06.03.2018 von Sharon Florentine und Florian Maier
Sie wollen, dass Ihre IT-Abteilung Hackerangriffe effektiv abwehrt? Dann sollten Sie auf diese Skills setzen.
Kriminelle Hacker professionalisieren sich zunehmend, die Frequenz von Cyberattacken steigt stetig. Inzwischen ist es auch keine Frage mehr, ob Ihr Unternehmen zum Ziel von Cyberschurken wird, sondern nur noch wann. Diese Realität zwingt Unternehmen in allen Branchen dazu, über Ihre Bemühungen im Bereich IT Security zu reflektieren. Aber wie geht man das Problem mit den ultrararen Security-Ressourcen am besten an? Der Schlüssel ist der richtige Mix von Security-Skills.
"Viele unserer Kunden haben inzwischen erkannt, dass Sie zwar auf das Beste hoffen, aber mit dem Schlimmsten rechnen müssen", plaudert Stephen Zafarino vom IT-Recruiter Mondo aus dem Nähkästchen. "Auch durch die massiven Hacks bei Chase und Home Depot Anfang 2017 und die Ransomware-Attacke auf das britische NHS denkt inzwischen jedes Unternehmen darüber nach, wie es seine Defensivmaßnahmen verstärken kann."
Pflicht-Skills für die IT-Abteilung
Um die IT-Abwehrkräfte Ihres Unternehmens wirksam zu steigern, sollten Sie auf bestimmtes Knowhow und spezielle Fähigkeiten Wert legen. Mit den folgenden zehn Security-Skills sollte jede moderne IT-Abteilung - also auch Ihre - aufwarten können:
1. Security-Tool-Expertise
Um die IT-Security-Strategie rund zu machen, sollte man seine Tools kennen. Unglücklicherweise setzen viele Unternehmen diesbezüglich jedoch auf einen "set it and forget it"-Ansatz - weil es am Security-Tool-Know-how mangelt.
James Stanger vom internationalen IT-Branchenverband CompTIA führt SIEM-Tools als Beispiel an: "Diese Tools sind großartig, weil sie völlig neue Perspektiven bezüglich Netzwerk und Infrastruktur eröffnen. Sie ermöglichen aber gleichzeitig auch die tiefgehende Analyse von Sicherheitsvorfällen und so die Identifikation von Problemfeldern."
Dazu sollte man allerdings auch das volle Potenzial dieser Tools ausschöpfen, wie der Experte weiß: "In vielen Fällen werden leider einfach die Standard-Einstellungen übernommen. Der Grund liegt oft darin, dass sie nur angeschafft wurden, um einen weiteren Punkt auf der To-Do- beziehungsweise Must-Have-Liste abzuhaken. Das ist unglaublich gefährlich."
Es ist deshalb unabdingbar, dass Sie Ihre IT-Abteilung mit Experten oder Expertenwissen für Ihre Security Tools ausstatten. CIOs sind gut damit beraten, in ausgedehntes Training und Weiterbildung ihrer Security-Fachkräfte zu investieren. Die Sicherheitsexpertise sollte sich über alle Tools erstrecken, die für Ihr Unternehmen in Betracht kommen. Ansonsten sind die tollsten Helfer nicht mehr als ein Placebo.
11 Placebos für die IT-Sicherheit
Splash Screens Viele scheinbar normale Online-Transaktionen werden heutzutage von reißerischen Splash-Screens begleitet. Meldungen wie 'Securely getting your account details' oder 'setting up a secure connection' sollen ein Gefühl von gesteigerter Sicherheit vermitteln. Tun sie vielleicht sogar in manchen Fällen. Sicherer wird die Transaktion dadurch eher nicht.
Antivirus Software Antivirus-Software alleine reicht heutzutage nicht mehr aus, um Unternehmensnetzwerke zu schützen, da sie gegen aktuelle Bedrohungen wie Ransomware oft nur wenig ausrichten kann. Negative Auswirkungen haben die Virenschutz-Programme hingegen oft auf die Performance.
