Der Einsatz der Cloud ist heutzutage schon fast Mainstream für Unternehmen. Kaum eine andere Innovation veränderte die Unternehmenstechnologielandschaft so sehr wie die Cloud. Tatsächlich basiert heute fast jede Lösung der nächsten Generation, die digitale Geschäftsmöglichkeiten bietet, auf einer Cloud-Plattform. Organisationen setzen im Rahmen ihrer Wachstumsstrategien und einhergehenden Geschäftsanforderungen vermehrt auf die Cloud – oftmals wird dabei aber die Sicherheit vernachlässigt.
Es ist unbestritten, dass die Cloud ein Segen für das digitale Zeitalter ist. Die Technologie bietet nahezu unbegrenzte Skalierbarkeit, Zuverlässigkeit, Disaster Recovery sowie Redundanz und integrierte Security mit nativen Cloud-Diensten – und dies auch noch äußerst kosteneffizient. Darüber hinaus überzeugt die Entscheidungsträger in Unternehmen vor allem die Flexibilität, lässt sich die Cloud doch jederzeit problemlos an das Geschäft anpassen und weiterentwickeln.

Vorfälle wie der Hack von Capital One-Daten [1] zeigen jedoch die verwundbare Schattenseite der Technologie: 2019 wurden 106 Millionen Kundendaten, die in einer AWS-Cloud gehostet wurden, gestohlen – und eine Klagewelle war die Folge. Solche Situationen verdeutlichen die Herausforderungen und Schwierigkeiten bei Datensicherung und -schutz sowie bei der Interoperabilität und der Einhaltung von Vorschriften und Einschränkungen, nach denen CISOs sich richten müssen. Weltweit rückt das Thema auf den Agenden der Regierungen – etwa die Datenschutz-Grundverordnung (DSGVO) in Deutschland bzw. der EU – nach oben und lässt Unternehmen nur wenig Spielraum für Schwachstellen.

Die Liste der Herausforderungen für CISOs ist damit noch nicht zu Ende. Zu den weiteren Hindernissen zählen:

• Fehlende Multi-Cloud-Sichtbarkeit und Kontrolle über ein einziges Dashboard-Fenster für Security- und Datenschutzprobleme sowie Compliance-Verstöße,
• Herausforderungen bei der Integration nativer Public Cloud-Services, und
• Probleme bei der Einführung von Multi-Cloud-Services mit einer Single-Cloud-Architektur über Cloud-Plattformen, Authentifizierungs-Frameworks, Sicherheitsüberwachung, Ereigniskorrelation usw. hinweg.

Die (Skills-) Lücke beachten

Es gibt einen roten Faden, der sich durch all diese Herausforderungen zieht – die entsprechend passenden Fähigkeiten. Der Markt für qualifizierte Cybersecurity-Experten ist hart umkämpft und die Nachfrage übersteigt das geringe Angebot signifikant. Dies gilt umso mehr für Cybersecurity-Experten, deren Expertise in der sich verändernden Security-Landschaft liegt, die mit den Cloud-Technologien einhergeht.

Eine Studie von ESG-ISSA [2] ergab, dass bereits 53 Prozent der Unternehmen im Zeitraum 2018/2019 lediglich über einen „problematischen“ Kenntnisstand in Sachen Cybersecurity verfügen – dieser Anteil wuchs in den vergangenen vier Jahren stetig. Die gleiche Studie belegt darüber hinaus, dass der Mangel an Cybersecurity-Kenntnissen 74 Prozent der Organisationen erheblich oder in gewissem Maße beeinträchtigt. Besonders in den Bereichen Cloud-Netzwerk und -Entwicklung, DevOps und Container-Verwaltung fehlt Fachpersonal mit einschlägigen Cloud-Fähigkeiten sowie dem Wissen, konvergierte Infrastrukturen zu managen, die traditionelle und Cloud-Netzwerke zu einer kohärenten vernetzten Umgebung verschmelzen.

Diese Lücke verlangt Unternehmen einen hohen Preis ab. Die bereits verfügbaren Fachleute für Cloudsecurity kämpfen aufgrund des Fachkräftemangels mit einer hohen Arbeitsbe- und- auslastung. Dies wiederum erhöht die Wahrscheinlichkeit menschlichen Versagens, einer Diskrepanz zwischen Aufgaben und Kenntnissen oder gar eines Burnouts. CISOs müssen oftmals junge Mitarbeiter rekrutieren und ausbilden, um die Talentlücke zu füllen, anstatt erfahrene Cybersecurity-Experten einzustellen.

