Cybersicherheit Neu entstehende Technologien und die Zukunft Berufe rund um Cybersicherheit

II.

Berufe rund um Cybersicherheit

Cybersicherheit gehört seit einiger Zeit zu den Aufgaben in vielen Berufen und stellt heute einen eigenen Berufsstand dar. Sehen wir uns an, welche Karriereoptionen diese Branche bietet.

Berufe rund um Cybersicherheit gibt es heute in vielen Ausgestaltungen, sie umfassen Themen wie Datenschutz, Entwicklung, physische Sicherheit und Sicherheitsprüfung.

Berufe in Unternehmen

Früher ging es Organisationen mit hohen Sicherheitsanforderungen (z. B. Verteidigungswesen und Geheimdienste) und Abwicklern für Großzahlungen (Finanzsektor, Aktienmarkt und Kartenabwickler) vorrangig darum, ihre Systeme zu schützen. Der Schwerpunkt lag in diesen Sektoren folglich auf internen Kontrollen zum Schutz der Informationen.

In den 1960 entstand durch die zunehmende kommerzielle Nutzung von Computern (wie den Großrechnern von IBM) der Bedarf an Kontrolle und Prüfung der Informationstechnologie. Dadurch konzentrierte sich der Beruf auf Kontrolle und Prüfung, was in modernen Unternehmen noch immer zu den täglichen Aufgaben vieler Berufsprofile gehört.

Note

Im Jahr 1969 wurde in Kalifornien die Electronic Data Processing Auditors Association (EDPAA) gegründet. Dieser Verband von EDV-Prüfern ist heute als ISACA bekannt und bietet Schulungen in Cybersicherheit sowie Zertifikate (wie CISA, CISM und CSX-P) für Fachkräfte an.

Aus Sicht der Unternehmenssicherheit (z. B. Wachleute, Brandschutzübungen und Schlösser) galt Cybersicherheit traditionell nur als kleiner Unterbereich der Tätigkeit, wenn überhaupt. IT-Sicherheit wurde damals nur mit internen IT-Systemen in Verbindung gebracht, d. h. mit den Arbeitsstationen, Großrechnern und Netzwerken.

Nach und nach wurden physische Sicherheitssysteme mit dem Netzwerk verbunden, sodass physische Sicherheitskontrollen wie Türen und Schlösser die Information nicht mehr vor externem Zugriff über das Internet schützen konnten.

Heute ist Informationssicherheit ein wichtiges Thema in Unternehmen, da digitale Prozesse einen deutlich größeren Anteil am Geschäftsbetrieb haben. Zudem wurde der Bereich IT zu Informationssicherheit. Das heißt, alle Informationen, ob auf Papier oder digital gespeichert, werden geschützt.

IT-Sicherheit und Informationssicherheit (später in Cybersicherheit umbenannt) galten zuerst als getrennte Berufszweige. Doch im Zuge der digitalen Konvergenz begannen sie, sich zu verändern und zu verschmelzen. Dennoch bestehen weiterhin diese beiden klassischen Berufe (Sicherheitsbeauftragter und IT-Sicherheitsmanager).

Note

Mit Inkrafttreten der DSGVO im Jahr 2018 wurden Unternehmen dazu verpflichtet, Datenschutzbeauftragte (DSB) zu ernennen, die den Datenschutz für Angestellte und Kunden sicherstellen. Dies erfordert Sicherheitskontrollen, weshalb Sicherheitsbeauftragte und Datenschutzbeauftragte mit einer gemeinsamen Zielsetzung eng zusammenarbeiten.

Auch wenn manche Berufsbezeichnungen (wie DSB) weit verbreitet sind, variiert das Aufgabenfeld je nach Unternehmen und Sektor. Zudem können die Aufgaben teilweise oder vollständig an externe Berater ausgelagert werden, wodurch die große Branche der Cybersicherheitsberatung entstand.

Menschen mit verschiedenen Berufsprofilen im Bereich Cybersicherheit
Menschen mit verschiedenen Berufsprofilen im Bereich Cybersicherheit

Typische Cybersicherheitsberufe in Unternehmen

Chief Information Security Officer (CISO)

Leiter für Informationssicherheit sind für die Entwicklung einer Sicherheitskultur und von Prozessen sowie die Durchführung von Sicherheitstätigkeiten zuständig. Sie arbeiten als Mittler zwischen Unternehmen, Leitung, Anbietern, Behörden und IT-Experten.

