Ein bisschen Thrill ist immer dabei: Die besten Sicherheitsspezialisten wissen, worauf es Angreifer abgesehen haben und wie man sich gegen Übergriffe schützen kann. Doch wer im Bereich IT-Sicherheit Karriere machen möchte, ist nicht nur Spion und Spürnase, sondern auch Architekt. Sein Werk: der Bau einer flexiblen und intelligenten IT-Sicherheitsstruktur, die Freiheiten fürs Business lässt und trotzdem größtmögliche Sicherheit garantiert. Von André Boße
Wenn Martin Kuppinger die Abendnachrichten im Fernsehen sieht, erfährt er immer wieder, wie rasant sich sein Themenfeld entwickelt. Sicherheit und IT? Das war bis vor einigen Jahren lediglich ein Thema für absolute Experten, das in Fachzeitschriften oder speziellen Web-Foren diskutiert wurde. Jetzt aber hat es das Thema in die beste Sendezeit geschafft: Immer wieder berichten die Nachrichten von Cyber-Attacken im großen Stil. Mal trifft es Ministerien, mal Unternehmen. Kuppingers Festellung: „IT-Sicherheit ist heute ein Thema, das sowohl Privatanwender als auch Unternehmen und Behörden beschäftigt – und zwar über die Sicherheits- und IT-Experten hinaus.“ Daher ist es kein Wunder, dass die von ihm mitgegründete und auf Security spezialisierte Analystenfirma Kuppinger- Cole auf Wachstumskurs ist: „Es gibt wohl keinen Bereich der IT, in dem die Lücke zwischen hoher Nachfrage und schmalem Angebot so groß ist wie im Bereich der IT-Sicherheit.“
Strukturierte Annäherung an das Thema
Einsteiger können die Gunst der Stunde nutzen und diese Lücke füllen. Gefragt sind Security-Talente mit Problemlösungskompetenz. „Dass eine Bedrohung besteht, ist fast allen klar“, sagt Kuppinger. „Aber wie man damit richtig umgeht, das wissen nur wenige. Hier gibt es enormen Handlungsbedarf.“ Das Credo des Düsseldorfer Analysten lautet daher: „Es geht nicht darum, sich bei der IT-Sicherheit auf die Installation von rein technischen Lösungen zu verlassen.“ Dafür ist das Feld zu komplex, die Bedrohungen zu ausdifferenziert. Entscheidend ist, dass man sich dem Thema Sicherheit strukturiert nähert. Daher dockt Kuppinger das Thema Security an GRC an. Die Abkürzung steht für Governance, Risk Management und Compliance, also die drei wichtigsten Handlungsebenen des Managements. Hier geht es um die Fragen: Wie wird das Unternehmen geführt? Wie ist das Risikomanagement aufgestellt? Welche Regeln und Normen gelten im Unternehmen? Kuppinger sagt: „Diese Schnittstelle zwischen IT-Sicherheit und Business dominiert zusammen mit dem technischen Aspekt den gesamten Security- Bereich.“ Wer als Sicherheitsexperte punkten möchte, muss also auch die Business-Seite kennen. Das macht den Bereich komplexer – eröffnet aber auch Chancen: Wer sich darauf versteht, steht vor glänzenden Karrieren.
Experten raten zur Spezialisierung
Da sich das Thema Security immer weiter ausdifferenziert, geben Experten Nachwuchskräften die Empfehlung, sich nicht als Generalist zu probieren, sondern sich auf einen Teilbereich zu fokussieren. „Im Bereich IT-Sicherheit gibt es viel zu wissen. Deshalb neigen Sicherheitsexperten dazu, sich zu spezialisieren“, sagt Christian Patrascu, Senior Manager und Sicherheitsexperte beim Softwarehersteller Oracle. Es gibt Experten, die sich besonders auf die Absicherung von Internetprotokollen verstehen, andere sind auf Authentifizierungsverfahren oder den Einsatz von Verzeichnisdiensten oder Zertifikaten spezialisiert. Besonders gefragt sind Spezialisten für IT-Lösungen, die intelligent Zugänge zu Daten erteilen oder entziehen. Bei diesem Identity- und Access-Management (IAM) geht es erstens um die Frage, welcher Mitarbeiter mit welchem Gerät Zugriff auf welche Daten hat – eine komplizierte Angelegenheit, da viele Mitarbeiter ihre eigenen Laptops, Tablets oder Smartphones an die Unternehmensnetzwerke anschließen. Der zweite Aspekt beschäftigt sich mit der Frage: Wie tief dürfen externe Nutzer, also die Kunden, in die Datenstruktur des Unternehmens eindringen? Das dritte IAM-Thema ist das „Privilege Management“, also die Frage, in welchem Umfang privilegierte Benutzer erhöhte Zugriffsrechte erhalten sollen – mit Blick auf die hohe Fluktuation im Top-Management einiger Branchen ein spannendes Thema.
