Security im internationalen Vergleich

Wo steht Deutschland beim Thema Sicherheit?

Informationssicherheit ist ein rasant wachsender Bereich. In immer kürzeren Abständen begegnen uns neue Bedrohungen, Risiken, Technologien und Lösungen. Wissen ist der Schlüssel zur Bewältigung dieser Herausforderungen. Doch wie ist es um unser Land bestellt? Jüngste Studien geben Einsicht und zeigen das aktuelle Lagebild auf.

Wer in der Informationssicherheit arbeitet, dem ist bewusst: Stete Weiterbildung ist das Fundament jeder Verteidigung. Blogs lesen, Angriffstechniken verstehen, Auswirkungen erkennen, Risiken einschätzen, Produkte evaluieren, Prozesse überwachen, Server härten, Kolleg(inn)en sensibilisieren. Wer den Anschluss verpasst, setzt sich und sein Unternehmen unweigerlich großen Gefahren aus.

„Knowledge is the key to success“ ist keine neue Erkenntnis. Dennoch investieren viele Unternehmen zu wenig in die Aus- und Weiterbildung ihrer Mitarbeiter(innen) und kaufen lieber Lösungen bei den Herstellern ein. Oft fehlt das Wissen über sichere kryptographische Algorithmen, angemessene Schlüssellängen, Angriffsvektoren und Schwachstellen, sodass Systeme über Jahre hinweg in teils unveränderter Konfiguration betrieben werden. Was heute sicher ist, kann aber morgen bereits im Fokus der Angreifer sein.

Oft muss erst reeller Schaden entstehen, bevor die Security-Budgets so aufgestockt werden, dass zumindest die notwendigsten Maßnahmen zum Schutz des Unternehmens überhaupt aufgeplant werden.

Aber sind damit auch die Voraussetzungen für eine erfolgreiche Umsetzung erfüllt?

Security-Experten sind rar, und wer ein Projekt besetzen möchte, zahlt hohe Tagessätze oder muss feststellen, dass Experten überhaupt gar nicht verfügbar sind. Wie groß der Notstand ist, zeigen die nachfolgenden Studien.

Qualifizierung in der Informationssicherheit

Die (ISC), das sogenannte „International Information System Security Certification Consortium“, ist die größte IT-Security-Organisation weltweit. Als Non-Profit-Organisation mit Sitz in den USA entwickelt die (ISC)² seit 1989 Trainings und Zertifizierungen in der Informationssicherheit. Das bekannteste Zertifikat, der sogenannte „Certified Information Systems Security Professional“ (CISSP), wird als „Gold Standard Credential“ in der Security-Branche gehandelt. Sprich: Wer als Cybersecurity-Experte etwas auf sich hält, lässt sich als CISSP zertifizieren. Mittlerweile machen viele DAX-Unternehmen das CISSP-Training zur Voraussetzung für eine Einstellung oder für ein Engagement als Berater.

Weltweit gibt es aktuell 131.180 CISSPs (Stand: 31.12.2018).

Was ausreichend wirkt, entpuppt sich bei näherem Hinsehen als Fiasko. Die nächste Tabelle zeigt die Anzahl der Cybersecurity-Experten (CISSPS) in den einzelnen Ländern:

Land CISSPs
United States 84557
United Kingdom 6885
Canada 5443
Korea, Republic of    2699
Netherlands 2489
Australia 2426
India 2251
China 2227
Japan 2197
Germnay 2147
Singapore 1965
Hong Kong 1697
France 1018
Switzerland 928

Quelle: https://www.isc2.org/About/Member-Counts

Deutschland steht im internationalen Vergleich abgeschlagen auf Platz 10 und muss sich mit Zwergstaaten wie Singapur und Hong Kong vergleichen. Selbst kleinere Länder wie Holland und Korea sind besser aufgestellt und verfügen über mehr Cybersecurity-Experten als wir!

Studie „Wirtschaftsschutz in der digitalen Welt“

Der Digitalverband Bitkom hat im September 2017 insgesamt 1.069 Betriebe mit 10 oder mehr Mitarbeitern befragt und die Ergebnisse in der Studie „Wirtschaftsschutz in der digitalen Welt“ veröffentlicht.