Cyber-/IT-Sicherheits-Manager oder -Fachkraft

Diese Fachleute kümmern sich um tägliche Sicherheitsprozesse, sicherheitsrelevante Projekte und Sicherheitsvorfälle. Zudem erarbeiten sie Schulungen und Leitlinien für die Angestellten. Sie wandeln Vorgaben und Prinzipien in umsetzbare Aufgaben für das Unternehmen um.

Sicherheitsbeauftragter oder -fachkraft

Sicherheitsbeauftragte befassen sich mit Sicherheit im traditionellen Sinne, z. B. physischen Zugangskontrollen, die jedoch zunehmend digitale Komponenten enthalten. Sie sorgen für den Schutz des Personals sowie die Cybersicherheit des Geschäftsbetriebs.

IT-Prüfer

IT-Prüfer testen Sicherheitskontrollen (physische wie digitale) und geben Empfehlungen zu deren Verbesserung. Teils verwenden sie Spezialwerkzeuge wie Scanner, um die aktuelle Konfiguration zu testen. IT-Prüfer bringen eine unabhängige, objektive Perspektive, mit der sie anderen helfen, bewährte Praktiken umzusetzen.

Berater

Berater sind an Einstellung, Schulung und Begleitung beteiligt oder unterstützen diese Bereiche anderweitig. Oft haben sie einen Hintergrund in einem der oben genannten Berufe.

Vom Hobby zur Karriere als ethischer Hacker

Wie in Kapitel 1 erläutert haben Hacker verschiedenfarbige Hüte bzw. Gesinnungen. Anders als in den Anfängen des Hackens können White-Hat-Hacker und andere ethische Hobby-Hacker heute ihre Leidenschaft zum Beruf machen.

Bei der Arbeit in einem Unternehmen ist viel zu tun und der Kalender meist voller Meetings mit Kollegen und internen wie externen Kunden. Dadurch bleibt wenig Raum, um kreative Ideen (Hacks) zu ersinnen und auszuprobieren, außer diese haben einen unmittelbaren Wert. Abgesehen von staatlich geförderten Forschungseinrichtungen können sich sehr wenige Unternehmen Vollzeit-Forschungsstellen leisten.

Da der Markt für Cybersicherheit jedoch gewachsen ist und Jobs global ausgeschrieben werden, entstand die Nische der vollkommen ortsunabhängigen Arbeit und Forschung, in der sich hochspezialisierte Hobbyhacker – sogenannte ethische Hacker – ihren Lebensunterhalt verdienen können.

Bug-Jagden

Über Crowdsourcing-Plattformen wie HackerOne, YesWeHack und Intigriti können Hacker mit ihren Hacks Geld verdienen, indem sie z. B. an sogenannten Bug-Jagden (Bug Bounties) teilnehmen. Jeder kann sich mehr oder weniger anonym auf diesen Plattformen anmelden und nach Unternehmen suchen, die Bug-Jagden veranstalten. Dabei stellt das Unternehmen ein Produkt, einen Dienst, eine App oder ein Stück Code zum Testen zur Verfügung. Sollte ein Hacker auf der Plattform eine Sicherheitslücke in der Software finden, erhält er ein Preisgeld, das von der Qualität und Schwere der gefundenen Lücke abhängt.

Diesen Karrierepfad kann man als ideal für die Arbeit der Zukunft sehen: Man kann von überall arbeiten, wann immer man will, und verdient dabei gutes Geld. Es wurde jedoch auch Kritik laut. Erstens verdienen nur sehr wenige ethische Hacker langfristig gut daran. Zweitens könnten Unternehmen zu Unrecht schlussfolgern, dass sie systematische Tests durch sporadische Bug-Jagden mit oft zufälligen Ergebnissen ersetzen könnten.

Note

Jedes Unternehmen sollte ein eigenes Programm zur Aufdeckung von Schwachstellen haben. Eine Bug-Jagd ist üblicherweise nicht nötig. Ein solches Programm legt fest, wie die IT-Experten Informationen zu Sicherheitslücken sicher kommunizieren und wie diese intern behoben werden können. Eine Bug-Jagd ist dann eine Option, wenn der mögliche Nutzen gegenüber dem Zeit- und Kostenaufwand überwiegt.

Einigen Umfrage zufolge verwenden Bug-Bounty-Plattformen Vertraulichkeitserklärungen, damit die Bug-Hunter gegen Zahlung Schweigen über ihre Funde bewahren. So können einige Unternehmen die gravierendsten Sicherheitslücken geheim halten, ohne dass sie sie beheben. Dadurch besteht für die Nutzer der Software die Gefahr, gehackt zu werden.

