IT Security Check
10 Skills, die jede IT-Abteilung braucht
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Kriminelle Hacker professionalisieren sich zunehmend, die Frequenz von Cyberattacken steigt stetig. Inzwischen ist es auch keine Frage mehr, ob Ihr Unternehmen zum Ziel von Cyberschurken wird, sondern nur noch wann. Diese Realität zwingt Unternehmen in allen Branchen dazu, über Ihre Bemühungen im Bereich IT Security zu reflektieren. Aber wie geht man das Problem mit den ultrararen Security-RessourcenSecurity-Ressourcen am besten an? Der Schlüssel ist der richtige Mix von Security-Skills. Alles zu Security auf CIO.de
Foto: SFIO CRACHO - shutterstock.com
"Viele unserer Kunden haben inzwischen erkannt, dass Sie zwar auf das Beste hoffen, aber mit dem Schlimmsten rechnen müssen", plaudert Stephen Zafarino vom IT-Recruiter Mondo aus dem Nähkästchen. "Auch durch die massiven Hacks bei Chase und Home Depot Anfang 2017 und die Ransomware-Attacke auf das britische NHS denkt inzwischen jedes Unternehmen darüber nach, wie es seine Defensivmaßnahmen verstärken kann."
Pflicht-Skills für die IT-Abteilung
Um die IT-Abwehrkräfte Ihres Unternehmens wirksam zu steigern, sollten Sie auf bestimmtes Knowhow und spezielle Fähigkeiten Wert legen. Mit den folgenden zehn Security-Skills sollte jede moderne IT-Abteilung - also auch Ihre - aufwarten können:
1. Security-Tool-Expertise
Um die IT-Security-Strategie rund zu machen, sollte man seine ToolsTools kennen. Unglücklicherweise setzen viele Unternehmen diesbezüglich jedoch auf einen "set it and forget it"-Ansatz - weil es am Security-Tool-Know-how mangelt. Alles zu Tools auf CIO.de
James Stanger vom internationalen IT-Branchenverband CompTIA führt SIEM-Tools als Beispiel an: "Diese Tools sind großartig, weil sie völlig neue Perspektiven bezüglich Netzwerk und Infrastruktur eröffnen. Sie ermöglichen aber gleichzeitig auch die tiefgehende Analyse von Sicherheitsvorfällen und so die Identifikation von Problemfeldern."
Dazu sollte man allerdings auch das volle Potenzial dieser Tools ausschöpfen, wie der Experte weiß: "In vielen Fällen werden leider einfach die Standard-Einstellungen übernommen. Der Grund liegt oft darin, dass sie nur angeschafft wurden, um einen weiteren Punkt auf der To-Do- beziehungsweise Must-Have-Liste abzuhaken. Das ist unglaublich gefährlich."
Es ist deshalb unabdingbar, dass Sie Ihre IT-Abteilung mit Experten oder Expertenwissen für Ihre Security Tools ausstatten. CIOs sind gut damit beraten, in ausgedehntes Training und Weiterbildung ihrer Security-Fachkräfte zu investieren. Die Sicherheitsexpertise sollte sich über alle Tools erstrecken, die für Ihr Unternehmen in Betracht kommen. Ansonsten sind die tollsten Helfer nicht mehr als ein Placebo.
