francis bonami - Fotolia
Automatisierung schließt die Qualifikationslücke nicht
Es gibt heute definitiv mehr Sicherheitsprobleme, als das vorhandene Security-Personal lösen kann. Einfach mehr Personal und mehr Technologie einzusetzen, ändert dies meist nicht.
Infolge des anhaltenden Mangels an Cybersicherheitsfachleuten werden sowohl die Einstellung von mehr Personal als auch die Implementierung von Automatisierung häufig diskutiert.
Das Argument ist, dass die Implementierung einer intelligenten Automatisierung in der Cybersicherheit das Problem der offenen Stellen lösen würde oder zumindest erlaubt, dass sich die vorhandenen Mitarbeiter auf die interessanteren und wichtigeren Dinge in der Sicherheit konzentrieren können.
In der Tat sind viele Unternehmen der Ansicht, dass Sicherheitsautomatisierung die Einstellung von zusätzlichem Sicherheitspersonal überflüssig macht oder die Fähigkeiten des derzeitigen Sicherheitsteams erhöht.
Die Wahrheit ist, dass dieser Ansatz den Punkt ein wenig verfehlt. Die erste Anforderung besteht darin, die Cybersicherheitsprozesse der Organisation zu verbessern, um sie in die Lage zu versetzen, von der Automatisierung zu profitieren. Beispielsweise erhöht die automatische Erkennung von Schwachstellen und die Ausgabe eines Servicetickets nicht die Sicherheit des IT-Betriebs, wenn das IT-Team nicht in der Lage ist, die relevanten und kritischen Sicherheitslücken zu patchen.
Für ausgereifte Prozesse gibt es jedoch viele Bereiche, in denen die Automatisierung einen großen Unterschied machen kann. Orchestrierungswerkzeuge und Management-Tools für Netzwerkrichtlinien ermöglichen es dem Sicherheitspersonal beispielsweise, mehr Zeit mit der Verwaltung und Verbesserung von Sicherheitskontrollen wie Firewalls und Überwachungssoftware zu verbringen. Das ist wichtig, weil die Nutzung von Cloud-Diensten zu einem stark steigenden Bedarf an Firewalls und anderen Sicherheitskontrollen führt.
Machine Learning und KI sind Buzzwords, keine Sicherheit
Machine Learning und KI werden oft hochgelobt in der Cybersicherheit. Dahinter steht die Idee, dass automatisierte Systeme, die ständig lernen, automatisch neue Bedrohungen erkennen und die Sicherheit auf lange Sicht erhöhen werden. Das Konzept sieht so aus: Ein intelligentes System, das nach dem neuesten Stand der Technik realisiert wird, lernt die neuen Gefahren kennen und bleibt so auf dem neuesten Stand. Machine Learning ist jedoch zu einem Schlagwort geworden und wird heftig überbewertet. Tatsache ist, dass man seine Sicherheitswerkzeuge nicht einfach auf Datenströme richten kann, um sie nach versteckten Sicherheitsbedrohungen suchen zu lassen. Sowohl die KI als auch das maschinelle Lernen erfordern Sicherheitsexperten, die zunächst Wissen bereitstellen und überprüfen.
Natürlich gibt es Bereiche, in denen ein Teil des Wissens hoch qualifizierter Sicherheitsanalytiker in Algorithmen erfasst werden kann. Diese Werkzeuge werden zur Analyse der Sicherheit und Priorisierung potenzieller sicherheitsrelevanter Ereignisse für eine detaillierte Untersuchung durch weniger qualifizierte Analysten verwendet.
Dies ermöglicht es dem Experten, sich auf anspruchsvollere Aufgaben zu konzentrieren und neue Bedrohungen zu identifizieren. Es besteht keine reale Gefahr, dass Cybersicherheitsexperten durch Roboter oder Bots ersetzt werden. Beispielsweise nutzen fast alle erfolgreichen Angriffe Schwachstellen in der Software aus. Da alle Roboter aufgrund von Software arbeiten, ist es schwer anzunehmen, dass sie wirklich ein Game Changer sein werden.
Das einzig vorstellbare Szenario wäre, wenn beispielsweise Server-Administratoren durch Roboter ersetzt werden könnten und diese Roboter-Administratoren höher qualifiziert wären als die meisten heutigen Linux- oder Windows-Server-Administratoren. Das könnte wirklich einen positiven Unterschied im oben genannten Sinne machen, aber solche Ansätze sind zum jetzigen Zeitpunkt sehr theoretisch.
Unternehmen fordern mehr Qualifikationen statt mehr Mitarbeiter
Die andere mögliche Antwort auf die Qualifikationslücke besteht darin, das Sicherheitsteam zu vergrößern, aber es stehen nicht genügend Sicherheitsexperten zur Verfügung. Und zudem würde mehr Personal nicht unbedingt die Qualifikationslücke schließen. Stattdessen würden sich vermutlich viele der Kenntnisse und Fähigkeiten überschneiden, welche die Experten mitbringen würden, ohne dass die Lücken in den aktuelleren Kenntnissen geschlossen werden. In den meisten Fällen wäre es effizienter, die Fähigkeiten des bestehenden Teams zu verbessern, als mehr Leute einzustellen, die alle auf einem ähnlichen Wissensstand sind. Das bedeutet nicht, dass es nicht notwendig ist, die Größe der Sicherheitsteams zu vergrößern, sondern dass lediglich ein moderates Wachstum benötigt wird.
Die Definition eines „moderaten Wachstums“ ist geschäftsabhängig, bedeutet aber in der Regel höchstens 10 Prozent Neueinstellungen pro Jahr, oft eher weniger. Zum Beispiel ist ein zehnköpfiges Sicherheitsteam, das einen neuen Sicherheitsanalytiker einstellt, überschaubar, wohingegen eine Verdoppelung der Größe desselben Teams niemals funktionieren würde. Analog dazu wären bei einem großen Unternehmen mit 100 Sicherheitskräften, fünf bis zehn Neueinstellungen pro Jahr moderat. Die Erhöhung der Qualifikation der vorhandenen Mitarbeiter kann die Anzahl der erforderlichen Neueinstellungen und die Gesamtkosten für das Unternehmen erheblich reduzieren.
Höhere Qualifikationen und Cybersicherheits-Tools der nächsten Generation können als „Stärke-Multiplikatoren“ fungieren, die es den Mitarbeitern ermöglichen, mit der Geschwindigkeit von Bedrohungen und Geschäftsanforderungen Schritt zu halten. Im Allgemeinen gibt es drei Arten von Werkzeugen, die dazu geeignet sind:
- Werkzeuge für die Orchestrierung und das Management von Netzwerkrichtlinien;
- Werkzeuge für die Sicherheitsanalyse, mit denen Abfragen oder Muster erfasst werden können, die von Sicherheitsexperten entwickelt wurden und die zur Priorisierung der regelmäßigen Warnmeldungen verwendet werden können;
- Werkzeuge für die Prüfung von Softwareschwachstellen, die in die Entwicklungsplattformen integriert werden können und die die Anzahl der Schwachstellen in den Produktionsumgebungen verringern.
Welche Qualifikationen und Fähigkeiten werden wirklich benötigt?
Die letzte Frage ist, welche Qualifikationen und Fähigkeiten in einem Unternehmen tatsächlich benötigt werden. Die Antwort lautet: Es kommt auf die Karrierestufe des jeweiligen Sicherheitsspezialisten an. CISOs benötigen zum Beispiel ein solides Verständnis von Sicherheit und IT, aber sie müssen auch verstehen, wie das Geschäft funktioniert und über die Kommunikations- und Führungsqualitäten verfügen, um den Wandel in ihrem Unternehmen voranzutreiben.
Sicherheitsanalytiker benötigen tiefere Kenntnisse sowohl über die Funktionsweise von IT-Systemen und Software als auch darüber, wie die Bösewichte in diese Systeme eindringen. Darüber hinaus hat das SANS Institute festgestellt, dass erfolgreiche Sicherheitsexperten auf allen Ebenen fast immer über eine starke Mustererkennung und Problemlösungsfähigkeiten verfügen.
Daher müssen die Unternehmen die fehlenden Qualifikationen und Fähigkeiten innerhalb ihrer einzelnen Cybersicherheitsteams evaluieren und herausfinden, welche Schulungen geeignet sind, um die vorhandenen Fähigkeiten der Mitarbeiter zu verbessern.
Fazit
Es gibt heute definitiv mehr Sicherheitsprobleme, als das vorhandene Sicherheitspersonal lösen kann. Die Tatsache, dass Sicherheitsvorfälle immer noch allzu häufig auftreten, bestätigt dies. Das primäre Mittel, dies zu ändern, besteht jedoch nicht darin, mehr Leute einzustellen oder mehr Technologie zu kaufen, um das vorhandene Sicherheitspersonal dazu zu bringen, die gleichen Dinge schneller zu erledigen.
„Mehr Sicherheitspersonal, das die falschen Dinge tut oder fehlerhafte Sicherheitsprozesse automatisiert, erhöht die Sicherheit nicht.“
John Pescatore, SANS Institute
Erstens und am wichtigsten: Die überwiegende Mehrheit der Sicherheitsvorfälle wird durch Ausfälle im IT-Betrieb verursacht. Das Cybersicherheitspersonal schreibt keine Software, installiert keine Software und verwaltet keine Serverbetriebssysteme. Dennoch sind bekannte Schwachstellen in Software- und Serverkonfigurationen die Hauptursache für die meisten Sicherheitsvorfälle, die in Unternehmen Schäden verursachen.
Ebenso haben Sicherheitskräfte jahrelang darum gekämpft, wiederverwendbare Passwörter zu ersetzen, aber CIOs haben sich dagegen gewehrt – und Phishing-Angriffe sind weiterhin erfolgreich. Sicherheitsteams haben die IT-Abteilung dazu gedrängt, administrative Privilegien einzuschränken und sichere Softwareentwicklungszyklen zu implementieren, doch viele CIOs haben dies ignoriert – und Softwareschwachstellen ermöglichen weiterhin Angriffe.
Heute haben die Unternehmen, die Schäden aufgrund von Sicherheitsvorfällen vermieden oder minimiert haben, nicht das größte Team von Sicherheitspersonal eingestellt oder die meisten Sicherheitsfunktionen automatisiert. Die erfolgreichen Security-Teams haben geschäftsrelevante Argumente gebündelt, um die Geschäftsführung und das Management vom Wert einer erhöhten Sicherheit und der Unterstützung von Veränderungen in den IT-Prozessen wie den oben beschriebenen zu überzeugen.
Zweitens: Mehr Sicherheitspersonal, das die falschen Dinge tut oder fehlerhafte Sicherheitsprozesse automatisiert, erhöht die Sicherheit nicht. Zwar besteht zweifellos ein Bedarf an mehr Sicherheitspersonal, aber der größere Bedarf besteht darin, die Fähigkeiten des vorhandenen Sicherheitspersonals zu verbessern und das Wissen des IT-, Verwaltungs- und Management-Personals zu erhöhen.
Ein sehr gutes Beispiel ist die Automobilindustrie. Sie hat vor Jahren gelernt, dass sie die Qualität und nicht nur die Menge der Servicemechaniker steigern muss. Erfolgreiche Unternehmen haben gelernt, dass sie, wenn sie die Qualität des Sicherheitsteams steigern und Fehler im Software- und IT-Betrieb vermeiden, die Sicherheit tatsächlich erhöhen können, ohne die Ausgaben für Personal und IT-Sicherheit zu erhöhen.
Über den Autor:
John Pescatore ist Director of Emerging Security Trends des SANS Institutes.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