Perimeter Security Firewalls und sonstige Perimeter-Security-Maßnahmen können ebenfalls theatralische Qualitäten aufweisen, denn sie alleine sind der wachsenden Bedrohungslage - insbesondere im Unternehmensumfeld - ebenfalls nicht gewachsen.
Alarm-Ermüdung Permanente Security-Alerts führen häufig dazu, dass die IT-Abteilung aufgrund hoher Fehlalarmquoten in den Ignoranz-Modus schaltet. Ohnehin können nur circa fünf Prozent der Alerts wirklich tiefgehend untersucht werden.
Ignoranz Investitionen in Sicherheitsmaßnahmen sind eine gute Sache. Allerdings sollten Unternehmen die Daten, die ihr Security-Equipment sammelt, auch auswerten und analysieren. Ein Haken auf der To-Do-Liste reicht nicht aus.
Passwort-wechsel-dich Ein Passwort alleine genügt nicht. Insbesondere dann, wenn es sich dabei um bewährte Security-Fails wie "123456" handelt. Und welchen Sinn macht es eigentlich, dass man sein Kennwort alle 30 Tage ändern muss?
Security Training Die Mitarbeiter simulierten Phishing-Attacken auszusetzen, ohne ihnen vorher entsprechende Schulungsmaßnahmen zuteil werden zu lassen hat in der Regel wenig Effekt.
Harte Worte Viele Security-Anbieter preisen ihre Lösungen mit militanten PR-Botschaften an. Ob die dadurch noch sicherer werden? Schreien hat jedenfalls noch nie viel geholfen.
Mauer-Fetisch Wenn die IT-Abteilung lieber mauert statt Lösungen zu suchen, trägt das nicht zur Sicherheit bei.
Sharing Der Austausch von Daten über aufgedeckte Sicherheitslücken und erfolgte Angriffe ist grundsätzlich eine gute Sache. Dennoch hilft sie Unternehmen nicht dabei, die Angriffsvektoren in ihrem Netzwerk aufzudecken.
Schadens-PR "Uns liegt die Sicherheit unserer Nutzer am Herzen" heißt es allzu oft, nachdem Unternehmen Opfer einer Hacker-Attacke geworden sind. Gegenfrage: Wie konnte es dann überhaupt erst dazu kommen?
2. Security-Analysen
Tools sind wichtig - aber es ist mindestens genauso wichtig zu verstehen, wie sich diese Werkzeuge in die Gesamt-Sicherheitsstrategie einpassen, weiß Stanger: "Bevor Sie herausfinden können, welche Tools Sie brauchen und wie Sie diese benutzen, brauchen Sie Jemanden, der Ahnung vom Security Business hat. Wie funktioniert Ihr Geschäft? Was sind seine Alleinstellungsmerkmale? Wie sieht die Kunden- und Markstruktur aus? Jeder dieser Aspekte wirkt sich auf die IT-Sicherheit aus und jede Branche hat ihre eigenen Probleme."
Eine Security-Analyse kann Aufschluss darüber geben, unter welchen Bedingungen Hackerangriffe wahrscheinlicher sind und die Angriffsflächen entsprechend minimieren. Der Branchenverband CompTIA geht davon aus, dass die Nachfrage nach Security-Analysten bis zum Jahr 2020 um 18 Prozent anziehen wird.
3. Projektmanagement
IT-Projektmanagement-Skills sind eigentlich immer gefragt, aber Projektmanager, die sich auf IT-Sicherheitsprojekte spezialisieren, werden nach Meinung von Stanger ganz besonders wertvoll. Denn was früher die Nebenaufgabe von Admins war, hat sich inzwischen zu einem eigenen Spezialgebiet entwickelt: "Früher gab es Antivirus, Spamfilter und vielleicht noch ein paar Perimeterschutz-Tools. Heutzutage muss man diese Security-Lösungen als wochen- oder monatelanges Projekt angehen, um heraus zu bekommen, wie man sie in die Systeme integriert."
