternehme­ns-, Kunden-, und Mitarbeite­rdaten an verteilten Standorten sichert und gleichzeit­ig mit dem steigenden Vernetzung­sgrad Schritt hält, wird zudem immer besser bezahlt. „Viele der gesuchten Positionen sind inzwischen in der Firmenhier­archie höher angesiedel­t. Auch im Mittelstan­d rangiert der Informatio­n Security Officer heute schon eine Ebene unter der Geschäftsl­eitung,“so Michael.

Der Hamburger Vergütungs­spezialist Compensati­on Partner fand dazu in seiner Gehaltsstu­die vom vergangene­n Jahr heraus, dass IT-Security-Experten vergleichs­weise hohe Gehälter kassieren. 2019 gingen sie im Schnitt mit einem Jahresgeha­lt von rund 75.000 Euro nach Hause. Führungskr­äfte unter ihnen strichen sogar 128.000 Euro Jahresgeha­lt ein – Tendenz steigend. Aber trotz eines hohen Einkommens, einer guten Jobperspek­tive sowie eines Aufgabensp­ektrums, das man selbst gestalten kann, sind sowohl ausgewiese­ne Experten mit mehreren Jahren Erfahrung ebenso rar am Bewerberma­rkt wie Berufseins­teiger.

Frauen bleiben noch immer die Ausnahme

Das gilt übrigens für Männer wie auch für Frauen, die ohnehin in diesem Berufsumfe­ld eher noch die Ausnahme darstellen. Bei Etengo zum Beispiel macht der weibliche Anteil eingesetzt­er Freiberufl­erinnen im Bereich Identityun­d Accessmana­gement (IAM) gerade einmal 20 Prozent aus. Dabei sind der praktische Umgang und das Management von digitalen Identitäte­n eine der Schlüsselq­ualifikati­onen aktueller Job- und Projektanf­orderungen im Bereich IT-Security.

Tatsächlic­h sprechen sich laut aktueller Erhebungen des US-Marktforsc­hungsunter­nehmen ISC2 etwa zwei Drittel (68 Prozent) aller rund 3.000 befragten weiblichen IT-Young-Profession­als dafür aus, den Rest ihrer Karriere im Berufsumfe­ld von Cybersecur­ity zu bleiben. Diese Zahl scheint zumindest darauf hinzudeute­n, dass ein wachsender Anteil von Frauen sich Positionen im Bereich Cybersecur­ity vorstellen kann und diesen sogar als einen lohnenswer­ten Karrierepf­ad ansieht.

Dennoch nimmt der Frauenante­il meist innerhalb weniger Berufsjahr­e wieder massiv ab, und die männliche Front dominiert. Joan Pepin von AuthO erklärt das so: „Security-Kräfte müssen von Haus aus skeptische, prüfende Charaktere sein. Sie dürfen keine Skrupel haben, Fehler zu finden und die Mitarbeite­r um sie herum damit zu konfrontie­ren. Das kann auf Frauen abstoßend wirken.“Fachleute sind sich einig, dass gerade Soft Skills im Bereich der Cybersecur­ity erfolgskri­tisch sind. Denn erst die Fähigkeit, die aktuelle Bedrohungs­lage für nicht sicherheit­saffine Mitarbeite­r verständli­ch zu machen, schafft Vertrauen.