Wie bei vielen anderen Plattformen gibt es Kritik bezüglich möglicher Verstöße gegen das Arbeitsrecht, welches in vielen Ländern den Arbeitgebern gewisse Pflichten gegenüber den Arbeitnehmer auferlegt. Als Bug-Jäger ist man rechtlich gesehen selbstständig, weshalb Arbeitnehmerrechte auf Plattformen schwer durchzusetzen sind.

Beispiel

Lesen Sie hier ein Interview mit einem Bug-Hunter.

Offensive und defensive Sicherheitsberufe

Bei offensiven und defensiven Sicherheitstätigkeiten übernimmt das „rote Team“ den Angriff zu Testzwecken und das „blaue Team“ die Verteidigung.

Ein Penetrationstest, kurz Pentest, ist eine offensive, explorative Methode zur Prüfung von Systemen, Apps, Diensten, Servern, Netzwerken, Geräten oder auch Fahrzeugen (wie Autos oder Flugzeuge). Das rote Team nimmt größere Einheiten wie ganze Unternehmen ins Visier.

Anders als bei Bug-Jagden gibt es bei Pentests ein Ziel, einen Zweck, einen Kunden, Erfolgskriterien und Bezahlung. Manche Unternehmen haben Pentester als Angestellte, doch meist werden diese Tests an Spezialisten ausgelagert. Der Unterschied zum gelegentlichen Hacken ist, dass Pentester für Gewissheit sorgen und systematisch vorgehen, um die meisten potenziellen Angriffsmethoden abzudecken.

Berufe in roten und blauen Teams

Mitglieder des roten und des blauen Teams
Mitglieder des roten und des blauen Teams

Rotes team: Technischer Pentester

Pentester nutzen kommerzielle und eigene Angriffswerkzeuge, um das Ziel zu testen oder Informationen vom Ziel zu erlangen. Oft finden sie eher Schwächen in der Konfiguration als neue Sicherheitslücken in der Software. Sie denken wie ein Black-Hat-Hacker, aber hacken für einen guten Zweck. Pentester geben anderen Cybersicherheitsfachkräften Empfehlungen, wie sie die Schwachstellen beheben können.

Rotes team: Mitglied des roten Teams

Mitglieder des roten Teams sind Tester mit einer Bandbreite an Fähigkeiten, von traditionellem Pentesting über die Umgehung physischer Kontrollen bis hin zu Social-Engineering-Methoden. Sie arbeiten in einem Team, das verschiedene Fähigkeiten vereint. Sie suchen auf kreative Art nach Schwachstellen im System.

Mitglieder des roten und des blauen Teams
Mitglieder des roten und des blauen Teams

Blaues team: IT-/Cybersicherheits- Architekt

Sicherheitsarchitekten entwerfen und implementieren Strukturen für IT-Dienste, ähnlich wie Architekten für Gebäude. Sicherheitsarchitekten planen Strukturen für Netzwerke, sicherheitsrelevante Dienste und die eventuelle Auslagerung von Diensten an Dritte.

Sie entscheiden, wie jeder Benutzer und jedes Computerkonto identifiziert und autorisiert werden (Identity and Access Management, IAM) und wie verschiedene Ereignisse zu protokollieren sind. Sicherheitsarchitekten können sich auf bestimmte Bereiche konzentrieren (IAM, Netzwerke, Cloud-Dienste) oder die Architektur des gesamten Unternehmens entwerfen.

Blaues team: Security-Analyst/-Fachkraft

Das Security Operations Centre (SOC) dient der zentralen Überwachung von Protokollen und Ereignissen in der IT-Umgebung. Das SOC hat spezielle Werkzeuge und Dienste, um gewaltige Mengen an Protokolleinträgen oder regelbasiert ausgelösten Ereignissen zu erfassen und korrelieren.

Ein SOC-Analyst, meist Security-Analyst genannt, entwickelt Regeln für den Einsatz der Werkzeuge zur Erkennung verdächtiger Ereignisse und zur Einleitung von Nachforschungen. Diese „Ersthelfer“ (sog. Tier 1, d. h. Ebene 1) arbeiten oft ganzjährig rund um die Uhr. Security-Analysten können umfangreichere Nachforschungen an Tier 2 (Ebene 2) übergeben, wenn es dort mehr Expertise für digitale Forensik gibt – die Kunst, elektronische Spuren für eine Sicherheitsverletzung zu finden.