Die erschreckende Bilanz:

  • Nicht einmal die Hälfte der (befragten) Unternehmen in Deutschland ist ausreichend auf einen Cyberangriff vorbereitet
  • Nur vier von zehn Firmen haben ein Notfallmanagement (43%)
  • Nur die Hälfte der Betreiber von kritischen Infrastrukturen haben einen Notfallplan (53%)

Gothaer KMU Studie

Die Gothaer-Versicherung hat in Ihrer KMU-Studie 2017 weitere 1.006 kleine und mittelständische Unternehmen (KMUs) mit bis zu 500 Mitarbeitern aus 21 Branchen befragt.

Deren Einschätzung lautet:

  • 75% geben Digitalisierung als sehr wichtigen Aspekt im Unternehmen an
  • 32% sehen Cyberrisiken als eine der größten Gefahren
  • 35% halten es für wahrscheinlich, von einem Cyberrisiko betroffen zu sein
  • Für 34% sind Systeme und Daten am wertvollsten, für 23% Gebäude

Jeder im Internet erreichbare Server wird minütlich gescannt, auf Schwachstellen untersucht, und wenn möglich, auch kompromittiert. Es ist bekannt, dass Konkurrenzunternehmen, Organisationen und staatliche Institutionen stetig versuchen, interne Informationen abzugreifen und zu verwerten. Insofern ist es höchst bedenklich, dass nur 35% der Befragten es für wahrscheinlich halten, von einem Cyberrisiko betroffen zu sein! Die restlichen 65% der Befragten sind offensichtlich arglos und überwachen ihre Systeme nicht, sind also nicht einmal darüber informiert, dass sie angegriffen werden!

So sieht dann auch die Realität aus, die die Studie mit ihren Umfrageergebnissen vermittelt:

  • 20% der KMUs setzen kein Antivirusprogramm ein
  • 25% der KMUs arbeiten ohne Firewalls
  • 33% der KMUs arbeiten ohne (regelmäßige) Backups
  • 51% der KMUs haben keinen Notfallplan

Fehlende Cybersecurity-Experten:
EMEA: 142.000
Global: 2,93 Mio

Cybersecurity Workforce Study

Die (ISC)² hat 2018 weltweit über 1.500 Unternehmen und Berater aus der Information Security Community befragt und die Ergebnisse in einer Studie zusammengefasst. Die sogenannte „Cybersecurity Workforce Study“ zeigt allein für Europa (genauer: EMEA) eine Deckungslücke von 142.000 fehlenden Cybersecurity-Experten auf. Global besteht sogar eine Unterdeckung von 2,93 Mio. Experten.

Jetzt ist sicherlich Vorsicht geboten, wenn eine Organisation wie die (ISC)², die Trainings lizensiert, den Ausbildungsbedarf in einer Studie aufzeigt. Aber – wenn auch nur die Hälfte der Aussagen zutrifft, ergibt sich ein düsteres Bild, das zugegebenermaßen auch der gefühlten Realität entspricht!

Die Studie geht des weiteren darauf ein, welche Herausforderungen die Unternehmen in der Zukunft zu erwarten haben und wie sie sich darauf einstellen.

Lagebild

Weltweit steigt die Sensibilisierung für Cybersecurity. Gleichzeitig wird aber die Lücke zwischen Bedrohungen, Risiken und Angriffen einerseits, und verfügbarem qualifizierten Personal und der Umsetzung von Abwehrmaßnahmen andererseits, immer größer.

Viele Unternehmen investieren in Technologien, um sich vor Gefahren zu schützen, vernachlässigen dabei aber den Invest in Cybersecurity-Know-how und in die Aus- und Weiterbildung des eigenen Personals. Dies macht die Unternehmen zunehmend verwundbar …

Es überrascht daher nicht, dass jüngste Umfragen den Fachkräftemangel als größte, ernst zu nehmende Sorge weltweit sehen:

  • 63% der Befragten berichten, dass ihre Organisation einen eklatanten Fachkräftemangel im Bereich der Informationssicherheit hat
  • 59% der Befragten sagen, dass ihre Organisation aufgrund dieses Fachkräftemangels teilweise extremen Risiken ausgesetzt ist
  • 48% der Unternehmen planen, in den nächsten 12 Monaten Cybersecurity-Experten anzuheuern oder auszubilden

Cybersecurity betrifft jeden Einzelnen im Unternehmen: Sachbearbeiter, Entwickler, Betreiber, Juristen, Marketing-Fachleute, Finanzexperten und viele mehr. Jeder arbeitet mit Daten und digitalen Prozessen. Daher ist es wichtig zu überblicken, wie die zu schützenden Daten durch das Unternehmen fließen und welche Maßnahmen zum Schutz dieser Daten greifen.

