Security-Aufstieg

Früher war alles besser! Netzwerke wurden mit Paketfiltern gesichert, weit unten im OSI-Referenzmodell (auf Layer 3 bzw. 4). Zugriffsrechte wurden auf Maschinen- oder auf Betriebssystem-Ebene geregelt, programmiert wurde in Assembler oder C – alles schön Low-Level!

Ach, die gute alte Zeit, als wir noch einen Netzperimeter hatten und klare Feindbilder: außen war böse, innen war gut – und Viren hat man sich über infizierte Disketten eingefangen!

Damals wurden „alle Bereiche der Security“ – also Firewall und Virenschutz – von einem einzigen Admin abgedeckt, der auch noch für die Verwaltung des (natürlich internen) Mail-Servers (UNIX sendmail – nix Exchange!) zuständig war.

Emanzipation und Wertigkeit

Aber sehen wir der Realität ins Auge: (In-)Security ist aufgestiegen – aufgestiegen in den Schichten des OSI-Referenzmodells. Die meisten Angriffe finden heute auf der Darstellungs- oder gar Anwendungsschicht statt.

Für die Security-Verantwortlichen bedeutet diese Entwicklung, dass es eben nicht mehr ausreicht, sich mit Netzwerken, Firewalls und einer Handvoll Betriebssystemen auseinanderzusetzen, um Unternehmensnetze, Anwendungen und Benutzer zu schützen.

Sie müssen sich mit den Eigenheiten und besonderen Anforderungen einer Vielzahl von Anwendungen auskennen – und das häufig besser als deren Benutzer. Security-Experten von heute gleichen nicht mehr Allgemeinmedizinern, sondern viel eher Gefäßchirurgen.

Sie sind oftmals spezialisiert auf einen bestimmten Teilaspekt des komplexen Security-Stacks, den wir heute in Unternehmen vorfinden: OS-Sicherheit, Firewalls („Application-Aware, Next Generation“, natürlich), IDS/IPS, Multi-Faktor-Authentifizierung, Kryptografie, Datenbank-Sicherheit, Cloud-Sicherheit und vieles mehr.

Für die Absicherung komplexer, heterogener Enterprise-IT-Infrastrukturen ist daher in der Regel eine ganze Reihe solcher hoch spezialisierter Cyber-Security-Spezialisten erforderlich.

Diese regelrechte Armee an IT-Verteidigern muss aber irgendwo rekrutiert und ausgebildet werden und idealerweise über mehrere Jahre relevante Erfahrung verfügen, bevor CISOs ihnen die Absicherung unternehmenskritischer IT-Systeme anvertrauen. Leider gibt es im akademischen Umfeld nur sehr wenige Angebote, die spezifisch den Themenkomplex IT-Sicherheit oder gar ausdrücklich Cyber-Secu­rity adressieren.

Lehre und Forschung

Dieser Mangel an nicht kommerziellen Ausbildungsangeboten erzeugt ein Problem, mit dem sich zahlreiche Unternehmen heute konfrontiert sehen: Es gibt einfach zu wenige Cyber-Security-Experten!

Die ISACA (Information Systems Audit and Control Association), ein Verband internationaler Experten im Umfeld der Prüfung von IT-Systemen, hat bereits 2016 prognostiziert, dass bis 2019 weltweit zwei Millionen Cyber-Security-Experten fehlen werden. Angesichts des unerwartet starken Anstiegs an Hacking-Angriffen, Malware-Verbreitung und Datendiebstählen wird die tatsächliche Zahl sogar noch höher liegen.

Für technisch Interessierte bedeutet dieses Cyber-­Security-Know-how-Vakuum wiederum interessante berufliche Aufstiegsmöglichkeiten, attraktive Gehälter und die fast schon freie Auswahl spannender Arbeitsstätten, denn bereits heute wächst die Nachfrage nach Cyber-Security-Experten etwa dreimal schneller als die allgemeine Nachfrage nach Fachkräften im IT-Segment. Security hat einen nachhaltigen Stellenwert bekommen.

Diese rosigen Aussichten sind meiner Ansicht nach noch um ein Vielfaches besser, wenn sich besagte zukünftige Cyber-Security-Experten analog zum Gehirn-Gefäßchirurgen spezialisieren: zu SAP-Cyber-Security-Experten – Security-Karriere­aufstieg garantiert!