Sicherheit in der Software-Entwicklung

Die Entwicklung von Cybersicherheit ist nicht nur eine Aufgabe für entsprechende Fachkräfte, sondern für alle im Bereich IT. Technisch gesehen läuft alles auf der Grundlage von Programmiercode. Code besteht aus für Menschen lesbaren Anweisungen, die geschrieben (entwickelt) und dann in ein für eine Maschine ausführbares Objekt kompiliert werden. Dieses ausführbare Objekt wird anschließend von einem Entwickler getestet. Nach dem Test kommt das Objekt in eine Betriebsumgebung, wo es mit anderen Programmen, Servern und Diensten interagiert.

In all diesen Phasen können durch Designfehler oder aus Versehen Sicherheitslücken entstehen. Daher ist es wichtig, die Sicherheit des Codes, der Komponenten und der Interaktionen von Beginn des Prozesses an zu überprüfen. Im Unterschied zum Pentesting (Suche nach Schwachstellen nach der Produktion des Codes) werden in diesem Bereich die wirksamsten Sicherheitsaktivitäten vor oder während der Entwicklung durchgeführt.

Berufe für Sicherheit in der Software-Entwicklung

Sicherheits-entwickler

Sicherheitsentwickler konzentrieren sich auf für die Cybersicherheit kritische Dienste wie Identifikation und Autorisierung.

Security Champion (in einem Entwicklungsprojekt)

Bei sogenannten Security Champions handelt es sich meist um erfahrene Entwickler, die für sichere Programmierung sorgen. Sie dienen als Mentoren und Berater für andere Entwickler und Teammitglieder. Sie gewährleisten, dass die Sicherheitsprüfung und andere sicherheitsrelevante Tätigkeiten (z. B. Codeprüfungen) wie geplant ablaufen.

Cybersicherheit – eine Karriere mit Zukunft

Durch die Auswirkungen des digitalen Wandels in Privat- und Berufsleben steigt der Bedarf an Fachkräften für Cybersicherheit branchenübergreifend mehr denn je. Sorgen bereitet Regierungen, Unternehmen und Bürgern insbesondere, dass sich die Digitalisierung und neu entstehende Technologien (Emerging Technologies) so schnell verbreiten, dass die Ausbildung der benötigten Fachkräfte für Cybersicherheit nicht damit Schritt halten kann.

(ISC)², eine internationale, gemeinnützige Organisation für Cybersicherheitsexperten, schätzt in ihrer jährlichen Studie für 2020, dass in Europa über 168.000 Stellen für Cybersicherheit unbesetzt bleiben. Weltweit belaufe sich der Fachkräftemangel auf 3 Mio. Stellen. Zwar ging die Nachfrage im Vergleich zu 2020 wegen des Konjunktureinbruchs durch die Corona-Krise zurück, doch sie bleibt weiter hoch und wird vermutlich schnell ansteigen.

Obwohl in Europa über 500 Universitäten und akademische Einrichtungen Abschlüsse und Zertifikate für Cybersicherheitsfachkräfte vergeben, steigt die Nachfrage schneller als das Angebot. Eine Lösung zur Schließung dieser Lücke wäre die Umschulung oder Weiterbildung von Arbeitnehmern. Mit Abschluss dieses Kurses befinden Sie sich bereits auf gutem Wege. Um zu erfahren, wie Sie weitere Fähigkeiten in Cybersicherheit erlernen können, besuchen Sie die Website von Digital SkillUp.

Part summary

Nach Abschluss von Kapitel 5 sollten Sie in der Lage sein:

  • zu verstehen, dass neu entstehende Technologien für die Cybersicherheit sowohl Chancen als auch Risiken bedeuten;

  • einige der Auswirkungen für die Cybersicherheit in naher Zukunft zu erläutern;

  • zu wissen, welche Arten von Stellen für Fachkräfte in Cybersicherheit verfügbar sind.

You reached the end of the course!

Correct answers

0%

Exercises completed

0/0

Follow us

#digitalskillup
About UsHelp CenterTerms & ConditionsPrivacy PolicyContact us

Dieser Kurs entstand im Rahmen der Initiative Digital SkillUp, dem Markennamen für die Ergebnisse des Projekts European Digital Academy, das von der Europäischen Kommission mit Unterstützung des Europäischen Parlaments gefördert wird. Ziel des Projekts ist es, Bürgern und KMU Grundkenntnisse zu neu entstehenden Technologien zu vermitteln. Es umfasst einen Online-Lernbereich für alle mit Inhalten und Angeboten zu Themen wie KI, Blockchain, Robotik, Cybersicherheit und Internet der Dinge.

Dieses Projekt wurde durch die Europäische Union gefördert. Diese Mitteilung stellt lediglich die Meinung des Autors dar. Es stellt nicht die Meinung der Europäischen Kommission dar und die EK ist nicht verantwortlich für die Nutzung der darin enthaltenen Informationen.