Die besten Projekt-Management-Tools
Microsoft Project Vor rund 30 Jahren ist die erste Projektmanagement-Software auf dem Markt erschienen: Microsoft Project. Damals brauchten die Redmonder eine Software, um die Arbeit seiner Software-Teams besser zu koordinieren. 1984 wurde die erste Version für das Betriebssystem MS-DOS veröffentlicht. Seitdem hat sich die Software, die den Schwerpunkt primär auf Projektplanung legt, kontinuierlich weiterentwickelt und steht nun auch in der Cloud zur Verfügung.
Planio Die Softwareschmiede Planio aus Berlin hat auf Basis der Open-Source-Lösung Redmine eine umfangreiche All-in-One-Plattform entwickelt, die sich hierzulande als eine ernsthafte Alternative zu den US-Schwergewichten positionieren konnte. Von zahlreichen Features für Projekt- und Aufgabenverwaltung, über Datei- und Wissens-Management mit Wikis und FAQs bis hin zu weiterführenden Modulen für Kommunikation und Kundensupport: Das breite Funktionsspektrum der in der deutschen Cloud betriebenen Web-Lösung lässt in puncto Funktionalität kaum Wünsche offen.
Basecamp Wenn es um Projektmanagement geht, fällt schnell der Name "Basecamp". Die App bietet einen zentralen Ort für die Organisation und Koordination von Projekten. Projektteams können Notizen und To-Do-Listen erstellen, Dateien und Pläne hochladen sowie Aufgaben zuweisen und verwalten. Zudem kann mit involvierten Kollegen über die Projektfortschritte in Chats kommuniziert werden. Derzeit ist Basecamp in der Version 3 verfügbar.
Clocking IT Das kostenlose, webbasierende Projektmanagement-Tool "Clocking IT" wendet sich im Wesentlichen an Softwareentwickler, die ihre umfangreichen Projekte effizient verwalten wollen. Dank eines übersichtlichen Dashboards und umfangreicher Collaboration-Features lassen sich der Projektfortschritt sowie die Bearbeitung einzelner Tasks jederzeit überwachen und dokumentieren.
Trello “Trello” wurde 2011 gestartet und wird von der Softwareschmiede Fog Creek Software aus New York angeboten. Mittlerweile zählt die visuelle Projektmanagement-Lösung laut Hersteller über 12 Millionen registrierte Anwender. Der Lösungsansatz ist stark an das Kanban-Konzept angelehnt. Anstatt Projekte und einzelne Aufgaben in Listen zu organisieren, werden diese in Karteikarten dargestellt, mit denen der User auf intuitive Art und Weise visuell interagieren kann.
5pm Das webbasierte "5pm" bietet alle Features, die man von einem Projektmanagement-Tool erwartet und stellt das Thema Zeiterfassung in den Vordergrund. So wartet 5pm unter anderem mit einer übersichtlichen Darstellung der einzelnen Projekte und Tasks, umfangreichen Zeitmanagement-Funktionen sowie einer übersichtlichen Darstellung des jeweiligen Projektfortschritts auf. Darüber hinaus bietet 5pm die Möglichkeit individuelle Projektgruppen zu erstellen, E-Mailintegration sowie umfangreiche Reporting-Funktionen.
Wrike Bei “Wrike” handelt es sich um eine anspruchsvolle PM-Lösung aus Kalifornien, die durch ein umfangreiches Featureset, viele Integrationsmöglichkeiten und Mobile-Support überzeugen kann. Zu den Hauptfunktionen der modular aufgebauten Anwendung gehören unter anderem Task-Management, gemeinsame Dokumentenverwaltung, sowie Kommunikationswerkzeuge wie Kommentare, Activity-Streams und E-Mail-Integration. Klassische PM-Werkzeuge wie Gantt-Charts und Reporting, sowie weiterführende Features wie etwa Zeiterfassung runden das Funktionsspektrum der Software ab.