Sicherheit darf nicht hinterherhinken
Eindeutige Antworten gibt es auf keine dieser Fragen. IT-Sicherheitsexperten stehen daher vor der Aufgabe, in jedem Fall nach flexiblen und intelligenten Lösungen zu suchen, die dem Bedürfnis des Unternehmens nach beschleunigten und effizienten Prozessen genauso gerecht werden wie dem Bedürfnis nach Sicherheit. „Unternehmen erweitern laufend ihre IT-Infrastruktur“, sagt der Oracle-Security- Experte Christian Patrascu. Die Datenmengen wachsen. Das Tempo, in dem sie bearbeitet werden, steigt. Entscheidend dabei: Die IT-Sicherheit darf bei dieser rasanten Entwicklung nicht den Anschluss verlieren. „Security bedeutet heute nicht mehr nur, ein Unternehmen vor den ,bösen Jungs’ zu schützen“, sagt Patrascu. „Es geht vielmehr darum, dafür zu sorgen, dass die Sicherheitsinfrastruktur mitwächst.“
Die Bedeutung des Themas Sicherheit ist heute fast allen Unternehmen bewusst. Wächst eine Firma jedoch, hat es das vermeintliche „Bremserthema“ schwer. Es gehört zur Kernkompetenz eines Sicherheitsexperten, die Unternehmen davon zu überzeugen, dass Security-Themen gerade dann bedeutsam sind, wenn es schnell vorangeht. Dazu benötigen sie rhetorisches Geschick und kreative Ansätze. „Schließlich ist Sicherheit für viele noch immer eine nachgelagerte Eigenschaft, da man im besten Fall nichts von ihr merkt“, stellt Professor Jörn Müller-Quade fest. Für den Leiter des Instituts für Kryptografie und Sicherheit am Karlsruher Institute of Technology (KIT) ist ITSicherheit daher ein Wachstumsmarkt mit sehr guten Karrierechancen. „Man denke nur an die komplexe IT, die unsere zukünftigen Energienetze steuern soll.“ Hier werde Sicherheit eine immens große Rolle spielen: „Gesellschaft und Wirtschaft werden in hohem Maße von der Sicherheit und Verlässlichkeit dieser Systeme abhängen.“
Wer als Einsteiger vom Wachstumsmarkt profitieren möchte, muss nicht nur tiefgehendes IT-Know-how haben, sondern auch in der Lage sein, Sicherheit ganzheitlich zu denken. „Wir benötigen mehr Kommunikation sowie gemeinsame Schnittstellen zwischen den IT-Disziplinen, damit sich die unterschiedlichen Methoden ergänzen, statt nebeneinander zu stehen“, fordert Müller-Quade. Voraussetzung für die bessere Kommunikation ist allerdings, dass die unterschiedlichen Sicherheitsspezialisten an einer gemeinsamen Sprache arbeiten. „Zurzeit “, so Müller-Quade, „sind alleine die Definitionen von dem, was Sicherheit auszeichnet, in den jeweiligen Fachdisziplinen unterschiedlich.“
Worauf es ankommt, wenn man als externer IT-Dienstleister in ein Unternehmen kommt, weiß Wieland Alge, für das Europageschäft verantwortlicher General Manager beim Sicherheitsspezialisten Barracuda Networks. „Die Herausforderung besteht darin, dafür zu sorgen, dass die Arbeit in den einzelnen Abteilungen der Unternehmen nicht durch unflexible Security-Mechanismen behindert wird“, sagt Alge. Um das hinzubekommen, müsse ein externer Sicherheitsexperte neben fachlichem Know-how unbedingt ein Verständnis für die Arbeitsabläufe in einer Firma mitbringen.
