Würden Sie sich und Ihr Unternehmen kurz vorstellen?

Ich bin Mitte 40, lebe mit meiner Familie in Hamburg und stehe der Cyberbit in Deutschland, Österrich und der Schweiz vor. 

Um auf einen Angriff umfassend vorbereitet zu sein, muss Ihr SOC-Team kontinuierlich technische Fähigkeiten erlernen und diese sowohl individuell als auch als Team in realen Szenarien routiniert abrufen können. Cyberbit ist die SaaS-basierte Simulationsplattform, die die neusten Herausforderungen mit realen Cyber-Angriffen in einem echten Netzwerk stattfinden lässt. So ist Ihr Team jederzeit auf dem neuesten Stand und kann angemessen auf mögliche Attacken reagieren.

Ein Security Operations Center (SOC) steht vermutlich bei fast jedem CISO oder IT-Leiter auf der gedanklichen Liste. Verspricht es doch ein 7×24 Monitoring und Security Expertise, so dass man als verantwortliche Person für die IT Sicherheit zumindest in die Lage versetzt wird, Angriffe zu erkennen und Gegenmaßnahmen rechtzeitig einzuleiten. Welche Erfahrungen machen Sie:  Für welche Unternehmen eignet sich ein SOC?

Dies ist sehr abhängig von der Branche und dem Cyber-Sicherheitsrisiko. Fast alle Unternehmen schützen heute entweder sensible Daten oder verlassen sich für den Betrieb auf eine digitale Infrastruktur. Dies bedeutet, dass die Überwachung von Warnungen, die Erkennung von und Reaktion auf Bedrohungen, wichtig sind.

Ich empfehle, dass jedes Unternehmen mit einem Umsatz von über 50 Millionen US-Dollar oder 100 Mitarbeitern anfangen sollte, sich mit einem SOC zu beschäftigen.

Kleinere Unternehmen sollten sich überlegen, diese Funktion vollständig auszulagern, während größere Unternehmen ein hybrides (teils ausgelagertes, teils selbst betrieben) SOC oder ein vollständig selber betriebenes SOC anstreben sollten.

Was treibt die Notwendigkeit eines neuen Ansatzes für die Entwicklung von Cybersicherheitskompetenzen voran?

Es gibt eine große Veränderung in der Risikolandschaft, die von Cybersicherheitsteams völlig andere Fähigkeiten erfordert. Vor ein paar Jahren brauchte ein Infosec-Profi nur ein vernünftiges Verständnis von Netzwerken, Technik und ethischem Hacken. Heute hat sich die Angriffsfläche auf die Cloud und die Lieferkette ausgeweitet, die Angriffe sind viel raffinierter und täglich tauchen neue Schwachstellen wie Log4J auf. Heutzutage muss ein Top-Tier-Responder für Cyber-Vorfälle Cloud-Sicherheit, Codierung, Forensik, Bedrohungsinformationen und Malware-Analyse beherrschen, um nur einige der technischen Fähigkeiten zu nennen. Sie müssen über „weiche“ nicht-technische Fähigkeiten verfügen, darunter Teamarbeit, Kommunikationsfähigkeit, kritisches Denken und die Fähigkeit, unter Druck zu arbeiten, die für den Erfolg bei einem Sicherheitsvorfall entscheidend sind. Darüber hinaus müssen Teams über neue Technologien, neue Malware und neue Schwachstellen, die täglich auftauchen, wie Log4J, auf dem Laufenden bleiben.

Aber wenn Cyber-Profis ihr Know-how am Arbeitsplatz oder in veralteten Cyber-Ausbildungsprogrammen und jährlichen Kursen erwerben, die darauf ausgelegt sind, den Cyber-Verteidiger des letzten Jahrzehnts hervorzubringen, stellen Organisationen fest, dass sie Teams beschäftigen, die für ihre Aufgaben ungeeignet sind. Cyberverteidiger der nächsten Generation sind schwer zu finden und unerschwinglich, was bedeutet, dass spektakuläre Sicherheitsverletzungen weiter zunehmen.

Aktuelle Ansätze wie Kurse, oder On-the-Job-Training und akademische Abschlüsse haben 3 Probleme:

  • Sie sind nicht ständig, jederzeit und an jedem Ort verfügbar
  • Sie sind mit der Geschwindigkeit neuer Bedrohungen nicht auf dem Laufenden
  • Sie spiegeln oder simulieren keine realen Situationen.