Klok Die kostenlose Softwarelösung "Klok" eignet sich weniger für klassisches Projektmanagement im Sinne von Collaboration, sondern vielmehr als Tool zum persönlichen Zeitmanagement. Gerade für Selbständige und Ein-Mann-Unternehmen bietet Klok die Möglichkeit, ihre jeweilige Arbeitszeit optimal auf einzelne Projekte zu splitten und dabei wichtige Termine nicht aus den Augen zu verlieren.
Blue Ant Von der klassischen Ressourcenplanung über To-Do-Listen, Zeiterfassung und die Portfolio-Steuerung - das umfangreiche Web-Tool "Blue Ant" der proventis GmbH aus Berlin bietet eine umfangreiche Funktionsvielfalt für verschiedenste Projekte. Durch eine Vielzahl von Schnittstellen und Web-Standards lässt sich Blue Ant problemlos in eine bestehende IT-Landschaft integrieren.
TrackingTime Mit der kostenlosen Cloud-Lösung “TrackingTime” können Selbständige und Teams ihre Projekte und Aufgaben gemeinsam verwalten und sämtliche Arbeitszeiten bequem erfassen. Die Anwendung wartet mit einem modernen Userinterface auf und ist für Web, Desktop und Mobile (iOS und Android) verfügbar. Ein weiterer Pluspunkt sind die detaillierte Reports für Kunden, Projekte und Mitarbeiter, die man im Browser einfach erstellen und als CSV-Datei exportieren kann.
Redbooth "Redbooth" ist eine ganzheitliche PM-Lösung, die mit einem starken Fokus auf Kommunikation, Projektplanung und Dateiverwaltung alle zentralen Aspekte der effizienten Zusammenarbeit abdeckt. Was Team-Kommunikation angeht, wartet Redbooth mit Chat-Diskussionen und Videokonferenzen in HD-Qualität auf. Dokumente lassen sich Projekten zuweisen und mit dem ganzen Team gemeinsam bearbeiten. In Sachen Dokumentenmanagement bietet das Programm nahtlose Integrationsmöglichkeiten mit Cloud-Storage-Diensten wie Google Drive, Dropbox und Box.
CoMindWork "CoMindWork" bietet sowohl die Möglichkeit auf dem Server des Herstellers webbasierend zu arbeiten, als auch die Software im eigenen Netzwerk zu nutzen. Neben klassischen Projektmanagement-Funktionen, wie der Erstellung von Projekten, To-do- und Tasklisten, Filesharing-Optionen und den gängigen Zeitmanagement-Funktionen sowie Web 2.0. Features bietet CoMindWork umfangreiche Möglichkeiten die Software den eigenen Bedürfnissen anzupassen. So lassen sich vom Design bis hin zur Anordnung der Benutzeroberfläche viele Punkte individuell anpassen.
Zoho Projects "Zoho Projects" enthält alle notwendigen Applikationen für das Projektmanagement. Dazu zählen unter anderem Aufgabenverwaltung und Milestones, Zeiterfassung, Kalenderfunktionen und Gantt-Diagramme. Die Nutzer können außerdem miteinander chatten, ihre Dokumente austauschen und ein Wiki erstellen.
ActiveCollab Wer auf der Suche nach einer All-In-One-Lösung ist, sollte einen Blick auf “ActiveCollab” werfen. Zu den zentralen Funktionsmodulen der aus Kanada stammenden Lösung zählen Projektplanung, Collaboration, Invoicing, Zeiterfassung, Ausgabenverwaltung und eine umfassende Reporting-Funktionalität. Ein weiterer Pluspunkt sind die vielen Integrationsmöglichkeiten dank der angebotenen offenen Programmierschnittstelle, SDKs (Software Development Kit) und Add-Ons. Die nahtlose Integrationsmöglichkeit mit einem Versionsverwaltungssystem macht die Lösung für Software-Teams besonders interessant.
Smartsheet Genau wie die meisten seiner Konkurrenten arbeitet "Smartsheet" webbasierend. Einzelne Projekte werden in so genannten Smartsheets angelegt und die jeweiligen Projektmitarbeiter hinzugefügt. Über das jeweilige Smartsheet sind dann alle zum Projekt gehörigen Informationen, wie die Kommunikation der Projektbeteiligten, Dateianhänge und Shared Documents schnell erreichbar.
