Während in den USA kürzlich eine neue nationale Cybersicherheitsstrategie vorgestellt wurde, wartet man in Deutschland noch auf das im Koalitionsvertrag versprochene Budget, das Projekte und Vorhaben zur schnelleren Digitalisierung ermöglichen soll. Die Hauptziele der US-Strategie sind, die Regulierung kritischer Infrastrukturen zu verstärken, die Marktkräfte gegen Bedrohungsakteure abzusichern, in Resilienz gegen Cyber-Bedrohungen zu investieren und die öffentlich-private Zusammenarbeit zu verbessern. Zudem werden die verbindlichen Mindestanforderungen an die Cybersicherheit für kritische Sektoren höher angesetzt.
Melissa Bischoping, Director Endpoint Security Research bei Tanium, einem Spezialisten für die Absicherung anspruchsvoller IT-Umgebungen und für Endpoint Management, kommentiert die Entwicklung im Hinblick auf Deutschland: „Jeden Tag wird unsere Technologie komplexer, vernetzter und wichtiger für den Geschäftsbetrieb. Während diese technologischen Fortschritte die Art und Weise beschleunigt haben, wie Geschäfte abgewickelt werden, stellen das Ausmaß und die Komplexität der Verwaltung dieser Technologien ein Risiko dar. Zum einen für Unternehmen, die nicht über das nötige Personal verfügen, um neue Technologien zu verwalten, zum anderen für komplexe Governance-Anforderungen und rechtliche Verpflichtungen in Bezug auf Sicherheit.“ Bischoping warnt, angesichts der Vielzahl unbesetzter Stellen in den Bereichen Technologie und Cyber-Sicherheit müssten sich Hersteller dringend auf die Entwicklung von benutzer- und verwaltungsfreundlichen Lösungen konzentrieren. Es müsse belastbare Software zur Verfügung gestellt werden, die das Risiko für Administratoren und Endbenutzer verringert, unbewusst Schwachstellen aufzureißen.
Allgemein wird eingeschätzt, dass die Umsetzung anspruchsvollerer Cyber-Sicherheitsstrategien zum einen Zeit, zum anderen Investitionen in Personal und Ausstattung erfordern wird – auf Seiten von Regierungsbehörden wie Unternehmen. „Da die IT-Umgebungen immer komplexer werden,“ mahnt Bischoping, „wird die Nachfrage nach hochqualifizierten Fachkräften für die Entwicklung, Bereitstellung und Wartung von Operationen weiter steigen. Es ist wichtig, jetzt in die Automatisierung zu investieren, um das Risiko für menschliche Fehler zu verringern und die Zeit für die Wiederherstellung, Aktualisierung oder Untersuchung von Problemen in den Unternehmen zu verkürzen. Dies beginnt mit der Schaffung von Pipelines für Schulungen in Bereichen wie Devsecops, sichere Softwareentwicklung und Test zur Netzwerk- und Anwendungssicherheit. Diese Fähigkeiten lassen sich nicht in kurzfristigen Bootcamps erwerben, sondern erfordern neue Wege der Ausbildung, praktische Schulungen, Praktika und Zertifizierungen.“ Wenn Deutschland und die deutsche Wirtschaft den guten Ruf in Sachen technischer Innovationskraft halten will, muss sichergestellt werden, dass auch die Arbeitskräfte ausgebildet werden, die in der Lage sind, den technischen Anforderungen gerecht zu werden. Unternehmen sollten sich bewusst sein, so Bischoping, dass aufgrund der hohen und spezifischen Anforderungen an das Fachpersonal Mitarbeiter mit den entsprechenden Qualifikationen schwer zu rekrutieren und zu halten seien. Aber auch der der öffentliche Sektor müsse sein Vergütungs- und Rekrutierungsmodell überarbeiten, um kompetente Bewerber ansprechen zu können.
Das US-amerikanische Beispiel macht vor, wie Anreize neu ausgerichtet werden können, um langfristige Investitionen zu begünstigen und eine Balance zwischen der akuten Abwehr von Bedrohungen und den Investitionen in eine resiliente, zukunftsfähige Struktur zu schaffen. Proaktives Patchen, um Schwachstellen schnellstmöglich zu schließen und Angreifern die Arbeit zu erschweren, sei eine „Quick-Win“-Strategie, die sich lohne, so Bischoping. Aber selbst wenn in dieser Form die
Angriffsfläche reduziert werden könne, sei es essenziell, dass Unternehmen über Administratoren für Cybersicherheit verfügen, die in der Lage sind, auf ungewöhnliche und verdächtige Aktivitäten zu reagieren.