Weißer Hut hilft
Ein echtes Vabanquespiel – zumal sich Security-Spezialisten nicht nur in den zu schützenden Kunden, sondern auch in den potenziellen Angreifer hineindenken müssen. „Man benötigt viel Kreativität, um mögliche Angriffsstrategien vorherzusehen und zu verhindern“, sagt Alge – und denkt dabei nicht nur an Industriespionage im großen Stil, sondern auch an kleinere Attacken, um an Daten über die wirtschaftliche Situation oder die Auftragslage eines Konkurrenten zu kommen. Im Vorteil ist, wer von Beginn an einen weißen Hut dabei hat: „White Hat“, so nennt man in der Szene Security-Experten, die in der Lage sind, wie Hacker zu denken – dieses Talent jedoch ausschließlich in den Dienst der guten Sache stellen. Es geht auch darum, gedankliche Abenteuer zu wagen. Nur so ist es möglich, durch Stresstests oder Warnsysteme Sicherheitslücken zu entdecken, bevor etwas passiert.
Dennoch: Auch die beste „White Hat“- Mentalität schützt nicht vor bösen Überraschungen. „Ist der Angriff erkannt, müssen Sicherheitsexperten schnell reagieren und in Zusammenarbeit mit einer weltweiten Community Gegenstrategien entwickeln“, sagt der Barracuda-Manager. Der Austausch mit Spezialisten in weltweiten Netzwerken ist für Sicherheitsexperten besonders wichtig – schließlich macht die Bedrohung nicht vor Landesgrenzen halt. Hier können Einsteiger punkten: Sie besitzen zwar noch nicht die Erfahrung von Senior-Experten, sind aber durch ihr Netzwerk-Knowhow in der Lage, besonders schnell neue Bedrohungen zu erkennen und gemeinsam mit anderen Strategien zu entwickeln.
IT-Sicherheit und -Recht
Sicherheitsspezialisten bekommen es bei ihrer Arbeit auch mit juristischen Aspekten zu tun. Oft treffen sie dabei gerade bei neuen Entwicklungen auf Rechtsunsicherheiten. Aber auch Fragen zur Dokumentationspflicht von digitalen Daten, das Bundesdatenschutzgesetz und die neue EU-Datenschutzverordnung sowie die Typen von Lizensierungsverträgen sind wichtige Themen, bei denen sich der IT-Sicherheitsexperte in juristisches Fahrwasser begibt. Seminare zum Thema IT-Sicherheitsrecht (speziell für Nicht-Juristen) bieten zum Beispiel das Spezialunternehmen für betrieblichen Datenschutz Filges in Meerbusch (www.filges.de) oder das Weiterbildungsinstitut Management Circle in Kooperation mit der Wirtschaftsrechtskanzlei Luther an (www.managementcircle.de).
IT-Security 2030
Was sind die Sicherheitsthemen der kommenden Jahre?
>> Managing Trust: Über den Erfolg eines Unternehmens in der digitalen Welt entscheidet mehr und mehr, ob die Kunden ihm vertrauen.
>> Vorgelagerte Authentifizierungen für interne Netzwerke über die sozialen Netzwerke wie Facebook oder Twitter – inklusive Entwicklung neuer Vertrauensmodelle.
>> Selbstlernende Algorithmen, die auffälliges Verhalten in sozialen Netzwerken und nach Riskscores bewerten und gegebenenfalls für interne Netzwerke sanktionieren.
>> Stark wachsende Verletzbarkeit von Versorgungsinfrastrukturen, von der Energieversorgung (inklusive Kernkraftwerken) über die Verkehrssteuerung bis hin zu Fabrikanlagen.
>> „Internet der Dinge“, also die Vernetzung von Objekten in einer dem Internet ähnlichen Struktur mit Hilfe integrierter Funkmodule.
>> „Augmented Reality“, also die computergestützte Erweiterung der Realitätswahrnehmung.