PIEmatrix Die webbasierte Lösung "PIEmatrix" bietet die Möglichkeit, auf Basis bestehender Templates Projekte in allen Projektphasen abzubilden, zu strukturieren und zu managen. Man hat hierbei die Wahl, den Projektablauf auf Basis der integrierten Templates zu strukturieren oder diese den eigenen Bedürfnissen entsprechend zu modifizieren. Einmal erstellte Templates lassen sich dann problemlos abspeichern und als Best-Practices-Schablone für ähnlich gelagerte Projekte verwenden.
Projektron BCS "Projektron BCS" arbeitet rein webbasiert und verfügt über alle klassischen Projektmangement-Funktionen, wie beispielsweise Taskmanagement, ein Ticketsystem, verschiedenste Auswertungs- und Berichts-Funktionen, eine flexible Rechteverwaltung sowie Zeitmanagement-Funktionen.
4. Incident Response
Ein weiterer, kritischer Bereich wenn es um die Absicherung der IT-Systeme geht, sind Incident-Response-Lösungen. Die helfen dabei, Bedrohungen schnell zu identifizieren. Die wohl bekannteste Lösung kommt dabei aus dem Hause Splunk, weswegen Security-Profis mit entsprechenden Kenntnissen derzeit richtig gefragt sind, wie Stephen Zafarino weiß.
"Oft können Unternehmen einfach nicht die Menge an Fachkräften verpflichten, die nötig wäre - alleine aus finanziellen Gründen. Wir beobachten deshalb oft, dass Security-Spezialisten für eine Analyse verpflichtet werden und danach in die Schulung und Weiterbildung der Mitarbeiter investiert wird, um mit dem Status Quo Schritt halten zu können." Dazu komme oft auch noch eine Aufrüstung mit Security-Automatisierungs-Tools, so Zafarino.
5. Security Automation / DevOps
Sowohl die Cyber-Bedrohungen, als auch die Security Tools entwickeln sich stetig weiter, was es für Unternehmen schwierig macht, Schritt zu halten. Die traditionelle Herangehensweise, manuell operierende Security Teams einzusetzen, hat laut Zafarino ausgedient und stellt heutzutage keine funktionsfähige Lösung mehr dar: "Einige Unternehmen setzen auf DevOps und Automatisierung um der Bedrohungslandschaft Herr zu werden. Es geht dabei um essentielle Fragen wie ‚Welche Bedrohungen bestehen für uns und wie schützen wir uns davor?‘. Nur leider haben viele Organisationen einfach nicht die Manpower, um sich ausreichend zu wappnen."
Mit Hilfe von Security Automation können Unternehmen Bedrohungen und Hackerangriffe feststellen und verhindern, bevor größerer Schaden entsteht. Anschließend sollten Security-Spezialisten für kompliziertere, kontextsensitive Aufgaben eingesetzt werden, wie Brad Antoniewicz von der NYU Tandon School of Engineering, empfiehlt: "Die Fachkräfte müssen Probleme lösen und Hilfestellung bieten. Sie müssen in der Lage sein, eine Menge an Informationen möglichst schnell zu filtern, um einen Ansatzpunkt für die Untersuchung von Vorfällen ausmachen zu können. Unglücklicherweise ist das eine Fähigkeit, die nicht so einfach zu finden ist - schließlich basiert sie im Wesentlichen auf einer ganzen Menge Erfahrung."
6. Data Science und Analytics
Die enormen Datenmengen die Unternehmen anhäufen, können auch dazu genutzt werden, Angriffsvektoren und potenzielle Hackerattacken aufzudecken sowie die Effektivität von Gegenmaßnahmen zu überwachen. Das erfordert jedoch Skills und Erfahrung in Sachen Datenanalyse. "Die IT-Sicherheit braucht Menschen mit Wissen und Erfahrung, um Analyse-Tools richtig nutzen zu können," weiß Ashley Stephenson, CEO bei Corero Network Security. "Machine Learning, Algorithmen und Künstliche Intelligenz sind nötig, um all diese Daten verarbeiten und effektiv analysieren zu können."