Als größte Probleme werden gegenwärtig bezeichnet:

  1. Mangel an qualifiziertem, erfahrenen Cybersecurity-Personal
  2. mangelnde Ressourcen, um die Aufgaben effektiv bewältigen zu können
  3. unzureichendes Budget für Sicherheitsinitiativen
  4. mangelnde Zeit

Die aktuellen Herausforderungen sind laut Umfrage:

  • mangelhafte Sensibilisierung und schlecht ausgeprägtes Bewusstsein für Risiken und Gefahren seitens der Endanwender (25%)
  • unterbesetztes Cybersecurity-Personal (24%)
  • mangelhafte Ressourcenausstattung für die Informationssicherheit (Zeit, Geld, Personal) (23%)
  • Masse der zu überblickenden und auszuwertenden Daten (23%)
  • mangelhafte Unterstützung des Managements bzgl. der Dringlichkeit von Cybersecurity-Initiativen (21%)

Der Mangel an qualifizierten Security-Experten stellt nicht nur die Unternehmen vor Risiken, sondern betrifft auch direkt die (Un-)Zufriedenheit der Angestellten. Wer in der IT auch „nebenbei“ Security machen soll, wird seine Vorstellungen von einer gesunden Work-Life-Balance kaum umsetzen können. Gleiches gilt für unterbesetzte Security-Teams.

Die grundlegendste Voraussetzung für die Stärkung und Härtung der Betriebsabläufe in den Unternehmen ist laut Studie ein angemessenes Security-Budget und die Ausstattung, Weiterbildung und Unterstützung der für Security zuständigen Mitarbeiter.

Externes Know-how ist kaum verfügbar und teuer, daher müssen Unternehmen in die Aus- und Weiterbildung ihrer eigenen Mitarbeiter investieren. Als Best Practice empfiehlt es sich hier, erfahrene IT-Mitarbeiter in der Information Security auszubilden, um dann schrittweise Erfahrungen im täglichen „Doing“ zu sammeln und fortlaufend an jobbezogenen Trainings teilzunehmen.

Leider scheitert die Weiterbildung vieler Mitarbeiter, die grundsätzlich durchaus gewollt sind, den Aufwand für ihre Ausbildung in Kauf zu nehmen, an mangelndem Budget für Trainings und Zertifizierungen. Die meisten Mitarbeiter wissen sehr genau, welches Zertifikat sie für ihre berufliche Weiterbildung benötigen, daher streben 54% der Befragten eine Zertifizierung innerhalb des laufenden Jahres an. Allerdings hängt die Umsetzung von der Unterstützung und von der Mittelbereitstellung des Managements ab.

Laut Umfrage werden sogenannte Face-to-Face Trainings, die von einem offiziellen und lizensierten Instructor in einem Klassenraum durchgeführt werden, als wertvollste und nachhaltigste Form der Wissensvermittlung eingeschätzt. Virtuelle Klassenräume werden dagegen als nicht besonders werthaltig gesehen.

Von den Befragten werden die folgenden Wissensgebiete am kritischsten für ihr Arbeitsumfeld eingeschätzt:

  • Security Awareness (58%)
  • Risk Assessment, Analysis & Management (58%)
  • Security Administration (53%)
  • Network Monitoring (52%)
  • Incident Investigation and Response (52%)
  • Intrusion Detection (51%)
  • Cloud Computing Security (51%)
  • Security Engineering (51%)

Human Resourcing

Die Investition in das eigene Personal ist der kosteneffektivste Weg, um Cybersecurity-Skills in der Organisation aufzubauen und den Anforderungen der Kunden, Märkte und Gesetzgeber gerecht zu werden.

Manu Carus (CISSP, CCSP, CISM, CISA, CEH, ECSA, CHFI, Windows Exploit Developer) ist externer Autor und leitender Information Security Manager der ManufakturIT GmbH. Als Official (ISC)² Training Instructor bildet Manu Carus Sicherheitsspezialisten zu Security Professionals (CISSP), Cloud Professionals (CCSP), Auditoren (CISA) und Managern (CISM) aus. Manu Carus veröffentlicht in regelmäßigen Abständen Fachartikel in seinem Blog sowie in gängigen Fachmagazinen und ist zudem Speaker auf verschiedenen Entwickler- und Security-Konferenzen.
Die ManufakturIT ist Partner der its-people GmbH.
 

Kontakt:
manu.carus@manufaktur-it-training.de

 

Das könnte Sie auch interessieren

Bleiben Sie informiert:

its-people hilft Ihnen...

Weitere Blogthemen: