Informationssicherheit ist ein rasant wachsender Bereich. In immer kürzeren Abständen begegnen uns neue Bedrohungen, Risiken, Technologien und Lösungen. Wissen ist der Schlüssel zur Bewältigung dieser Herausforderungen. Doch wie ist es um unser Land bestellt? Jüngste Studien geben Einsicht und zeigen das aktuelle Lagebild auf.
Wer in der Informationssicherheit arbeitet, dem ist bewusst: Stete Weiterbildung ist das Fundament jeder Verteidigung. Blogs lesen, Angriffstechniken verstehen, Auswirkungen erkennen, Risiken einschätzen, Produkte evaluieren, Prozesse überwachen, Server härten, Kolleg(en)innen sensibilisieren. Wer den Anschluss verpasst, setzt sich und sein Unternehmen unweigerlich Gefahren aus.
“Knowledge is the key to success” ist keine neue Erkenntnis. Dennoch investieren viele Unternehmen zu wenig in die Aus- und Weiterbildung ihrer Mitarbeiter(innen) und kaufen lieber Lösungen bei den Herstellern ein. Oft fehlt das Wissen über sichere kryptographische Algorithmen, angemessene Schlüssellängen, Angriffsvektoren und Schwachstellen, so dass Systeme über Jahre hinweg in teils unveränderter Konfiguration betrieben werden. Was heute sicher ist, kann aber morgen bereits im Fokus der Angreifer sein.
Oft muss erst reeller Schaden entstehen, bevor die Security-Budgets so aufgestockt werden, dass zumindest die notwendigsten Maßnahmen zum Schutz des Unternehmens überhaupt aufgeplant werden.
Aber sind damit auch die Voraussetzungen für eine erfolgreiche Umsetzung erfüllt?
Security-Experten sind rar, und wer ein Projekt besetzen möchte, zahlt hohe Tagessätze oder muss feststellen, dass Kandidaten überhaupt gar nicht verfügbar sind.
Wie groß der Notstand ist, zeigen die nachfolgenden Studien.
Qualifizierung in der Informationssicherheit
Die (ISC)², das sog. “International Information System Security Certification Consortium”, ist die größte IT-Security-Organisation weltweit. Als Non-Profit-Organisation mit Sitz in den USA entwickelt die (ISC)² seit 1989 Trainings und Zertifizierungen in der Informationssicherheit. Das bekannteste Zertifikat, der sog. “Certified Information Systems Security Professional” (CISSP), wird als “Gold Standard Credential” in der Security-Branche gehandelt. Sprich: Wer als Cybersecurity-Experte etwas auf sich hält, läßt sich als CISSP zertifizieren. Mittlerweile machen viele DAX-Unternehmen das CISSP-Training zur Voraussetzung für eine Einstellung oder für ein Engagement als Berater.
Weltweit gibt es aktuell 131.180 CISSPs (Stand: 31.12.2018).
Was ausreichend wirkt, entpuppt sich bei näherem Hinsehen als Fiasko. Die nachfolgende Tabelle zeigt die Anzahl der Cybersecurity-Experten in den einzelnen Ländern.
Tabelle 1: Anzahl der CISSPs weltweit (Quelle: (ISC)²)
Deutschland steht im internationalen Vergleich abgeschlagen auf Platz 10 und muss sich mit Zwergstaaten wie Singapur und Hong Kong vergleichen. Selbst kleinere Länder wie Holland und Korea sind besser aufgestellt und verfügen über mehr Cybersecurity-Experten als wir!
Studie “Wirtschaftsschutz in der digitalen Welt”
Der Digitalverband Bitkom hat im September 2017 insgesamt 1.069 Betriebe mit 10 oder mehr Mitarbeitern befragt und die Ergebnisse in der Studie Wirtschaftsschutz in der digitalen Welt veröffentlicht:
Nicht einmal die Hälfte der (befragten) Unternehmen in Deutschland ist ausreichend auf einen Cyberangriff vorbereitet.
Nur vier von zehn Firmen haben ein Notfallmanagement (43%).
Nur die Hälfte der Betreiber von kritischen Infrastrukturen haben einen Notfallplan (53%)!
Gothaer KMU Studie
Die Gothaer-Versicherung hat in Ihrer KMU-Studie 2017 weitere 1.006 kleine und mittelständische Unternehmen (KMUs) mit bis zu 500 Mitarbeitern aus 21 Branchen befragt. Deren Einschätzung lautet:
75% geben Digitalisierung als sehr wichtigen Aspekt im Unternehmen an.
32% sehen Cyberrisiken als eine der größten Gefahren.
35% halten es für wahrscheinlich, von einem Cyberrisiko betroffen zu sein.
Für 34% sind Systeme und Daten am wertvollsten, für 23% Gebäude.
Jeder im Internet erreichbare Server wird minütlich gescannt, auf Schwachstellen untersucht, und wenn möglich, auch kompromittiert. Es ist bekannt, dass Konkurrenzunternehmen, Organisationen und staatliche Institutionen stetig versuchen, interne Informationen abzugreifen und zu verwerten. Insofern ist es höchst bedenklich, dass nur 35% der Befragten es für wahrscheinlich halten, von einem Cyberrisiko betroffen zu sein. Die restlichen 65% der Befragten sind offensichtlich arglos und überwachen ihre Systeme nicht, sind also nichtmals darüber informiert, dass sie angegriffen werden.
So sieht denn auch die Realität aus, die die Studie mit ihren Umfrageergebnissen vermittelt:
20% der KMUs setzen kein Antivirus ein!
25% der KMUs arbeiten ohne Firewalls!
33% der KMUs arbeiten ohne (regelmäßige) Backups!
51% der KMUs haben keinen Notfallplan!
Cybersecurity Workforce Study
Die (ISC)² hat 2018 weltweit über 1.500 Unternehmen und Berater aus der Information Security Community befragt und die Ergebnisse in einer Studie zusammengefasst. Die sog. Cybersecurity Workforce Study zeigt allein für Europa (genauer: EMEA) eine Deckungslücke von 142.000 fehlenden Cybersecurity-Experten auf. Global besteht sogar eine Unterdeckung von 2,93 Mio. Experten.
Abbildung 1: Fachkräftebedarf in der Cybersecurity © by (ISC)²
Jetzt ist sicherlich Vorsicht geboten, wenn eine Organisation wie die (ISC)², die Trainings lizensiert, den Ausbildungsbedarf in einer Studie aufzeigt. Aber: Wenn nur die Hälfte der Aussagen zutreffen, ergibt sich ein düsteres Bild, das zugegebenermaßen auch der gefühlten Realität entspricht.
Die Studie geht desweiteren darauf ein, welche Herausforderungen die Unternehmen in der Zukunft zu erwarten haben und wie sie sich darauf einstellen.
Lagebild
Weltweit steigt die Sensibilisierung für Cybersecurity. Gleichzeitig wird aber die Lücke zwischen Bedrohungen, Risiken und Angriffen einerseits, und verfügbarem qualifizierten Personal und der Umsetzung von Abwehrmaßnahmen andererseits immer größer.
Viele Unternehmen investieren in Technologie, um sich vor Gefahren zu schützen, vernachlässigen dabei aber den Invest in Cybersecurity-Know-how und in die Aus- und Weiterbildung des eigenen Personals. Was die Unternehmen zunehmend verwundbar macht…
Daher überrascht es nicht, dass jüngste Umfragen den Fachkräftemangel als größte ernst zu nehmende Sorge sehen:
63% der Befragten berichten, dass ihre Organisation einen eklatanten Fachkräftemangel im Bereich der Informationssicherheit hat.
59% der Befragten sagen, dass ihre Organisation aufgrund dieses Fachkräftemangels teilweise extremen Risiken ausgesetzt ist.
48% der Unternehmen planen, in den nächsten 12 Monaten Cybersecurity-Experten anzuheuern oder auszubilden.
Cybersecurity betrifft jeden Einzelnen im Unternehmen: Sachbearbeiter, Entwickler, Betreiber, Juristen, Marketing, Finanzwesen… Jeder arbeitet mit Daten und digitalen Prozessen. Daher ist wichtig zu überblicken, wie die zu schützenden Daten durch das Unternehmen fließen und welche Maßnahmen zum Schutz dieser Daten greifen.
Abbildung 2: Fachkräftemangel und dadurch bestehende Risiken © by (ISC)²
Als größte Probleme werden gegenwärtig bezeichnet:
Mangel an qualifiziertem, erfahrenen Cybersecurity-Personal
mangelnde Ressourcen, um die Aufgaben effektiv bewältigen zu können
unzureichendes Budget für Sicherheitsinitiativen
mangelnde Zeit
Die aktuellen Herausforderungen sind lt. Umfrage:
mangelhafte Sensibilisierung und schlecht ausgeprägtes Bewusstsein für Risiken und Gefahren seitens der Endanwender (25%)
unterbesetztes Cybersecurity-Personal (24%)
mangelhafte Ressourcenausstattung für die Informationssicherheit (Zeit, Geld, Personal) (23%)
Masse der zu überblickenden und auszuwertenden Daten (23%)
mangelhafte Unterstützung des Managements bzgl. der Dringlichkeit von Cybersecurity-Initiativen (21%)
Abbildung 3: Herausforderungen in der Informationssicherheit © by (ISC)²
ManufakturIT – Information Security Training for Business
Wir sind ein Team hoch qualifizierter Security-Experten, die Ihrem Unternehmen in allen Bereichen der Informationssicherheit und des Datenschutzes zur Seite stehen. Als offizieller Schulungspartner der (ISC)² bieten wir Intensivkurse für die Prüfungsvorbereitung auf das CISSP- und CCSP-Examen an:
Desweiteren bereiten wir unsere Schulungsteilnehmer auf die ISACA-Prüfungen zum Security Manager und zum Auditor vor:
Gefragt sind bei unseren Kunden insbesondere auch die individuell zugeschnittenen Trainings für Projektleiter und Entwicklungs-Teams, sowie für Fachseiten und Endanwender:
Alle Kurse sowie individuelle Traninings führen wir auf Anfrage auch Inhouse sowie auf Englisch durch.
Informationen finden Sie auf unserer Webseite www.manufaktur-it-training.de.