Brad Antoniewicz arbeitet in einem Team bestehend aus Ethical Hackern und Data Scientists, die neue Sicherheitsbedrohungen identifizieren, untersuchen und entsprechende Gegenmaßnahmen entwickeln. Er spricht aus Erfahrung: "Ich kann gar nicht genug betonen, wie wichtig dabei der Data-Science- und Data-Analytics-Teil unseres Teams ist. Bei großen Unternehmen können tausende von Datenströmen Millionen von Sicherheitsvorfällen anspülen. Dazu kommen aber noch Daten aus finanziellen Transaktionen, Logs, DNS Traffic - wenn all diese Daten in ein riesiges Repositorium fließen, überfordert das die meisten Security-Profis. Die Data Scientists helfen uns dabei, die Spreu vom Weizen zu trennen und sorgen so letztendlich dafür, dass wir besser und schneller auf Vorfälle reagieren können."
7. Scripting
Bei so vielen beweglichen Teilen empfiehlt es sich, über Scripting-Skills zu verfügen. Die sorgen nämlich dafür, dass all die Elemente und Tools auch gut zusammenarbeiten, wie Stephenson sagt: "Mein persönlicher Favorit ist Python - aber auch Perl ist beliebt. Die Security Tools müssen einwandfrei mit Messaging-Systemen wie Slack, mit Dashboards, Monitoring-Systemen oder Incident-Management-Tools zusammenarbeiten."
Im IT-Sicherheits-Universum haben Soft Skills eine andere Bedeutung. Zwar sind auch hier Kommunikation, Kollaboration und Teamwork wichtig - dazu kommen aber auch die Fähigkeit zu kritischem Denken und sogar psychologische Elemente.
"Sie müssen wie die bösen Jungs denken", empfiehlt Antoniewicz. "Sie sollten die Social-Engineering-Tricks kennen, um Angriffsvektoren wie Phishing-Attacken identifizieren und eliminieren zu können. Sie müssen wissen, wie Ihre Mitarbeiter und Kunden reagieren und was dafür sorgen könnte, dass diese Ihren Schutz vernachlässigen. Nur so können Sie sich auf diese Bedrohungen vorbereiten."
Fachkräfte für IT-Sicherheit müssen darüber hinaus in der Lage sein, unter Druck gute Leistungen zu bringen und im Fall eines Hacker-Angriffs schnell die richtigen Antworten zu finden. Dabei kommt es natürlich auch in gewissem Maße auf institutionalisiertes Wissen an. Unternehmen sollten also nicht nur gute Security-Fachkräfte verpflichten, sondern auch alles daran setzen, diese zu halten.
Soft Skills in der Praxis: So gelingt gute Zusammenarbeit
Ulrike Stahl Jeder kann kommunikative und kooperative Stärken zeigen, ist das Credo von Ulrike Stahl. Sie coacht Führungskräfte und gibt neun Tipps für eine gute Zusammenarbeit.
Spielen Sie auch Golf? An gemeinsamen Hobbys lässt sich gut anknüpfen. "Wenden Sie zuvor etwas Zeit auf, um eine persönliche Gemeinsamkeit mit dem Verhandlungspartner herauszufinden und diese zu benennen", rät Stahl. Dadurch machen Sie sich sympathisch.
Tipp 2: Finden Sie eine gemeinsame Ausdrucksweise Wichtig ist, dass sich jeder Projektbeteiligte klar und direkt ausdrückt. Dass jeder höflich bleibt, ist eine Selbstverständlichkeit.
Tipp 3: Zeigen Sie den Nutzen auf Was habe ich davon? Was sind die Ziele der Kooperationspartner, vor welchen Herausforderungen stehen sie? Wer kann wen wie unterstützen und welche Zahlen und Daten belegen das?