- Splash Screens
Viele scheinbar normale Online-Transaktionen werden heutzutage von reißerischen Splash-Screens begleitet. Meldungen wie 'Securely getting your account details' oder 'setting up a secure connection' sollen ein Gefühl von gesteigerter Sicherheit vermitteln. Tun sie vielleicht sogar in manchen Fällen. Sicherer wird die Transaktion dadurch eher nicht. - Antivirus Software
Antivirus-Software alleine reicht heutzutage nicht mehr aus, um Unternehmensnetzwerke zu schützen, da sie gegen aktuelle Bedrohungen wie Ransomware oft nur wenig ausrichten kann. Negative Auswirkungen haben die Virenschutz-Programme hingegen oft auf die Performance. - Perimeter Security
Firewalls und sonstige Perimeter-Security-Maßnahmen können ebenfalls theatralische Qualitäten aufweisen, denn sie alleine sind der wachsenden Bedrohungslage - insbesondere im Unternehmensumfeld - ebenfalls nicht gewachsen. - Alarm-Ermüdung
Permanente Security-Alerts führen häufig dazu, dass die IT-Abteilung aufgrund hoher Fehlalarmquoten in den Ignoranz-Modus schaltet. Ohnehin können nur circa fünf Prozent der Alerts wirklich tiefgehend untersucht werden. - Ignoranz
Investitionen in Sicherheitsmaßnahmen sind eine gute Sache. Allerdings sollten Unternehmen die Daten, die ihr Security-Equipment sammelt, auch auswerten und analysieren. Ein Haken auf der To-Do-Liste reicht nicht aus. - Passwort-wechsel-dich
Ein Passwort alleine genügt nicht. Insbesondere dann, wenn es sich dabei um bewährte Security-Fails wie "123456" handelt. Und welchen Sinn macht es eigentlich, dass man sein Kennwort alle 30 Tage ändern muss? - Security Training
Die Mitarbeiter simulierten Phishing-Attacken auszusetzen, ohne ihnen vorher entsprechende Schulungsmaßnahmen zuteil werden zu lassen hat in der Regel wenig Effekt. - Harte Worte
Viele Security-Anbieter preisen ihre Lösungen mit militanten PR-Botschaften an. Ob die dadurch noch sicherer werden? Schreien hat jedenfalls noch nie viel geholfen. - Mauer-Fetisch
Wenn die IT-Abteilung lieber mauert statt Lösungen zu suchen, trägt das nicht zur Sicherheit bei. - Sharing
Der Austausch von Daten über aufgedeckte Sicherheitslücken und erfolgte Angriffe ist grundsätzlich eine gute Sache. Dennoch hilft sie Unternehmen nicht dabei, die Angriffsvektoren in ihrem Netzwerk aufzudecken. - Schadens-PR
"Uns liegt die Sicherheit unserer Nutzer am Herzen" heißt es allzu oft, nachdem Unternehmen Opfer einer Hacker-Attacke geworden sind. Gegenfrage: Wie konnte es dann überhaupt erst dazu kommen?
2. Security-Analysen
Tools sind wichtig - aber es ist mindestens genauso wichtig zu verstehen, wie sich diese Werkzeuge in die Gesamt-Sicherheitsstrategie einpassen, weiß Stanger: "Bevor Sie herausfinden können, welche Tools Sie brauchen und wie Sie diese benutzen, brauchen Sie Jemanden, der Ahnung vom Security Business hat. Wie funktioniert Ihr Geschäft? Was sind seine Alleinstellungsmerkmale? Wie sieht die Kunden- und Markstruktur aus? Jeder dieser Aspekte wirkt sich auf die IT-Sicherheit aus und jede Branche hat ihre eigenen Probleme."
Eine Security-Analyse kann Aufschluss darüber geben, unter welchen Bedingungen Hackerangriffe wahrscheinlicher sind und die Angriffsflächen entsprechend minimieren. Der Branchenverband CompTIA geht davon aus, dass die Nachfrage nach Security-Analysten bis zum Jahr 2020 um 18 Prozent anziehen wird.
3. Projektmanagement
IT-Projektmanagement-Skills sind eigentlich immer gefragt, aber Projektmanager, die sich auf IT-Sicherheitsprojekte spezialisieren, werden nach Meinung von Stanger ganz besonders wertvoll. Denn was früher die Nebenaufgabe von Admins war, hat sich inzwischen zu einem eigenen Spezialgebiet entwickelt: "Früher gab es Antivirus, Spamfilter und vielleicht noch ein paar Perimeterschutz-Tools. Heutzutage muss man diese Security-Lösungen als wochen- oder monatelanges Projekt angehen, um heraus zu bekommen, wie man sie in die Systeme integriert."
