„Sicherheitsmaßnahme Awareness“

Bis 2020 könnten weltweit rund 1,5 Millionen IT-Security-Fachkräfte fehlen. Die Aufmerksamkeit bei diesem Thema steigt laut dem Experten Andreas Tomek zwar, aber es gebe noch Luft nach oben. Vor allem im KMU-Bereich. [...]

Die siebte Global Information Security Workforce Study (GISWS) des (ISC) Chapter Österreich kommt zu dem Schluss, dass international bis 2020 1,5 Millionen IT-Security-Fachkräfte fehlen werden. Aber wie sieht die Lage eigentlich in Österreich aus? Das Ziel des (ISC) Chapter Austria ist es, das Verständnis und die Bedeutung der Informationssicherheit mittels Diskussionen und Erfahrungsaustausch zu fördern. Andreas Tomek ist Head of Professional Services bei SBA Research und Vorstandsmitglied beim (ISC) Chapter Österreich. Die COMPUTERWELT hat Tomek zu den Ergebnissen der aktuellen Global Information Security Workforce Study – und in diesem Zusammenhang zu den Zuständen in Österreich – befragt.

Zwischen dem Bedarf an Fachkräften und dem Beenden einer Ausbildung geht oft eine Schere auf: Wenn akuter Bedarf an Experten besteht und genug Personen zu diesem Zeitpunkt bereit sind sich ausbilden zu lassen, dauert es dennoch einige Zeit, bis sie ihre Ausbildung auch abgeschlossen haben und zur Verfügung stehen. Bis dahin haben sich die Anforderungen aber vielleicht bereits wieder geändert. Sehen Sie das auch so? Und wenn ja: Was könnte dagegen unternommen werden?
Andreas Tomek:
Wissen über Security kann in zwei Teile geteilt werden: Grundlagenwissen und Produktwissen. Erstes ändert sich nur langsam und ist aufbauend, Letzteres veraltet hingegen schneller. Um Grundlagenwissen zu erwerben, sind Security-Studiengänge und allgemeine Zertifizierungen wie der CISSP (Certified Information Systems Security Professional) optimal, Produktwissen kann dann darauf aufbauend relativ rasch in kurzen Trainings und Selbststudium beziehungsweise bei Training on the Job erworben werden. Die Anforderungen ändern sich nicht so rasch, da mindestens 50 Prozent der Security-Maßnahmen in Unternehmen organisatorischer Natur sind und diese durch Grundlagenwissen und ein funktionierendes Sicherheitsmanagement abgedeckt werden. Man sollte demnach in eine gute Grundausbildung investieren und hier setzt (ISC)² mit dem CISSP sicher einen guten und umfassenden Standard.

Kann der aktuelle und künftige Bedarf an IT-Security-Fachkräften überhaupt gestillt werden? Selbst wenn man den Bestfall annimmt und morgen würden 1,5 Millionen Menschen eine Ausbildung als Security-Fachkraft beginnen, wären die dann bis 2020 auf einem Level, um dann den Anforderungen genügen zu können? Wäre dann der Fachkräftemangel abgewendet?
Fünf Jahre reichen ohne Probleme, um einen Großteil der benötigten Fachkräfte auszubilden und mit entsprechender Erfahrung zu versehen. Nichts desto trotz braucht es interessierte Personen und davon hat die gesamte IT-Branche immer noch zu wenige. Informationssicherheit bleibt dabei eines der zukunftsträchtigsten, abwechslungsreichsten und spannendsten Themengebiete für Menschen die sich für eine IT-Karriere interessieren.

Was können Unternehmen tun, um einerseits einen bereits bestehenden, akuten Bedarf an Fachkräften, und andererseits ihren künftigen Bedarf, abzudecken?
Wieder gibt es zwei Gebiete: Einerseits müssen alle Mitarbeiter in Security-Grundlagen geschult werden, Awareness ist eine der wichtigsten Sicherheitsmaßnahmen. Fachkräfte sind sowohl am Markt als auch bei Beratern als Zukaufoption vorhanden, entsprechend zu anderen Spezialbereichen wie SAP, kosten diese aber mehr als der durchschnittliche IT-Mitarbeiter. Dies ist auch deshalb so, weil Security-Spezialisten analog zu beispielsweise SAP-Beratern organisatorisches und technisches Wissen vereinen müssen.

Wie schätzen Sie die Lage in Österreich ein? Ist die Awareness für Security-Themen bei den heimischen Unternehmen hoch genug? Oder besteht noch Aufklärungsbedarf?
Die Awareness ist in den letzten Jahren gestiegen und geht schön langsam auch Richtung den obersten Management-Ebenen, natürlich auch durch bekannt gewordene Vorfälle und Compliance-Richtlinien. Trotzdem ist hier noch Luft nach oben, vor allem im KMU-Bereich.

Wie schätzen Sie den Mangel an IT-Security-Experten in Österreich ein? Ist er ähnlich dramatisch, wie in der aktuellen Studie dargestellt?
Gerade in Österreich wurde in den letzten Jahren einiges im universitären und außer-universitären Security-Umfeld investiert. Es gibt demnach schon gute Möglichkeiten für eine qualitativ hochwertige Ausbildung an Fachhochschulen und Universitäten. Spezialwissen muss jedoch gleichfalls im Ausland und online erworben werden, da internationale Konferenzen und der Wissensaustausch im Security-Bereich besonders wichtig sind. Aktuell fehlen sicher hierzulande Experten in allen möglichen Bereichen, das betrifft sowohl die IT allgemein als auch die Security im Speziellen.

Ist das Angebot an Ausbildungsmöglichkeiten und -Plätzen für IT-Security in Österreich hoch genug? Wie ist das Niveau der angebotenen Ausbildung Ihrer Meinung nach?
Diese Frage wurde weitgehend schon in der vorigen Frage beantwortet. Security-Ausbildung ist einfach sehr vielschichtig und muss auch mit Eigenmotivation selbst vorangetrieben werden. Dabei ist nach Abschluss einer Ausbildung und etwaigen Zertifizierung vor allem die Fortbildung wichtig, welche zum Beispiel auch eine formale Anforderung zum Behalten der Zertifizierung für alle CISSPs ist. Auch wird dies durch Maßnahmen wie das (ISC)² Chapter Österreich mit regelmäßigen Treffen und Vorträgen unterstützt.

Das Gespräch führte Rudolf N. Felser.

Andreas Tomek:
Tomek ist Geschäftsführer bei SBA Research und Vorstandsmitglied beim (ISC) Chapter Österreich. Weiters ist Tomek Vortragender an diversen Universitäten und Fachhochschulen für die Bereiche IT-Audit, Penetration Testing und Informationssicherheit. Zuvor arbeitete er als Administrator, Trainer und als IT-Prüfer für eine Wirtschaftsprüfungsgesellschaft und für das WIFI Wien.


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*