Tipp 4: Vorbild Chef Chefs sollten im eigenen Team gute Zusammenarbeit vorleben. Denn Kooperation funktioniert nur auf Augenhöhe. "Wünschen Sie sich Mitarbeiter, die aktiver mitgestalten, lautet der Schlüssel Gleichheit und Anerkennung der Mitarbeiter", so Ulrike Stahl.
Tipp 5: Betonen Sie die Gemeinsamkeiten Ulrike Stahl empfiehlt, gemeinsame Erfolge zu feiern und so das Zusammengehörigkeitsgefühl zu stärken. Auch sollte eine Führungskraft immer das gemeinsame Ziel und die Bedeutung der Arbeit des Teams hervorheben.
Tipp 6: Austausch der Mitarbeiter Gerade wenn die Kollegen an unterschiedlichen Projekten arbeiten, sollte in wöchentlichen Meetings jeder berichten, was er tut. "Ermöglichen Sie, dass Teammitglieder in solche Meetings Fragen einbringen, bei denen die anderen mit Ideen unterstützen können, auch wenn sie nicht komplett mit der Materie vertraut sind."
Tipp 7: Transparenz der Ziele Neben übergeordneten Firmenzielen können sich für Mitarbeiter konkurrierende individuelle Ziele ergeben. So etwas ist Gift für ein kooperatives Klima, weiß Stahl. Die Gegenmaßnahme lautet Transparenz hinsichtlich der individuellen Ziele. "Diese ermöglicht es den Mitarbeitern, sich widersprechende Ziele selbst zu identifizieren, und der Führungskraft, diese nachzubessern."
Tipp 8: Teambildungsmaßnahme Setzen sich Teams aus sehr unterschiedlichen Menschen zusammen, kann ein Teambuilding helfen. Dabei geht es Stahl nicht unbedingt um gemeinsame Trips in die freie Natur. Für IT-Teams bieten sich analytische Auseinandersetzungen nach wissenschaftlich fundierten Persönlichkeitsmodellen an.
Tipp 9: den eigenen Chef verstehen "Auch Chefs sind eher gewillt, die zu unterstützen, von denen sie den Eindruck haben, dass sie ihn unterstützen", sagt Stahl. Das Beste sei also, selbst Kooperationsbereitschaft zu beweisen. "Letztlich weiß jeder Chef, dass sein Erfolg vom Erfolg seiner Mitarbeiter abhängt."
9. IT-Forensik
Security-Spezialisten müssen natürlich auch wissen, welche Maßnahmen nach einem Hackerangriff zu ergreifen sind. Laut Ryan Corey, Mitbegründer des Security-Anbieters Cybrary, lassen inzwischen sehr viele Unternehmen ihren Security-Teams Schulungen und Trainings in Sachen IT-Forensik zukommen, um bessere Incident-Response-Skills zu entwickeln: "Die Unternehmen lernen immer mehr über bestehende und aufkommende Bedrohungen und verbessern ihre Fähigkeiten, mit diesen umzugehen."
10. Leidenschaft
Gute IT-Sicherheitsexperten bringen laut Brad Antoniewicz in jedem Fall Leidenschaft für ihren Beruf mit und streben danach, ihr Wissen mit anderen zu teilen: "Halten Sie nach jemandem Ausschau, der sich gerne freiwillig und auch auf eigene Initiative weiterbildet."
Wenn Sie bereits solche Menschen an Bord Ihres Unternehmens haben, sollten Sie diese ermutigen und unterstützen: "Entwickeln Sie Teambuilding-Maßnahmen, Brainstorming-Sessions, Get-Togethers, Hack-a-Thons oder Bug-Bounty-Programme - alles was nötig ist, um die Motivation Ihrer Mitarbeiter zu treiben und zu erhalten."
Coaching Ermöglichen Sie Ihren Sicherheitsexperten einen regelmäßigen Zugang zu Coachings. So sorgen Sie dafür, dass Ihre Angestellten in Sachen neue Technologien immer auf dem Stand der Dinge sind.
