Am 5. Februar 2019 ist Safer Internet Day, dessen Zielsetzung die eine langfristige Sensibilisierung und Medienkompetenz für die Gefahren im Internet für Lehrer, Eltern und Kinder zu schaffen.
Anzeige
Der Aktionstag Safer Internet Day (deutsch Tag für mehr Internetsicherheit) geht auf das 1999 gestartete Safer Internet Programm zurück. Der Safer Internet Day fällt auf ein bewegliches Datum und findet seit 2008 jährlich am zweiten Tag der zweiten Woche des zweiten Monats statt.
In Deutschland wird der Aktionstag vom Bundesministerium der Justiz und für Verbraucherschutz und dem Bundesverband Informationswirtschaft, Telekommunikation und neue Mediengetragen und mit einer gemeinsam veranstalteten Konferenz ein aktuelles Thema beleuchtet. heise.de informiert beispielsweise gegen Hate-Speech im Netz und thematisiert Aktionen gegen Hassrede (siehe hier).
Heute morgen habe ich im Radio eine Moderation über Sicherheit auf dem Smartphone (es ging um Entsperren mit Fingerabdruck, Gesichtserkennung, PIN oder Muster). Von Malwarebytes liegt mir ein Text über Talentmangel im Bereich Cybersecurity vor.
Talentmangel im Bereich Cybersecurity
Hacker haben schon in den 1990er Jahren realisiert, dass es zwar grundsätzlich Spaß machen kann, Codes von Videospielen zu knacken und Daten von unbedarften Nutzern zu stehlen, aber leider gab es darüber hinaus tatsächlich echtes Geld zu verdienen. Hacker suchten daraufhin nach neuen, komplexeren Angriffen.
Anzeige
Mittlerweile haben sich Cyberkriminelle einen deutlichen Vorteil verschafft und Wege gefunden, um aus Sicherheitslücken enormes Kapital zu schlagen. Unternehmen auf der ganzen Welt werden von immer destruktiveren Cyberangriffen wie NotPetya und WannaCry hart getroffen. NotPetya etwa lähmte vor nicht allzu langer Zeit große Unternehmen wie FedEx und Merck und verursachte damit insgesamt mehr als zehn Milliarden US-Dollar Schaden.
In allen Branchen sind Experten deshalb fieberhaft auf der Suche nach den richtigen IT-Sicherheitstalente – diejenigen, die ausgebildet, zertifiziert und in der Lage sind, den heutigen IT-Bedrohungen einen Schritt voraus zu sein. Dieser Talentmangel bietet Cyberkriminellen eine unglaubliche Chance, Netzwerksicherheitsteams mit einer Vielzahl von Bedrohungsmeldungen und Fehlalarmen zu überwältigen und Unternehmen damit in ernsthafte Bedrohungslagen zu versetzen. Ob Banken, Einzelhandel, Produktion oder Bildung – keine Branche ist immun gegen Cyber-Bedrohungen und jede muss ihre Sicherheitsstrategien weiterentwickeln, um mit der heutigen Bedrohungslandschaft Schritt zu halten.
Die Zunahme von Sicherheitsereignissen veranlasst Unternehmen dazu, kurzfristig Sicherheitsbudgets zu erhöhen. Die Malwarebytes-Studie „The True Costs of Fighting Cybercrime" fand heraus, dass die durchschnittlichen globalen Kosten für die Behebung nur eines einzigen großen Sicherheitsereignisses ca. 290.000 US-Dollar für ein 2.500 Mitarbeiter umfassendes Unternehmen betragen – das entsprach in etwa 25 Prozent des gesamten Budgets im Bereich Cyber-Sicherheit, das solchen Firmen zur Verfügung steht. In den USA steigen die durchschnittlichen Kosten auf über 429.000 US-Dollar.
Auf der anderen Seite fühlen sich allerdings 30 Prozent der US-Sicherheitsexperten für ihre Arbeit ungerecht entlohnt. Eine echte Diskrepanz, in deren Folge sich sogenannte „ethische Hacker" der deutlich lukrativeren Black Hat-Community anschließen.