 

Dieser Wandel macht es erforderlich, die Kompetenzentwicklung in der Cybersicherheit komplett zu überdenken. Genauso wie Sie einen Piloten nicht zweimal im Jahr in Kursen ausbilden würden, können Sie Cyber Defense nicht auf die gleiche Weise ausbilden.

Wie lange würde es Ihrer Erfahrung nach dauern, eine Person ohne Erfahrung zu einem Cyber-Sicherheitsexperten auszubilden?

Ein typischer „Zero to Hero“-Prozess von einer Person ohne Erfahrung zu einem Tier-1-Analysten dauert 16 Wochen, wenn eine simulationsbasierte Kompetenzentwicklungsplattform wie Cyberbit verwendet wird. Zuvor konnten diese Prozesse über 6 Monate dauern, zuzüglich zusätzlicher Schulungen am Arbeitsplatz.

Ist das Angebot eine gezielte Reaktion auf den allgemeinen Fachkräftemangel im Bereich Cybersicherheit?

Die Cyberbit-Plattform behebt den Mangel an qualifizierten Mitarbeitern für Cybersicherheit auf verschiedene Weise:

Wir helfen akademischen Einrichtungen und Cyber-Akademien dabei, mehr Absolventen hervorzubringen, die von der ersten Minute an auf ihre Jobs vorbereitet sind.

Wir helfen Branchenorganisationen dabei, intern Talente der „nächsten Generation“ aufzubauen, wenn sie diese nirgendwo sonst finden können – zum Beispiel: Es dauert Monate, einen Cloud-Sicherheitsexperten einzustellen, und es ist sehr teuer, ihn einzustellen. Wir bieten Cloud-Sicherheitsmodule in unserer Plattform an, die es Unternehmen ermöglichen, diese Fähigkeiten in ihrem bestehenden Team aufzubauen oder einen frischen Hochschulabsolventen einzustellen und die Fähigkeiten intern aufzubauen.

Wie finde ich eigentlich „den richtigen“ SOC Mitarbeiter? Was sind die wichtigsten Skills?

Unsere Empfehlung ist, keinem Lebenslauf zu vertrauen, sondern die Kandidaten einer praktischen Bewertung zu unterziehen, wie wir sie auf unserer Plattform anbieten. Dies ist die zuverlässigste Methode, um einen Kandidaten für Cybersicherheit zu bewerten.

Aber wenn es sein muss, würde ich, vorausgesetzt, wir suchen einen Einstiegsmitarbeiter, hauptsächlich auf ein gutes Niveau an IT- oder Cybersicherheitskenntnissen, aber auch auf die Persönlichkeit achten. Ich teste gerne ihre Denkfähigkeiten und Führungsqualitäten, indem ich Herausforderungen zur Problemlösung durchführe, den Kandidaten in eine Drucksituation versetze usw.

Die Bewertung allein auf der Grundlage technischer Fähigkeiten ist nicht der beste Weg, um für ein SOC einzustellen.

Ihr Unternehmen organisiert die International Cyber League. Worum geht es bei dem Wettbewerb und könnten auch Mitglieder des Cyber Security Cluster Bonn daran teilnehmen?

Die International Cyber League (ICL) wurde gegründet, um Fähigkeiten zur Reaktion auf Vorfälle gegen simulierte Angreifer der teilnehmenden Unternehmen und Organisationen auf die Probe zu stellen. Die Teams werden sich einer Reihe komplexer Cyberlabors und herausfordernder Live-Fire-Cyberangriffsszenarien stellen müssen. In drei Runden wird ermittelt, welches Team das beste Cyber-Defense-Team der Welt ist!

Ich möchte mit dem Cyber Security Cluster Bonn e.V. sehr gerne zwei exklusive Formate für alle Mitglieder anbieten. Zum einen analog zur ICL einen solchen Wettbewerb innerhalb der Mitglieder des Cybersecurity Clusters, zum anderen biete ich regelmäßig Masterclasses an. Eine solche Masterclass wird mit einem deutschsprachigen Trainer die Teilnehmer erst ein Cyberlab erleben lassen, bevor die Teilnehmer dann als virtuelles SOC gemeinsam eine echte Bedrohung in einer live-Fire-Übung abwehren müssen. 

Über den Autor:

Matthias v. Knobelsdorf ist Director DACH der Cyberbit.

Twitter  |  LinkedIn | Facebook | Youtube