Abwechslung Sie sollten davon absehen, IT-Security-Experten für längere Zeit mit ein und demselben Projekt zu betrauen. Das führt zu Motivations-Stagnation, die wiederum in geringerer Zufriedenheit münden könnte. Um sicherzustellen, dass Ihre Experten mit ihrem Job zufrieden sind, sollten Sie für regelmäßige Rotation bei der Projektarbeit sorgen.
Dampf ablassen Durch den Zugang zu allerlei vertraulichen Informationen und die Verpflichtung zur Verschwiegenheit in diesen Angelegenheiten kann das Feld der IT-Security für Mitarbeiter eine gesteigerte Stressbelastung bedeuten. Deshalb brauchen diese Angestellten einen sicheren Rückzugsort, um diesen Stress abzubauen. Sie sollten also dafür sorgen, dass Ihre Sicherheitsexperten wissen, wen Sie in einem solchen Fall ansprechen können. Außerdem sollten Sie auch in Erwägung ziehen, besonders belastete Projekte nach dem Rotationsprinzip zu vergeben.
Karriere-Chancen Jeder sucht nach Möglichkeiten, in seinem Job voranzukommen. Stellen Sie sicher, dass Ihre Mitarbeiter diese Chance bekommen - zum Beispiel durch neue Projekte oder auch Beförderungen. Zudem sollten Ihre IT-Sicherheitsexperten auch die Chance bekommen, Stagnation durch Zertifizierungen und/oder Weiterbildungen zu verhindern.
Fortbildungen Ihre Security-Spezialisten sollten zudem über alle Zusatz-Zertifizierungen und Weiterbildungsmöglichkeiten informiert sein. So stellen Sie sicher, dass die Mitarbeiter mit Begeisterung bei der Sache sind.
Erfolg messen Um erfolgreich im Job zu sein, ist es wichtig zu wissen, wie man eigentlich performt. Ihre Mitarbeiter sollten also Zugriff auf sämtliche kritische Daten bekommen - etwa wie viele Viren identifiziert und gestoppt werden konnten und welche nicht. Indem Sie Ihren Sicherheitsexperten diese Fakten vor Augen führen, können diese erkennen, welche Auswirkungen ihre Arbeit auf das gesamte Unternehmen hat.
Umgang mit Stress Stress gehört zum Berufsbild eines jeden IT-Security-Spezialisten. Gerade deshalb sollten Sie dafür sorgen, dass Ihre Mitarbeiter wissen, wie sie besonders stressintensive Situationen meistern können. Gerade im Fall von ernsthaften Security-Vorfällen stehen Sicherheitsexperten in der Regel unter massivem Druck. Lassen Sie Ihre Spezialisten nicht im Stich, sondern geben Sie Ihnen - zum Beispiel in Form von Trainings - Werkzeuge zur Stressbewältigung an die Hand. Das reduziert auch das Burnout-Risiko.
Work Life Balance Das hohe Maß an Verantwortung, das IT-Sicherheitsexperten tragen, begünstigt nicht gerade eine gesunde WorkL Life Balance. Entscheider sollten daher dafür eintreten, dass Ihre Mitarbeiter einem ausgewogenen Zeitplan folgen und sie ermutigen, Urlaubstage und flexible Arbeitsumgebungen in Anspruch zu nehmen.
Interesse aufrechterhalten Sowohl langjährige Mitarbeiter und Neueinsteiger verfügen über Wissen und Erfahrungen, die sie miteinander teilen sollten. Um Mitarbeiter aller Ebenen einzubeziehen, sollten Sie IHre Sicherheitsspezialisten zu Mentorship-Programmen ermutigen.
Gleichbehandlung Betonen Sie gegenüber Ihren Mitarbeitern, dass die Meinungen und Ideen eines jeden einzelnen Mitarbeiters wichtig sind - unabhängig von ihrem Titel oder der Betriebszugehörigkeit. So motivieren Sie Ihre Angestellten, "out of the box" zu denken und ihre Ideen auch zum Ausdruck zu bringen. Das vermittelt ein Gefühl von Wertschätzung und sorgt im besten Fall für eine langfristige Bindung IHrer Sicherheitsexperten.