Eine zu hohe Arbeitsbelastung bedeutet darüber hinaus, dass Mitarbeiter nicht über ausreichend Zeit verfügen, um die ihnen zur Verfügung stehenden Sicherheitstechnologien vollständig zu erlernen oder zu nutzen – und damit ihr volles Potenzial auszuschöpfen. Auf strategischer Sicht ist die Cybersecurity daher nur eingeschränkt auf die Anforderungen und Prozesse der Firma ausgerichtet. Diese Isolierung der Cybersecurity führt zu isolierten Sicherheitsprotokollen – sowohl für die Cloud- als auch für die physischen Netzwerke.

Fachkräfte gewinnen

Organisationen sollten dem Kampf um die Talente mit einer mehrgleisigen Strategie begegnen, die kurz-, mittel- und auch langfristig funktioniert. Cybersecurity – insbesondere in Zusammenhang mit relativ neuen Technologien wie der Cloud – legt den Schwerpunkt auf spezialisierte Nischentalente mit DevOps-Hintergrund. Einige dieser Talente findet man bei Cloud-Spezialisten und Managed Service Providern. Durch die Kooperationen mit ebensolchen Unternehmen erhalten Firmen Zugriff auf begehrtes Fachwissen – wovon wiederum auch die eigenen Mitarbeiter profitieren. In Zusammenarbeit mit den externen Spezialisten erlernen sie mit ausreichend Zeit und unter Anleitung die relevanten Skills, ohne die Sicherheitslage zu gefährden oder die Produktivität zu beeinträchtigen. Während des Prozesses wird durch einen kontinuierlich wiederholten DevSecOps-Ansatz sichergestellt, dass Bugs identifiziert und behoben werden, sobald sie auftreten. Die Security ist somit während des gesamten Prozesses gewährleistet und nicht nur an den Endpunkten.

Mittelfristig ist das Training interner Talente mit den entsprechenden Fähigkeiten aber nicht ersetzbar. Dieser Ansatz birgt auch zahlreiche Vorteile: Bestehende Mitarbeiter erhalten durch externe Spezialisten institutionelles Wissen und geben dieses an andere Kollegen weiter – verglichen mit der Neueinstellung eines Experten spart dieser Ansatz Kosten und Zeit. Außerdem wird die Produktivität, die bei der Schulung eines neuen Mitarbeiters über interne Systeme und Prozesse verloren gehen könnte, eingespart.

Der Schlüssel der Strategie liegt darin, die Mitarbeiter zu motivieren, ihre Komfortzonen zu verlassen sowie eine Kultur des kontinuierlichen Lernens innerhalb der Belegschaft zu entwickeln, die den Mitarbeitern die Vorteile der Höherqualifizierung vermittelt und ihnen hilft, an ihren Stärken zu arbeiten. Dies ermöglicht ihnen, ihre Rolle und ihr Wachstum im Unternehmen zu überdenken, um neue Fähigkeiten zu erlernen und zu vertiefen.

Langfristig muss die Branche mit Bildungseinrichtungen zusammenarbeiten, um ihre Cybersecurity-Trainings auf dem neuesten Stand der sich ständig ändernden Bedrohungswahrnehmung zu halten. Die Arbeitslosenquote im Bereich der Cybersecurity lag in den vergangenen acht Jahren bei null Prozent [3]. Es wird erwartet, dass es 2021 aufgrund des Fachkräftemangels etwa zu 3,5 Millionen unbesetzte Stellen [4] geben wird. Von allen IT-Stellen waren Cybersecurity-Ingenieure 2019 die am höchsten bezahlten und am meisten rekrutierten [5] Fachleute. Diese Aussichten ziehen sicherlich das Interesse der nächsten Generation der Hochschulabsolventen für eine Karriere im Bereich Cybersecurity auf sich.

Quellen und Referenzen:

[1] https://awsinsider.net/articles/2019/08/15/capital-one-hack.aspx

[2] https://www.esg-global.com/hubfs/pdf/ESG-ISSA-Research-Report-Life-of-Cybersecurity-Professionals-Apr-2019.pdf

[3] https://www.monster.com/career-advice/article/tech-cybersecurity-zero-percent-unemployment-1016

[4] https://cybersecurityventures.com/jobs/

[5] https://www.globenewswire.com/news-release/2018/12/19/1669553/0/en/Cyber-Security-Engineers-Top-List-of-Hottest-Tech-Jobs-for-2019.html