- Microsoft Project
Vor rund 30 Jahren ist die erste Projektmanagement-Software auf dem Markt erschienen: Microsoft Project. Damals brauchten die Redmonder eine Software, um die Arbeit seiner Software-Teams besser zu koordinieren. 1984 wurde die erste Version für das Betriebssystem MS-DOS veröffentlicht. Seitdem hat sich die Software, die den Schwerpunkt primär auf Projektplanung legt, kontinuierlich weiterentwickelt und steht nun auch in der Cloud zur Verfügung. - Planio
Die Softwareschmiede Planio aus Berlin hat auf Basis der Open-Source-Lösung Redmine eine umfangreiche All-in-One-Plattform entwickelt, die sich hierzulande als eine ernsthafte Alternative zu den US-Schwergewichten positionieren konnte. Von zahlreichen Features für Projekt- und Aufgabenverwaltung, über Datei- und Wissens-Management mit Wikis und FAQs bis hin zu weiterführenden Modulen für Kommunikation und Kundensupport: Das breite Funktionsspektrum der in der deutschen Cloud betriebenen Web-Lösung lässt in puncto Funktionalität kaum Wünsche offen. - Basecamp
Wenn es um Projektmanagement geht, fällt schnell der Name "Basecamp". Die App bietet einen zentralen Ort für die Organisation und Koordination von Projekten. Projektteams können Notizen und To-Do-Listen erstellen, Dateien und Pläne hochladen sowie Aufgaben zuweisen und verwalten. Zudem kann mit involvierten Kollegen über die Projektfortschritte in Chats kommuniziert werden. Derzeit ist Basecamp in der Version 3 verfügbar. - Clocking IT
Das kostenlose, webbasierende Projektmanagement-Tool "Clocking IT" wendet sich im Wesentlichen an Softwareentwickler, die ihre umfangreichen Projekte effizient verwalten wollen. Dank eines übersichtlichen Dashboards und umfangreicher Collaboration-Features lassen sich der Projektfortschritt sowie die Bearbeitung einzelner Tasks jederzeit überwachen und dokumentieren. - Trello
“Trello” wurde 2011 gestartet und wird von der Softwareschmiede Fog Creek Software aus New York angeboten. Mittlerweile zählt die visuelle Projektmanagement-Lösung laut Hersteller über 12 Millionen registrierte Anwender. Der Lösungsansatz ist stark an das Kanban-Konzept angelehnt. Anstatt Projekte und einzelne Aufgaben in Listen zu organisieren, werden diese in Karteikarten dargestellt, mit denen der User auf intuitive Art und Weise visuell interagieren kann. - 5pm
Das webbasierte "5pm" bietet alle Features, die man von einem Projektmanagement-Tool erwartet und stellt das Thema Zeiterfassung in den Vordergrund. So wartet 5pm unter anderem mit einer übersichtlichen Darstellung der einzelnen Projekte und Tasks, umfangreichen Zeitmanagement-Funktionen sowie einer übersichtlichen Darstellung des jeweiligen Projektfortschritts auf. Darüber hinaus bietet 5pm die Möglichkeit individuelle Projektgruppen zu erstellen, E-Mailintegration sowie umfangreiche Reporting-Funktionen. - Wrike
Bei “Wrike” handelt es sich um eine anspruchsvolle PM-Lösung aus Kalifornien, die durch ein umfangreiches Featureset, viele Integrationsmöglichkeiten und Mobile-Support überzeugen kann. Zu den Hauptfunktionen der modular aufgebauten Anwendung gehören unter anderem Task-Management, gemeinsame Dokumentenverwaltung, sowie Kommunikationswerkzeuge wie Kommentare, Activity-Streams und E-Mail-Integration. Klassische PM-Werkzeuge wie Gantt-Charts und Reporting, sowie weiterführende Features wie etwa Zeiterfassung runden das Funktionsspektrum der Software ab. - Klok
Die kostenlose Softwarelösung "Klok" eignet sich weniger für klassisches Projektmanagement im Sinne von Collaboration, sondern vielmehr als Tool zum persönlichen Zeitmanagement. Gerade für Selbständige und Ein-Mann-Unternehmen bietet Klok die Möglichkeit, ihre jeweilige Arbeitszeit optimal auf einzelne Projekte zu splitten und dabei wichtige Termine nicht aus den Augen zu verlieren. - Blue Ant
Von der klassischen Ressourcenplanung über To-Do-Listen, Zeiterfassung und die Portfolio-Steuerung - das umfangreiche Web-Tool "Blue Ant" der proventis GmbH aus Berlin bietet eine umfangreiche Funktionsvielfalt für verschiedenste Projekte. Durch eine Vielzahl von Schnittstellen und Web-Standards lässt sich Blue Ant problemlos in eine bestehende IT-Landschaft integrieren. - TrackingTime
Mit der kostenlosen Cloud-Lösung “TrackingTime” können Selbständige und Teams ihre Projekte und Aufgaben gemeinsam verwalten und sämtliche Arbeitszeiten bequem erfassen. Die Anwendung wartet mit einem modernen Userinterface auf und ist für Web, Desktop und Mobile (iOS und Android) verfügbar. Ein weiterer Pluspunkt sind die detaillierte Reports für Kunden, Projekte und Mitarbeiter, die man im Browser einfach erstellen und als CSV-Datei exportieren kann. - Redbooth
"Redbooth" ist eine ganzheitliche PM-Lösung, die mit einem starken Fokus auf Kommunikation, Projektplanung und Dateiverwaltung alle zentralen Aspekte der effizienten Zusammenarbeit abdeckt. Was Team-Kommunikation angeht, wartet Redbooth mit Chat-Diskussionen und Videokonferenzen in HD-Qualität auf. Dokumente lassen sich Projekten zuweisen und mit dem ganzen Team gemeinsam bearbeiten. In Sachen Dokumentenmanagement bietet das Programm nahtlose Integrationsmöglichkeiten mit Cloud-Storage-Diensten wie Google Drive, Dropbox und Box. - CoMindWork
"CoMindWork" bietet sowohl die Möglichkeit auf dem Server des Herstellers webbasierend zu arbeiten, als auch die Software im eigenen Netzwerk zu nutzen. Neben klassischen Projektmanagement-Funktionen, wie der Erstellung von Projekten, To-do- und Tasklisten, Filesharing-Optionen und den gängigen Zeitmanagement-Funktionen sowie Web 2.0. Features bietet CoMindWork umfangreiche Möglichkeiten die Software den eigenen Bedürfnissen anzupassen. So lassen sich vom Design bis hin zur Anordnung der Benutzeroberfläche viele Punkte individuell anpassen. - Zoho Projects
"Zoho Projects" enthält alle notwendigen Applikationen für das Projektmanagement. Dazu zählen unter anderem Aufgabenverwaltung und Milestones, Zeiterfassung, Kalenderfunktionen und Gantt-Diagramme. Die Nutzer können außerdem miteinander chatten, ihre Dokumente austauschen und ein Wiki erstellen. - ActiveCollab
Wer auf der Suche nach einer All-In-One-Lösung ist, sollte einen Blick auf “ActiveCollab” werfen. Zu den zentralen Funktionsmodulen der aus Kanada stammenden Lösung zählen Projektplanung, Collaboration, Invoicing, Zeiterfassung, Ausgabenverwaltung und eine umfassende Reporting-Funktionalität. Ein weiterer Pluspunkt sind die vielen Integrationsmöglichkeiten dank der angebotenen offenen Programmierschnittstelle, SDKs (Software Development Kit) und Add-Ons. Die nahtlose Integrationsmöglichkeit mit einem Versionsverwaltungssystem macht die Lösung für Software-Teams besonders interessant. - Smartsheet
Genau wie die meisten seiner Konkurrenten arbeitet "Smartsheet" webbasierend. Einzelne Projekte werden in so genannten Smartsheets angelegt und die jeweiligen Projektmitarbeiter hinzugefügt. Über das jeweilige Smartsheet sind dann alle zum Projekt gehörigen Informationen, wie die Kommunikation der Projektbeteiligten, Dateianhänge und Shared Documents schnell erreichbar. - PIEmatrix
Die webbasierte Lösung "PIEmatrix" bietet die Möglichkeit, auf Basis bestehender Templates Projekte in allen Projektphasen abzubilden, zu strukturieren und zu managen. Man hat hierbei die Wahl, den Projektablauf auf Basis der integrierten Templates zu strukturieren oder diese den eigenen Bedürfnissen entsprechend zu modifizieren. Einmal erstellte Templates lassen sich dann problemlos abspeichern und als Best-Practices-Schablone für ähnlich gelagerte Projekte verwenden. - Projektron BCS
"Projektron BCS" arbeitet rein webbasiert und verfügt über alle klassischen Projektmangement-Funktionen, wie beispielsweise Taskmanagement, ein Ticketsystem, verschiedenste Auswertungs- und Berichts-Funktionen, eine flexible Rechteverwaltung sowie Zeitmanagement-Funktionen.
4. Incident Response
Ein weiterer, kritischer Bereich wenn es um die Absicherung der IT-Systeme geht, sind Incident-Response-Lösungen. Die helfen dabei, Bedrohungen schnell zu identifizieren. Die wohl bekannteste Lösung kommt dabei aus dem Hause Splunk, weswegen Security-Profis mit entsprechenden Kenntnissen derzeit richtig gefragt sind, wie Stephen Zafarino weiß.
"Oft können Unternehmen einfach nicht die Menge an Fachkräften verpflichten, die nötig wäre - alleine aus finanziellen Gründen. Wir beobachten deshalb oft, dass Security-Spezialisten für eine Analyse verpflichtet werden und danach in die Schulung und Weiterbildung der Mitarbeiter investiert wird, um mit dem Status Quo Schritt halten zu können." Dazu komme oft auch noch eine Aufrüstung mit Security-Automatisierungs-Tools, so Zafarino.
5. Security Automation / DevOps
Sowohl die Cyber-Bedrohungen, als auch die Security Tools entwickeln sich stetig weiter, was es für Unternehmen schwierig macht, Schritt zu halten. Die traditionelle Herangehensweise, manuell operierende Security Teams einzusetzen, hat laut Zafarino ausgedient und stellt heutzutage keine funktionsfähige Lösung mehr dar: "Einige Unternehmen setzen auf DevOps und Automatisierung um der Bedrohungslandschaft Herr zu werden. Es geht dabei um essentielle Fragen wie ‚Welche Bedrohungen bestehen für uns und wie schützen wir uns davor?‘. Nur leider haben viele Organisationen einfach nicht die Manpower, um sich ausreichend zu wappnen."
Mit Hilfe von Security Automation können Unternehmen Bedrohungen und Hackerangriffe feststellen und verhindern, bevor größerer Schaden entsteht. Anschließend sollten Security-Spezialisten für kompliziertere, kontextsensitive Aufgaben eingesetzt werden, wie Brad Antoniewicz von der NYU Tandon School of Engineering, empfiehlt: "Die Fachkräfte müssen Probleme lösen und Hilfestellung bieten. Sie müssen in der Lage sein, eine Menge an Informationen möglichst schnell zu filtern, um einen Ansatzpunkt für die Untersuchung von Vorfällen ausmachen zu können. Unglücklicherweise ist das eine Fähigkeit, die nicht so einfach zu finden ist - schließlich basiert sie im Wesentlichen auf einer ganzen Menge Erfahrung."