Und der US-Shutdown Ende 2018/2019 hat nicht nur dazu geführt, dass viele Behörden und deren Cybersecurity-Teams in der IT nicht mehr arbeitsfähig waren. Langfristig gehen Insider auch davon aus, dass IT-Spezialisten und Kontraktoren nach diesen Erfahrungen sich neue Jobs in der Wirtschaft suchen werden. Der Personal- und Talentmangel wird sich daher im Bereich staatlicher Institutionen verstärken.
Mit dem Potenzial für einen Black Hat (Hacker mit krimineller Intention), mehr als 100.000 Dollar im Monat zu verdienen, ist es keine Überraschung, dass ein IT-Sicherheitsexperte mit einem Anfangsgehalt von 65.000 Dollar pro Jahr versucht sein könnte, sich den Gray Hats (Hacker, die sich mit Sicherheitssystemen und deren Schwachstellen mit einem höheren Ziel auseinandersetzen) anzuschließen, um sein Einkommen zu erhöhen. Die White Hats (Hacker, die ihr Wissen innerhalb der Gesetze bspw. für Penetrationstests einsetzen) sind sich dieser Unterschiede schmerzhaft bewusst. Tatsächlich glauben fast 60 Prozent der legitimen Sicherheitsexperten, dass Black Hats mehr Geld verdienen als sie. Das wirft natürlich die Frage auf: Ist es das Risiko wert, die Seite zu wechseln? Fast jeder zehnte Sicherheitsprofi in den USA denkt das tatsächlich und hat sich mit der Black-Hat-Thematik beschäftigt.
Wie können die Guten gewinnen?
Wie können sich Unternehmen also schützen und Cyberkriminalität besiegen, wenn die Aussichten für Cyberkriminelle so gut stehen?
- Unternehmen sollten in ihre Mitarbeiter investieren, ihnen eine kontinuierliche Weiterbildung ermöglichen. Cyberkriminelle entwickeln ihre Techniken jeden Tag weiter.
- Man muss kontinuierliche Aus- und Weiterbildung und ein Netzwerk von gleichgesinnten Fachleuten anbieten, um das Wachstum der Mitarbeiter weiter zu fördern.
- Auch im Bereich der durchschnittlichen Amtszeit eines CSO oder CISO von etwa 18 Monaten muss bessere Arbeit geleistet werden, um professionelle Mitarbeiter zu halten und zu belohnen.
Um dies zu erreichen, müssen Unternehmen die Notwendigkeit einer angemessenen Sicherheitsfinanzierung auf die Ebene der Geschäftsleitung und des Vorstands hochstufen. Dazu gehört auch die Aktualisierung von Endgerätesicherheitslösungen sowie die Einstellung und Belohnung der besten und leistungsfähigsten Sicherheitsexperten, die Endgeräteschutz-, Erkennungs- und Abhilfelösungen verwalten. Wir brauchen eine Neugestaltung unseres Bildungssystems, so Marcin Kleczynsk, Gründer und CEO von Malwarebytes. Seine Forderungen:
- Wir müssen junge Menschen – Jungen wie Mädchen – für sogenannte MINT-Fächer begeistern sowie über die Gefahren des Internets aufklären, wie sie sicher sein können und auf der Guten Seite bleiben können.
- Eine frühzeitige Einführung in MINT-Fächer vor dem Gymnasium, mit Einführungskursen zur IT-Sicherheit sollte junge Leute darin ermutigen, Sicherheit als eine Karrieremöglichkeit zu betrachten.
- Der sich ausweitende Fachkräftemangel ist hauptsächlich auf ein Defizit an Bildung und Bewusstsein während der Schulzeit zurückzuführen. Wir brauchen einen radikalen Wandel, um Jugendliche mit technischen Fähigkeiten davon zu überzeugen, verantwortungsvolle Wege einzuschlagen und nicht als Black Hat ihr Geld zu verdienen.
Schulen müssen sich, laut Kleczynsk, Außenseitern annehmen und ihnen helfen, ihre Fähigkeiten positiv einzusetzen, damit sie nicht versucht sind, sich der dunklen Seite anzuschließen. Als Beispiel aus den USA: anstatt alle Cyberkriminelle strafrechtlich zu verfolgen, hat das FBI Initiativen angestoßen, Straftäter im Cybersecurity-Bereich rekrutieren und sie damit für sich zu gewinnen.
Anzeige