Interview: Immer mehr Schwachstellen und Fachkräftemangel in der Security

IT-Sicherheitskonferenzen wie die IT-Defense 2023 zeigen, dass die Vielfalt der Schwachstellen und der Angriffswege immer größer wird. Wie können Unternehmen und Behörden im Alltag den Überblick behalten, auch mit Blick auf die knappen Security-Ressourcen?
Stefan Strobel: Ehrlicherweise führt in diesem Bereich kein Weg daran vorbei, eigenes Personal mit entsprechendem Know-how und genügend Zeit für die IT-Sicherheit zu beschäftigen. Zwar kann man Informationsservices von Dienstleistern einkaufen, aber letztlich muss auch diese Information gelesen und im Kontext des eigenen Unternehmens bewertet werden.

Viele Unternehmensbereiche befassen sich mit IT-Sicherheitsrisiken oder sollten dies tun. Nun sprechen die verschiedenen Bereiche letztlich jeweils eine andere Sprache. Wie können IT-Sicherheitsrisiken und Schwachstellen so kommuniziert werden, dass alle relevanten Stellen die Bedrohung erkennen können?
Das ist ein uraltes Problem in der Security, das uns vermutlich auch die nächsten Jahre begleiten wird. Leider verstehen viele Bereiche die Bedrohungen erst, wenn sich daraus konkrete Vorfälle entwickelt haben und der Schaden offensichtlich ist. Und selbst wenn Sicherheitsexperten auch Kommunikationsexperten wären, bleibt das Problem, dass manche Unternehmensleitung nichts von Bedrohungen und daraus abgeleiteten Forderungen nach Budget für Schutzmaßnahmen hören möchte.

Neue Bedrohungen können auch aus neuen Entwicklungstechnologien oder mächtigen Entwickler-Tools, die missbraucht werden könnten, entstehen. Müssen die Security-Fachleute mehr Entwicklung lernen oder die Entwicklerteams mehr Security? Wie schafft man den Brückenschlag?
Nur wenn die Entwickler selbst für IT-Sicherheit sensibilisiert und weitergebildet werden, wird man etwas erreichen. Die Entwickler sind diejenigen, die Schwachstellen im Code vermeiden oder begünstigen. Vorgaben und Reglementierungen aus der Sicherheitsabteilung, die von den Entwicklern nicht verstanden und unterstützt werden, werden in der Praxis wenig Effekt haben.

Wie schaffen Sie als IT-Sicherheitsberatung es, die notwendigen Ressourcen zu finden? Was bringen zum Beispiel Duale Studienplätze?
Als spezialisierter Anbieter sind wir in der glücklichen Lage, kompetenten und motivierten Nachwuchskräften ein ideales Umfeld bieten zu können. Bei uns können sie ohne die Zwänge und Regulatorien großer Konzerne ihre Leidenschaft im Beruf ausleben. Ob das der Spaß an Hacker-Techniken, die Suche nach Schwachstellen, das Simulieren von Angriffen oder die Beschäftigung mit neuesten Sicherheitstechniken ist, bei einem spezialisierten Dienstleister ist das einfacher, als wenn man in einem Unternehmen die IT am Laufen halten muss. Daher klappt es bei uns trotz des allgegenwärtigen Fachkräftemangels doch noch ganz gut, neue Mitarbeiter zu rekrutieren. Duale Studienplätze sind dabei auch ein wichtiger Baustein.

Welche Tipps haben Sie für Unternehmen und Behörden, um trotz Fachkräftemangel Security-Ressourcen zu finden und zu binden, denn ohne interne Security fehlt ja auch einem Beratungshaus letztlich der Ansprechpartner?
Für dieses Problem gibt es leider keine einfache Lösung, und vermutlich bleibt der sinnvollste Weg, selbst in die Weiterbildung der Mitarbeiter zu investieren.

Stefan Strobel

ist Geschäftsführender Gesellschafter und Gründer der cirosec GmbH. Er hält regelmäßig Vorträge auf Fachkongressen über aktuelle Themen der IT-Sicherheit, Trends, neue Technologien und Sicherheitsstrategien, und er ist für das Programm des IT-Sicherheitskongresses IT-Defense verantwortlich.